1.
...
2.4.1.1. niveaus van documentatie
Om het beleid te documenteren, werken we met 4 niveaus of levels. Dit gaat breder dan enkel het ICR.
Kort samengevat gaat het over:
Gaat over | Is voor | Eigenaar | Voorbeelden | |
---|---|---|---|---|
Level 1 | Wet- en regelgeving | Vo-breed | Wetgevende macht, regelgevende instantie | Wetten, decreten, enz |
Level 2 | Beleid op niveau Vo | Vo-breed | Stuurorgaan Vlaams Informatie- en ICT-beleid | ICR |
Level 3 | Beleid op organisatieniveau | Entiteit | Topmanagement (leidend ambtenaar, directeur, CEO, …) | Beleidsdocumenten van een entiteit, bvb paswoord beleid. |
Level 4 | Implementatie van het beleid | Entiteit | Topmanagement (leidend ambtenaar, directeur, CEO, …) | Architectuur documenten |
Volgend schema illustreert de relatie tussen de 4 documentatieniveaus:
...
En tenslotte is er nog niveau 4: hier wordt het niveau 3 paswoordbeleid vertaalt naar technische regels die dan ingericht worden, bijvoorbeeld voor MS Windows.
1.
...
2.4.1.2. Documentatielevel 1
Dit niveau omvat documenten die de wet- en regelgeving beschrijven en ondersteunen en wordt gebruikt als bron voor de criteria binnen de informatieclassificatie:
...
De regelgevende organisatie is aansprakelijk en verantwoordelijk voor het ter beschikking stellen van deze documentatie. Zij behoren niet tot de Vo administratie
1.
...
2.4.1.3. Documentatielevel 2
Dit niveau bevat het Vo ICR, inclusief de minimale maatregelen met betrekking tot informatieverwerking binnen de Vo. Deze documenten formuleren de manier waarop we de verplichtingen zoals beschreven in de documentatie uit level 1 moeten interpreteren en
beantwoorden:
...
De aansprakelijkheid voor het ter beschikking stellen van de documentatie set rond het ICR ligt bij het ‘Stuurorgaan Vlaams Informatie- en ICT-beleid’.
1.
...
2.4.1.4. Documentatielevel 3
Dit niveau bevat alle documentatie waarin de informatieverwerker (de entiteit van de Vo administratie of dienstenleverancier) haar eigen beleidslijnen rond informatieveiligheid beschrijft:
...
De verantwoordelijkheid voor de beschikbaarheid van deze documentatie ligt bij de organisatie die de informatieverwerking organiseert of afneemt van derden.
1.
...
2.4.1.5. Documentatielevel 4
Dit niveau bevat alle documentatie waarin de architectuur en uitwerking van de informatie verwerkende componenten worden beschreven. Deze beschrijving is beschikbaar per applicatie:
...