1.
...
4.2.2.1. Minimale algemene maatregelen
Vertrouwelijkheid
IC klasse | Minimale maatregelen |
---|
Image ModifiedImage Modified | Klasse 1 en Klasse 2 kennen dezelfde maatregelen: |
Image Modified | Alle maatregelen van Klasse 1 / Klasse 2 + Uitvoeren van risicoanalyses conform de Vo risicoanalyse methodiek, Uitvoeren van een risicoanalyse minstens jaarlijks of bij significante wijzigingen in de omgeving (infrastructuur, dienstverlening, dreigingen) na validatie van de minimale maatregelen voorzien in het ICR. Uitvoeren pentest of vulnerability scan om de kwetsbaarheden in kaart te brengen is aanbevolen. Risico’s moeten behandeld (mitigatie of overdracht), geaccepteerd of vermeden worden. Het management moet formeel de beslissingen over de behandeling van risico’s aanvaarden. Formele acceptatie van het restrisico door het management.
|
Image Modified | Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + |
Image Modified | Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 + |
Integriteit
IC klasse | Minimale maatregelen |
---|
Image ModifiedImage Modified | Klasse 1 en Klasse 2 kennen dezelfde maatregelen: |
Image Modified | Alle maatregelen van Klasse 1 / Klasse 2 + Uitvoeren van risicoanalyses conform de Vo risicoanalyse methodiek, Uitvoeren van een risicoanalyse minstens jaarlijks of bij significante wijzigingen in de omgeving (infrastructuur, dienstverlening, dreigingen) na validatie van de minimale maatregelen voorzien in het ICR. Uitvoeren pentest of vulnerability scan om de kwetsbaarheden in kaart te brengen is aanbevolen. Risico’s moeten behandeld (mitigatie of overdracht), geaccepteerd of vermeden worden. Het management moet formeel de beslissingen over de behandeling van risico’s aanvaarden. Formele acceptatie van het restrisico door het management.
|
Image Modified | Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + |
Image Modified | Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 + |
Beschikbaarheid
IC klasse | Minimale maatregelen |
---|
Image RemovedImage RemovedImage AddedImage Added | Klasse 1 en Klasse 2 kennen dezelfde maatregelen: |
Image RemovedImage Added | Alle maatregelen van Klasse 1 / Klasse 2 + Uitvoeren van risicoanalyses conform de Vo risicoanalyse methodiek, Uitvoeren van een risicoanalyse minstens jaarlijks of bij significante wijzigingen in de omgeving (infrastructuur, dienstverlening, dreigingen) na validatie van de minimale maatregelen voorzien in het ICR. Uitvoeren pentest of vulnerability scan om de kwetsbaarheden in kaart te brengen is aanbevolen. Risico’s moeten behandeld (mitigatie of overdracht), geaccepteerd of vermeden worden. Het management moet formeel de beslissingen over de behandeling van risico’s aanvaarden. Formele acceptatie van het restrisico door het management.
|
Image RemovedImage Added | Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + |
Image RemovedImage Added | Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 + |
1.4.2.2.2. Minimale specifieke (GDPR) maatregelen
De minimale algemene maatregelen voor risicoanalyse moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk 'minimale algemene maatregelen').
Vertrouwelijkheid en integriteit
IC klasse | Minimale maatregelen |
Image AddedImage Added | Er zijn geen GDPR specifieke maatregelen voor Klasse 1. |
Image AddedImage Added | Er zijn geen GDPR specifieke maatregelen voor Klasse 2. |
Image Added Image AddedImage Added Image Added | Klasse 3 en Klasse 4 kennen dezelfde maatregelen: |
Image AddedImage Added | Er zijn geen GDPR maatregelen voor klasse 5. |
Beschikbaarheid
Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.
1.4.2.2.3. Minimale specifieke (NISII) maatregelen
In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII maatregelen.
1.4.2.2.4. Minimale specifieke (KSZ) maatregelen
Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen toegepast worden in het kader van een risicoanalyse:
Beschikbaarheid, Integriteit & Vertrouwelijkheid
IC klasse | Minimale maatregelen |
Image AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage Added | Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen: De organisatie moet bij elk proces en bij elk project een risico-beoordeling rond informatieveiligheid en privacy uitvoeren, valideren, communiceren en onderhouden (Ref. KSZ 5.2.2 a). Alle risico-beoordelingen met een hoog residueel risico communiceren naar de directie voor bespreking en beslissing : behandelen of aanvaarden (Ref. KSZ 5.2.2 b). De richtlijn rond risico-beoordeling toepassen zoals vermeld in bijlage C van de beleidslijn ‘Risico-beoordeling’ (Ref. KSZ 5.2.2 c): In de regel beslist de verwerkingsverantwoordelijke vrij over de procedure en methodologie die hij wenst te hanteren bij het inschatten en beheren van risico’s, op voorwaarde dat deze beantwoordt aan een aantal minimumkenmerken van betrouwbaarheid en objectiviteit. Zo moet het risicobeheer volgende elementen bevatten: Methodologisch onderbouwd, gestructureerd, op maat, begrijpelijk, voldoende genuanceerd. Met voldoende communicatie, consultatie, beheer en nazicht.
De controlemaatregelen afstemmen op de risico’s, waarbij rekening dient te worden gehouden met technische mogelijkheden en de kosten van de te nemen maatregelen (Ref. 5.5.1 f). Elke organisatie moet een risico analyse in het begin van het project uitvoeren om de noodprocedures te definiëren. Deze moeten bevatten: De verwerking bij verminderde beschikbaarheid van informatiesystemen De beschrijving van alternatieve informatiesystemen met inbegrip van de uitrol, de exploitatie modaliteiten en de eventuele ontwikkeling van de noodsystemen De kerntaken en kernprocedures in geval van systeemonderbreking De taken, de sleutelrollen en de in te zetten middelen om tot een optimale beschikbaarheid te komen Ref. KSZ 5.11.9 f).
Een risico-beoordeling uitvoeren om de gepaste methode te bepalen voor het wissen van een informatiedrager (Ref. KSZ. 5.8.3 c). Gebeurtenissen en zwakheden over informatieveiligheid of privacy die verband houden met informatie en informatiesystemen van de organisatie zodanig kenbaar maken dat de organisatie tijdig en adequaat corrigerende maatregelen kan nemen (Ref. KSZ 5.13.1 c).
|