Page Comparison

Hoe een informatieklassebepaling (vaak afgekort tot IKB) gedaan moet worden, staat uitgebreid beschreven in het ICR. Aanvullend heeft het Team Informatieveiligheid ook nog een aantal hulpmiddelen ontwikkeld ter ondersteuning.

2.2.1.

...

2.2.1.1. Relatie tussen vertrouwelijkheid en integriteit

Vertrouwelijkheid en integriteit hebben geen één-op-één relatie. Conform de opzet en structuur van de informatieklassen, bevatten de minimale algemene maatregelen de basis om aan vertrouwelijkheids- en aan integriteitvereisten tegemoet te komen. Op basis van specifieke regelgeving zullen deze minimale algemene maatregelen uitgebreid worden met minimale specifieke maatregelen. De eigenaar of verwerker van de informatie kan op basis van geïdentificeerde risico’s beslissen om bijkomend maatregelen te identificeren en in te richten of om het risico op een andere manier te behandelen (risico overdracht, risico acceptatie).

Vertrouwelijkheids- en integriteitsklassen en beschikbaarheidsklassen worden onafhankelijk van elkaar toegekend aan informatie. Het kan dus gebeuren dat informatie een bepaalde klasse voor vertrouwelijkheid toegekend krijgt – bv. 2 – en een andere voor integriteit – bv. 3. In dit geval moeten de minimale maatregelen voor klasse 2 voor vertrouwelijkheid en voor klasse 3 voor integriteit toegepast worden. Het komt vaak voor dat een maatregel zowel vertrouwelijkheid als integriteit bedient. In dit geval wordt de maatregel voor de hoogste klasse toegepast – in het voorbeeld klasse 3 (integriteit). Een maatregel die uitsluitend vertrouwelijkheid of uitsluitend integriteit afdekt, hoeft aan deze regel niet te voldoen.

2.2.1.2. Relatie tussen informatieklasse en impact

...

Informatieklassebepaling in het ICR

Via onderstaande links komt u snel bij de delen van het ICR die over de IKB gaan.

In 1.3.2. Kwaliteitskenmerken voor ICR wordt een beschrijving gegeven van de kwaliteitskenmerken vertrouwelijkheid, integriteit en beschikbaarheid, en de relatie tussen vertrouwelijkheid en integriteit.
In 1.3.4.2 Hoe het ICR toe te passen in de praktijk worden een aantal handreikingen gegeven over het toepassen van het ICR, waaronder de levenscyclus en de relatie met risicobeheer.
1.3.4.3 Informatieklassen en impact gaat in op de relatie tussen de informatieklasse en impact, en bevat onder andere een definitie van de impactschalen. In 1.3.4.4 Impactschalen wordt daar verder op ingegaan. Deze paragraaf bevat ook specifieke impactschalen voor persoonsgegevens en Beschikbaarheid, Integriteit en Vertrouwelijkheid (ook wel afgekort tot BIV, of CIA in het Engels).
De informatieklassebepaling van een informatieasset is niet altijd eenvoudig, omdat de informatieasset van uit meerdere componenent bestaat, en uit verschillende informatiebronnen kan zijn samengesteld. Hoe je daar mee om gaat en de IKB kunt doen, staat beschreven in 1.3.4.5. Samengestelde informatiebronnen. Deze paragraaf bevat ook een beschrijving van de te volgen stappen met een grafisch overzicht van de vereenvoudiging.
Als u de informatieklasse bepaald heeft, volgt de selectie van de controlemaatregelen. Meer informatie daarover vindt u in 1.3.5. Beheersmaatregelen en 2.3. Maatregelen selecteren en ontwerpen.
Als de informatieklasse 3 of hoger is, is een risicoanalyse verplicht. Meer hierover vindt u in 1.4. Risicobeheer en 2.4. Risicoanalyse.
In de 1.3. Beschrijving van het ICR wordt ook ingegaan op de levencyclus van een IKB. Het is van groot belang de IKB regelmatig tegen het licht te houden en te bepalen of deze nog steeds relevant en correct is. De frequentie van deze oefening hangt af van de informatieklasse en staat beschreven in deze paragraaf.
Bij het doen van een IKB zijn meerdere partijen betrokken. Wie dit kunnen zijn staat beschreven in 1.2.3. Rollen en verantwoordelijkheden. In ieder geval zijn dit de eigenaar van de informatieasset, de CISO en de DPO, maar het kan ook nodig zijn om anderen te betrekken.
De tab Conclusie & Advies van de selectietool minimale maatregelen (8.3. Informatieklassebepaling en selectie van bijhorende maatregelen) kan u helpen bij het vastleggen van de IKB en de terugkerende review ervan.

2.2.2. Beschikbare hulpmiddelen

De Selectietool minimale maatregelen (8.3. Informatieklassebepaling en selectie van bijhorende maatregelen) bevat een tabblad Informatieklassebepaling waarmee u via het beantwoorden van een aantal vragen door de IKB geleid wordt. Op die manier bepaalt u voor elke informatieasset de informatieklasse voor Beschikbaarheid, Integriteit en Vertrouwelijkheid, en of er Persoonsgegevens verwerkt worden. U vindt hier ook een uitleg van het gebruik van de selectietool.

Deze tool maakt gebruik van onderstaande beslisbomen met daarin een schematisch overzicht, om zelf mee aan de slag te gaan om de vertrouwelijkheid, integriteit en beschikbaarheid te bepalen.