Start van de IKB
De afdelingen (entiteiten?) starten een IKB (a) bij de implementatie van een nieuw informatieasset of (b) een belangrijke wijziging aan een bestaande informatieasset.
Team Informatieveiligheid (TIV) herziet periodiek de IKB van reeds gekende informatieassets.
TIV volgt de status van het IKB op voor alle gekende informatieassets in een dashboard.
Periodieke herziening
Analyse van de zakelijke omgeving
Een Minstens op jaarbasis, initieert de informatiebeveiligingsfunctionaris (Information Security Officer (ISO)) van TIV analyseert jaarlijks Team Informatieveiligheid (TIV) een analyse van de zakelijke omgeving van Digitaal Vlaanderen waarbij de (DV), om op die manier de informatieassets van Digitaal Vlaanderen worden geïnventariseerd.
DV accuraat op te lijsten in een zogenaamd asset-dashboard. Een informatieasset is een bedrijfsmiddel dat informatie bevat (bijvoorbeeld een toepassing of een product) die waarde heeft voor de organisatie.
Informatieassets worden beschouwd als waardevolle bezittingen van een organisatie omdat ze cruciale gegevens bevatten die nodig zijn voor het functioneren en de besluitvorming ervan. Ze kunnen variëren in grootte en complexiteit, van individuele bestanden tot complete systemen of databasestoepassingen op een werkstation tot bedrijfswijde toepassingen gebruikt in meerdere afdelingen. Ter verduidelijking van het onderwerp informatieassets, heeft TIV een handreiking ontwikkeld: Handreiking informatieassets.
Een ISO start met de lijst van zakelijke processen van Digitaal Vlaanderen (zowel kernprocessen als ondersteunende processen) om de informatieassets per proces te identificeren. Producten zijn technologieën die Digitaal Vlaanderen beheert en aanbiedt aan de agentschappen van de Vlaamse overheid, om overheden te ondersteunen in hun digitale transformatie. Producten worden beschouwd als de voornaamste informatieassets van Digitaal Vlaanderen en worden in de kernprocessen beheerd. Bijkomend moeten de ondersteunende processen zoals Marketing, Finance, HR en TIV zelf binnen Digitaal Vlaanderen worden beschouwd, en nagegaan worden welke informatieassets daar aanwezig zijn.
De ISO verzamelt informatie van Informatieassets zijn de units waarop het verdere verloop van risicobeheer steunt. Het laat de organisatie toe om in eerste instantie de waarde van de informatie te bepalen en in tweede instantie een analyse te maken van de risico’s die mogelijk deze waarde bedreigen zodat deze op de juiste manier kunnen worden behandeld, in lijn met het risico-appetijt van de directie.
Voor DV onderscheiden we de volgende types van informatieassets:
Technische assets, dit zijn alle hard- en software assets, verder onderverdeeld in:
Producten: systemen die worden ontwikkeld door DV voor gebruik door burgers en de entiteiten van de Vlaamse overheid, bijv. MAGDA of Geopunt;
Interne toepassingen: systemen in gebruik binnen DV ter ondersteuning van interne zakelijke processen zoals HR en Finance maar ook ICT- en ontwikkel-processen, bijv. ServiceNow, Jira of Dynamics;
Platformen: hard- of software systemen die producten en interne toepassingen ondersteunen, ook soms genaamd infrastructuurassets of horizontale assets, zoals bijv. SharePoint, Confluence, of Office365;
Organisatie-assets die toelaten de informatie te beschrijven die wordt beheerd op afdelingsniveau of op het niveau van de entiteit Digitaal Vlaanderen en hiervoor de risico’s te beoordelen.
Fysieke assets die toelaten de informatie en risico’s te beschrijven op het niveau van een gebouw, datacenter, of andere ICT infrastructuur zoals netwerken.
Om alle informatieassets te identificeren, verzamelt TIV informatie van de verschillende bronnen binnen DV. Alle assets worden opgelijst opgenomen in een het asset-dashboard voor DV. Dit asset-dashboard zal eveneens wordt gebruikt worden door TIV om per asset de gegevens stamgegevens te bewaren om de Key Performance Indicators (KPI’s) te berekenen voor de status van elk ISMS-proces.
Beheer vanhet risicobeheersproces, zodat deze kunnen gevalideerd worden door de relevante stakeholders.
Voor de technische assets, noteert de ISO in het asset-dashboard
De ISO stuurt jaarlijks het asset-dashboard naar elk afdelingshoofd ter herziening. Elk afdelingshoofd herziet het asset-dashboard voor volledigheid voor hun afdeling, en bevestigt de AOs (“AssetOwners” of informatieasset-eigenaars) van de informatieassets onder hun verantwoordelijkheid. Als alternatief en/of aanvulling voor de afdelingshoofden kan ook gewerkt worden met “Team Coaches” (TCs) binnen elke afdeling.
Indien een afdeling een nieuw informatieasset of een belangrijke wijziging aan een bestaand informatieasset implementeert, dient het afdelingshoofd/TC de ISO te informeren met vermelding van de AO, zodat deze het asset-dashboard kan aanpassen en een IKB kan opstarten. Er moet dus niet gewacht worden op de periodieke herziening om een IKB op te starten.
De ISO neemt eveneens actie wanneer een IKB ouder is dan 1 jaar en vraagt in dat geval de AO van het desbetreffende product om de IKB te herzien.
Bij de herziening van een IKB voor een informatieasset dient ook de toetsing van technische maatregelen en de risicobeoordeling te worden herzien, zie desbetreffende procesbeschrijvingen.
De ISO noteert in het asset-dashboard:
de informatieasset-naam,
een korte beschrijving van het informatieasset,
het type informatieasset: product, toepassing of platform,
de afdeling die eigenaar is van het informatieasset, en de naam van de contactpersoon voor de afdeling (Single Point Of Contact (SPOC)),
de naam van de asseteigenaar (Asset Owner (AO)), en eventueel een bijkomende contactpersoon, en
de status van het informatieasset: nieuw, in ontwikkeling, in gebruik of buiten gebruik.
De ISO kan starten met de lijst van afdelingen van DV (zowel afdelingen die kernprocessen van DV ondersteunen als afdelingen die de ondersteunende processen van DV ondersteunen) om op die manier de informatieassets per afdeling en/of proces te identificeren in nauw overleg met de SPOC van elke afdeling.
Producten zijn technologieën die DV beheert en aanbiedt aan de agentschappen van de Vlaamse overheid om deze te ondersteunen in hun digitale transformatie. Producten worden daarom beschouwd als de voornaamste informatieassets van DV. Voor producten wordt het asset gerapporteerd door de SPOC van de afdeling die het product ontwikkelt en beheert, en genoteerd door de ISO in het asset-dashboard als type “product”. Niet elke afdeling van DV ontwikkelt producten, bijvoorbeeld Marketing, Communicatie, Finance, of HR zijn afdelingen die geen producten ontwikkelen.
Bijkomend moet in elke afdeling nagegaan worden welke systemen de interne verwerking en processen ondersteunen en gestructureerde data bevatten. Gestructureerde data voldoen aan een gedefinieerd datamodel en worden bewaard in een database. Voorbeelden van systemen met gestructureerde data zijn bijvoorbeeld Enterprise Resource Planning (ERP) systemen of Customer Relationship Management (CRM) systemen, een systeem dat een bedrijfsproces ondersteunt zoals een boekhoudingssysteem, een loon administratie systeem, een tijdsregistratie systeem, etc. Ook systemen die productontwikkeling ondersteunen zoals een versiebeheersysteem of broncode-managementsystemen zijn toepassingen die moeten geregistreerd worden. Voor deze assets wordt het asset gerapporteerd door de SPOC van de afdeling die het systeem gebruikt en genoteerd in het asset-dashboard met als type “toepassing”. Mogelijk gebruiken meerdere afdelingen dezelfde toepassing. In dat geval rapporteren beide afdelingen het systeem als toepassing.
Mogelijk wordt een toepassing door een andere afdeling dan de gebruikersafdeling opgezet, beheerd en/of gecustomiseerd (bijv. ICT). In dat geval rapporteert de SPOC ICT dit asset eveneens en wordt het door de ISO in het asset-dashboard genoteerd als “platform”.
Ongestructureerde data zijn bestanden die typisch niet in een database worden bewaard zoals teksten, spreadsheets, presentaties, e-mails etc. Ongestructureerde data wordt veelvuldig gebruikt in interne processen van elke afdeling van DV. Deze data worden echter niet als informatieasset gerapporteerd door de afdeling die de informatie gebruikt, echter wel het platform dat deze informatie bevat, bijv. SharePoint. Ook in dat geval rapporteert de SPOC van de afdeling die het platform opzet, beheert en/of customiseert (bijv. ICT) dit asset en wordt het door de ISO in het asset-dashboard genoteerd als “platform”.
De niet-technische assets (organisatie-assets en fysieke assets) worden door de ISO eveneens in het asset-dashboard genoteerd, met de volgende info:
de informatieasset-naam,
een korte beschrijving van het informatie-assetinformatieasset,
het type informatieasset: organisatie of fysiek,
de afdeling die eigenaar is van het informatie-assetinformatieasset is by default TIV met als SPOC de CISO,
de naam van de AO, en eventueel een bijkomende contactpersoon, enAO is een ISO van TIV,
de status van het informatieasset: nieuw, in ontwikkeling, in gebruik, buiten gebruik.
Uitvoering van de IKB
Een IKB wordt geïnitieerd:
door de Asset Owner bij de implementatie van een nieuw product in gebruik.
Herziening van het asset-dashboard
Op jaarbasis, legt de ISO het asset-dashboard voor aan elke SPOC ter herziening. Elke SPOC herziet het asset-dashboard voor volledigheid en bevestigt de AO van de informatieassets onder zijn/haar verantwoordelijkheid.
Indien in een afdeling een nieuw informatieasset of een belangrijke wijziging aan een bestaand informatieasset wordt geïmplementeerd, dient de SPOC de ISO te informeren met vermelding van de AO, zodat deze het asset-dashboard kan aanpassen. Er moet dus niet gewacht worden op de periodieke herziening om het asset-dashboard actueel te houden.
Uitvoering van de Informatieklasse bevraging
Een informatieklasse bevraging (IKB) heeft als doel om door middel van een vragenlijst te komen tot een inschatting van de informatieklasse (IK) voor beschikbaarheid, integriteit en vertrouwelijkheid van informatieassets, zoals beschreven in het informatieclassificatieraamwerk (ICR) van de Vlaamse overheid. TIV voorziet voor de IKB een IKB-sjabloon dat door de ISO ter beschikking wordt gesteld aan de AO die de IKB moet uitvoeren. De ISO stelt ook een handleiding ter beschikking voor het gebruik van dit sjabloon.
Een IKB moet worden geïnitieerd:
bij de implementatie van een nieuwe asset of bij een belangrijke wijziging aan een bestaand productbestaande asset, door de AO, of
voor bestaande assets door de ISO bij de herziening van bestaande producten van het productasset-dashboard, waarbij de AO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar, of
voor bestaande assets door het afdelingshoofd of de Team Coach voor bestaande producten SPOC bij de herziening van het IKB asset-dashboard en de KPI’s, waarbij de AO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar.
De AO start de IKB-bevraging door middel van het sjabloon Selectietool minimale maatregelen. (te openen in de desktop app)
De AO stuurt de ingevulde bevraging ter validatie naar security@vlaanderen.be.
De ISO zal een meeting inplannen met de AO om de IKB bevraging te overlopen.
Na de meeting bepaalt noteert de ISO de IK voor zowel Beschikbaarheidbeschikbaarheid, Integriteit en Vertrouwelijkheid integriteit en vertrouwelijkheid in het IKB-sjabloon en noteert daar eveneens of het informatieasset Persoonsgegevens bevat, zoals beschreven in het Informatieclassificatieraamwerk (ICR). persoonsgegevens bevat. De ISO laat de IK dit valideren door de CISO het Hoofd Informatiebeveiliging (Chief Information Security Officer (CISO)), al dan niet via een gedelegeerd persoon binnen TIV, en indien nodig wordt de IK herbepaald en opnieuw een meeting ingepland hiervoor met de AO.
Indien er persoonsgegevens worden verwerkt en de informatieklasse voor vertrouwelijkheid hoger is dan 2, voert , vraagt de ISO eveneens aan de AO om een pre data protection impact assessment (pre-DPIA (Data Protection Impact Assessment) uit te voeren, dewelke eveneens wordt gedocumenteerd door middel van het sjabloon Selectietool minimale maatregeleneen sjabloon dat wordt ter beschikking gesteld door de ISO. De pre-DPIA wordt gevalideerd door de DPO van … de entiteit/afdeling . De AO start een DPIA indien het resultaat van de pre-DPIA de noodzaak hiervoor aangeeft. (er stond: indien Functionaris Gegevensbescherming (“Data Protection Officer” (DPO)). Indien nodig wordt dan door de ISO ook een data protection impact assessment (DPIA) opgestart met de AO . → Draaien we het hier niet om eigenlijk? De ISO van DV zit in de lead en is derhalve een mogelijke blokkerende factor. De ISO van DV kan/zal assisteren, maar toch niet iedereen achternazitten tot het einderesultaat er is?)op aangeven van de DPO.
De ISO past het IKB asset-dashboard aan (kan dit niet automatisch?) met de informatie ingevuld in het IKB-sjabloon Selectietool minimale maatregelen, met de volgende velden:
Beschikbaarheid: de IK voor de dimensie beschikbaarheid, aangegeven door een score van 1 tot 5,
Integriteit: de IK voor de dimensie integriteit, aangegeven door een score van 1 tot 5,
Vertrouwelijkheid: de IK voor de dimensie vertrouwelijkheid, aangegeven door een score van 1 tot 5,
Persoonsgegevens: ja of nee,
Datum van uitvoering van de IKB,
Naam van de persoon die de IKB uitvoerde,
Review IKB (wat is deze parameter? een datum? een ja/nee?), endatum IKB: uitvoeringsdatum + 1 jaar,
Status van de IKB (welke statussen zijn er mogelijk?): aangevraagd, gepland, bezig, afgewerkt, of on hold,
Status van de pre-DPIA (welke statussen zijn er mogelijk?), en
Status van de DPIA (welke statussen zijn er mogelijk?).
: niet van toepassing, aangevraagd, gepland, bezig, afgewerkt, of on hold,
Status van de DPIA: niet van toepassing, aangevraagd, gepland, bezig, afgewerkt, of on hold.
Voor assets van het type “product” wordt de IKB uitgevoerd door de AO van de afdeling die het product ontwikkelt en beheert.
Voor assets van het type “toepassing” wordt de IKB uitgevoerd door een AO van de afdeling die het systeem gebruikt en er proces-data in verwerkt.
Indien meerdere afdelingen dezelfde toepassing gebruiken, rapporteren beide afdelingen het systeem als toepassing en voert elke afdeling een IKB uit vermits er mogelijkerwijs andere data in wordt verwerkt.
Voor assets van het type “platform” wordt geen IKB uitgevoerd en zijn er 2 mogelijkheden.
In het geval het platform een toepassing met gestructureerde data ondersteunt, erft het platform asset de IKB van de toepassingen die het ondersteunt. Indien er meerdere IKB’s werder ingevuld in het geval het een platform betreft voor een toepassing die meerdere afdelingen gebruiken, wordt het maximum per IK genomen.
In het geval een platform echter enkel ongestructureerde data ondersteunt, wordt aan het platform asset de volgende IK's toegewezen:
Beschikbaarheid: 4,
Integriteit: 4,
Vertrouwelijkheid: 4,
Persoonsgegevens: ja,
om aan te geven dat deze platformen zo beheerd moeten worden dat ze informatie van deze informatieklasse kunnen bevatten. In bepaalde gevallen kan de IK van platformen worden verlaagd of verhoogd indien dit door de ISO op die manier wordt ingeschat samen met de AO (bijvoorbeeld Beschikbaarheid 3 in plaats van 4), na validatie van de CISO.
Ook aan de niet-technische assets in het asset-dashboard wordt bij default de scores 4 - 4 - 4 - ja toegekend.
Indien één van de IK scores hoger is dan 2, start de ISO vervolgens het proces toetsing van maatregelen met de AO, zie https://vlaamseoverheid.atlassian.net/wiki/spaces/ISMS/pages/6503205176/Proces+-+Identificatie+van+maatregelen. Zelfde opmerking hier → de Asset Owner moet weten wat die moet doen omdat die het proces op eigen houtje kan volgen, assistentie verlenen aan de AO is nog iets anders dan de ISO van DV actief processen starten.
Rapportering
Op maandelijkse basis berekent de ISO de KPI’s voor het IKB proces, zie KPI's informatieklassebepaling. → wat wordt er precies berekent op maandbasis? De vordering van het proces, niet de inhoud of beiden? Die getallen/cijfers komen toch automatisch voort uit het invullen van de documenten en behoeven (hopelijk) geen herberekening?
De ISO stuurt maandelijks de berekende KPI’s samen met het product-dashboard naar de CISO ter herziening. → waarom doorsturen als er een dashboard is: de CISO kan op elk moment het dashboard raadplegen om de informatie te vinden die die nodig heeft.
De ISO stuurt maandelijks de berekende KPI’s samen met het productasset-dashboard eveneens naar de afdelingshoofden en/of TCsnaar elke SPOC. Op basis hiervan kan het afdelingshoofd en TC deze verantwoordelijke een AO aanspreken indien de IKB ontbreekt of overtijd is. → zelfde actie hier: het dashboard kan (moet?) in zijn geheel of gefilterd ter beschikking worden gesteld van de afdelingshoofden. Een maandelijkse herinnering “kijk het dashboard na” is te verkiezen boven telkens subsets van dezelfde data door te sturen.
Op kwartaalbasis worden de ( berekende ) KPI’s samen met het product-dashboard (of asset-dashboard ?) door de CISO, de DPO, de Digitaal Vlaanderen risicomanager (wie?) DV risicomanager en het Digitaal Vlaanderen directiecomité herzien.
Relevante documenten
In te vullen IKB-document
Dashboard met gekende informatieassets
Toetsing technische maatregelen
Risicobeoordeling
Contactpersonen voor dit proces
Nathalie Claeys
Jochen Dewachter
Guido Calomme
DV directiecomité gevalideerd.
Titel | Auteur | Datum | Versie | Opmerking |
---|---|---|---|---|
Procedure informatieklassebepaling | Guido Calomme | 19/03/2024 | 1.0 | Eerste versie |
Procedure informatieklassebepaling | Guido Calomme | 30/05/2024 | 1.1 | Betere omschrijving wie de IKB uitvoert voor platformen Verduidelijking van de procedure voor niet-technische assets |
Page Properties | ||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||
Document status (Metadata)Onderstaande gegevens worden gebruikt voor rapporteringsdoeleinden in documentregister
status opties:
status eveneens aanpassen bovenaan deze pagina |