Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Het Team Informatieveiligheid (TIV) staat in voor de beleidsvorming, ondersteuning het beleidstoezicht en toezicht de beleidsondersteuning van de informatieveiligheid voor Digitaal Vlaanderen.  Uitvoering is een verantwoordelijkheid van elke afdeling. Dit kan schematisch worden voorgesteld op de volgende twee figuren.

...

Image Removed

Bovenstaande processen worden in de sectie beleidsuitvoering van het ISMS formeel beschreven in de volgende .

Informatieveiligheid risicobeheer is een specifiek kernproces waar TIV proces-eigenaar van is. Het doel van informatieveiligheid risicobeheer is om organisatiedoelen te realiseren door proactief en gestructureerd in te spelen op toekomstige ongewenste informatieveiligheid gebeurtenissen, oftewel risico’s. Hierdoor kan men tijdig besluiten nemen om deze risico’s te voorkomen of te verminderen.  Risicobeheer bestaat uit 7 deelstappen:

  1. Analyse van de zakelijke omgeving,

  2. Informatieklassebepaling,

  3. Pre data protection impact assessment,

  4. Toetsing van maatregelen,

  5. Risicobeoordeling,

  6. Risicobehandeling, en

  7. Risicoregistratie.

   Gedurende dit risicobeheerproces, zijn er validerende activiteiten van de functionaris informatieveiligheid (CISO), de functionaris gegevensbescherming (DPO), algemeen risicobeheer (CRO) en de directie.

...

In de eerste deelstap analyse van de zakelijke omgeving wordt geïdentificeerd welke informatieassets er zijn.  Aan elk informatieasset moet een eigenaar worden toegewezen.

Vervolgens wordt voor elk informatieasset de waarde voor de organisatie bepaald, uitgedrukt in drie dimensies:  Beschikbaarheid, Integriteit en Vertrouwelijkheid.  Ook wordt bepaald of het informatieasset persoonsgegevens bevat.  Er bestaat een sjabloon om deze informatieklassebepaling uit te voeren met een aantal vragen die door de asseteigenaar moeten worden beantwoord.

De pre data protection impact assessment stap is een voorbereiding tot de eigenlijke data protection impact assessment die enkel moet uitgevoerd worden indien uit de informatieklassebepaling blijkt dat het informatieasset persoonsgegevens bevat.

Indien de informatieklasse van een asset hoger is dan 2, moeten de resterende 4 deelstappen worden uitgevoerd: toetsing van maatregelen, risicobeoordeling, risicobehandeling en risicoregistratie.  Het gaat immers uiteindelijk om een evaluatie en zo nodig een verbetering van de beheersmaatregelen, zodat risico’s worden teruggebracht tot een niveau dat aanvaardbaar is voor de directie.

Deze 7 deelstappen van het risicobeheerproces worden gegroepeerd en formeel beschreven in de volgende 4 deelprocessen:

  1. Informatieklassebepaling: Proces - Informatieklassebepaling (deze procesbeschrijving bevat ook de stappen analyse van de zakelijke omgeving en pre data protection impact assessment),

  2. Toetsing van maatregelen: Proces - Toetsing van maatregelen ,

  3. Risicobeoordeling: Proces - Risicobeoordeling ,

  4. Risicobehandeling: Proces - Risicobehandeling ,

  5. Naleving,

  6. Beheer van informatieveiligheidsgebeurtenissen,

  7. Responsible Disclosure.

Het DV beleid Risicobeheerwordt geïmplementeerd via 2 deelprocessen, namelijk risicobeoordeling en risicobehandeling. Risicobeoordeling is dat deel van het proces waarbij dreigingen worden ingeschat en hun effect op de organisatie. Nadien volgt een risicobehandeling ten einde de geïdentificeerde risico’s te behandelen conform het risico-appetijt van de Directie.

Risicobeheer kan schematisch worden verduidelijkt in onderliggende figuur.

...

  1. (deze procesbeschrijving bevat ook de stap Risicoregistratie),