Versions Compared

Version Old Version 4 New Version Current
Changes made by

Kristel Van Aken

Kristel Van Aken

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Gewijzigde tekst ten opzichte van de vorige ICR versie is in rood aangeduid.
Info
Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

4.1.2.1. Minimale algemene maatregelen

Het beheren van configuratie-items omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de getroffen informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie hoofdstuk ‘De bouwstenen van asset- en configuratie beheer’)

  • Registratie; 

  • Administratie;

  • Statusbewaking;

  • Verificatie.

Het proces zelf is minimaal beschikbaar tijdens kantooruren (10ux5dagen).

De CMS moet 24x7 beschikbaar zijn.

...

In volgende paragrafen worden enkele noodzakelijke attributen verduidelijkt.

...

Klasse-onafhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid

IC klasse

Minimale maatregelen

Image RemovedImage RemovedImage RemovedKlasse 1, Klasse 2 en Klasse 3  kennen dezelfde maatregelen: 

PAS TOE

image-20241202-132811.pngImage Added

Inrichten, documenteren, valideren en regelmatig reviewen van een proces asset- en configuratiebeheer:

  • Alle ICT-componenten die deel uitmaken van de ICT-architectuur nodig voor de ICT-dienstverlening moeten gedefinieerd en geregistreerd worden als configuratie-item in de CMS

; Elk configuratie-item moet beheerd worden, d.w.z.

  • .

  • Elke ICT-component die ook een configuratie-item is, moet geregistreerd worden in de CMS; 

    • Configuratie-items moeten een gedocumenteerde en up-to-date eigenaar hebben (CyFun ID.AM.2.3);

    • Beheer van elk configuratie-item: toegevoegd indien nieuw, de nodige attributen wijzigen waar nodig, uit de CMS verwijderen en vernietigen zodra uitgefaseerd

    . Van elk configuratie-item moet de status bijgehouden

    • (CyFun ID.AM.4).

    • Status bijhouden en up-to-date

    gehouden worden; Jaarlijks moeten de attributen

    • houden van elk configuratie-item

    inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

  • Jaarlijks moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

    • Image Removed

    Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 +

    Tweemaal per jaar of na wijziging of release moeten

    • (CyFun ID.AM.4).

    • Inhoudelijke verificatie van de attributen van elk configuratie-item

    inhoudelijk geverifieerd worden

    • : weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?

     

  • De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en). 

    • Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden

    • (CyFun ID.AM.4)

    • Verificatie of de eigenaar van elk configuratie-item nog correct geïdentificeerd is.

     Image Removed

    Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 Klasse 4 +

    • Viermaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

    • De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en aan de DPO. 

    • Tweemaal per jaar of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

    ...

    • Documenteren en bijhouden van een basis configuratie volgens het principe ‘least functionality’ (CyFun PR.IP.1)

    klasse-afhankelijke maatregelen

    Vertrouwelijkheid  

    IC klasse

    Minimale maatregelen

    Image Removed

    PAS TOE

    Image AddedImage AddedImage Added

    Klasse 1, Klasse 2 en Klasse 3  kennen dezelfde maatregelen: 

    • Alle ICT-componenten die deel uitmaken van de ICT-architectuur nodig voor de ICT-dienstverlening moeten gedefinieerd en geregistreerd worden als configuratie-item in de CMS

  • Elke ICT-component die ook een configuratie-item is, moet geregistreerd worden in de CMS; 

  • Elk configuratie-item moet beheerd worden, d.w.z. toegevoegd indien nieuw, de nodige attributen wijzigen waar nodig, uit de CMS verwijderen zodra uitgefaseerd. 

    • Van elk configuratie-item moet de status bijgehouden en up-to-date gehouden worden; 

    • (CyFun ID.AM 3.1). Onder ICT-componenten verstaan we: 

      • Hardware assets; 

      • Software assets; 

      • Diensten; 

      • Documentatie en gegevensbeheer.

    • Jaarlijks moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden

    : weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

    • (CyFun ID.AM.4);

    • Jaarlijks moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

    Image RemovedImage Removed

    Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

    Alle maatregelen van Klasse 1 +

    • De informatie in de CMS krijgt minimaal integriteitsklasse 2 – toepassen van de minimale maatregelen voor deze klasse. 

    Image Removed

    • Er moeten mechanismen voor het detecteren van niet-geautoriseerde hardware, firmware en software opgezet worden: zie document minimale maatregelen - netwerken. (CyFun ID.AM.2.5)

    • Gedetecteerde, niet-geautoriseerde ICT-componenten moeten in quarantaine geplaatst worden en na behandeling moet de inventaris waar nodig bijgewerkt worden. (CyFun ID.AM.2.4).

    PAS TOE OF LEG UIT

    Image Added

    Alle maatregelen van Klasse 1 

    +

    / Klasse 2 / Klasse 3 +

    • Inventarisatie van interne verbindingen en communicatie- en data flows (CyFun ID.AM.3.2 en 3.3);

    • Inventarisatie van externe verbindingen (ID.AM.4.1);

    • Tweemaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden

    : weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?

    • (CyFun ID.AM.3.2); 

    • De resultaten van deze inhoudelijke verificatie worden; gerapporteerd aan de betrokken toepassingseigena(a)r(en)

    • ;

    • Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

    Image Removed

    • Automatisatie van het proces voor aanduiden en opvolging van asset eigenaars: automatische controle en validatie.

    Image Added

    Alle maatregelen van Klasse 1 

    +

    / Klasse 2 Klasse 3 Klasse 4 +

    • Inventarisatie van externe communicatie- en dataflows (CyFun ID.AM.4.2);

    • Viermaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

    • De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en aan de DPO. 

    • Tweemaal per jaar of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

    Integriteit: alle maatregelen van vertrouwelijkheid, aangevuld met

    IC klasse

    Minimale maatregelen

    PAS TOE

    Image AddedImage AddedImage Added

    • De informatie in de CMS krijgt minimaal integriteitsklasse 2 – toepassen van de minimale maatregelen voor deze klasse. 

    Beschikbaarheid

    IC klasse

    Minimale maatregelen

    		Image RemovedImage RemovedImage RemovedImage RemovedImage Removed

    PAS TOE

    Image AddedImage AddedImage AddedImage AddedImage Added

    Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:

    4.1.2.2. Minimale specifieke (GDPR) maatregelen

    De minimale algemene fysieke maatregelen moeten toegepast worden: per klasse zijn de overeenkomende maatregelen de overeenkomende maatregelen van toepassing.

    Vertrouwelijkheid 

    IC klasse

    Minimale maatregelen

    		Image Removed

    PAS TOE

    Image Added

    • Er zijn geen GDPR maatregelen voor Klasse 1

    Image RemovedImage RemovedImage RemovedImage AddedImage AddedImage AddedImage Added

    Klasse 2 t/m klasse 45 kennen dezelfde maatregelen:

    • Jaarlijks of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

    • De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en naar de DPO. 

    • Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is

    		Image RemovedEr zijn geen GDPR maatregelen voor klasse 5

    Integriteit

    IC klasse

    Minimale maatregelen

    		Image RemovedImage Removed

    PAS TOE

    Image AddedImage Added

    • Er zijn geen GDPR maatregelen voor Klasse 1 en klasse 2

    Image RemovedImage Added

    Maatregelen voor Klasse 3:

    • Jaarlijks of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

    • De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en naar de DPO. 

    • Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

    		Image Removed

    PAS TOE OF LEG UIT

    Image AddedImage Added

    Maatregelen voor Klasse 4 en klasse 5:

    Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 +

    • Tweemaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid. 

    Image Removed

    Er zijn geen GDPR maatregelen voor Klasse 5.

    Beschikbaarheid

    Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.

    4.1.2.3.

    ...

    In afwachting van de goedkeuringen omtrent NISII is alvast ruimte vorzien op deze pagina voor toekomstige minimale, specifieke NISII maatregelen.

     Minimale specifieke (NIS2) maatregelen

    NIS2 is een Europese richtlijn  bedoeld om de cyberbeveiliging en weerbaarheid van kritieke diensten in EU-lidstaten te verbeteren.

     Alle minimale algemene maatregelen worden verplicht toegepast (geen ‘leg uit’).

     Afhankelijk van het CyFun zekerheidsniveau van de entiteit moet het proces voldoen aan volgende vereisten:

    • CyFun basis: zijn opgenomen in de klasse-onafhankelijke maatregelen;

    • CyFun belangrijk: de basisvereisten, aangevuld met automatisatie en toezicht van het proces;

    • CyFun essentieel: de vereisten voor ‘belangrijk’, aangevuld met integratie van het proces met andere processen waar nodig.

     Daarnaast zijn volgende specifieke maatregelen van kracht:

     

    IC klasse

    Minimale maatregelen

     

    PAS TOE

    image-20241202-135637.pngImage AddedImage Addedimage-20241202-135703.pngImage AddedImage Added

    Er moet een baseline van netwerkoperaties en verwachte beheersstromen ontwikkeld en onderhouden worden: zie document minimale maatregelen – netwerken.

     

     

    4.1.2.4. Minimale specifieke (KSZ) maatregelen

    De minimale algemene maatregelen voor asset en configuratiebeheer moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk ‘minimale algemene maatregelen’).

    ...

    IC klasse

    Minimale maatregelen

    Image RemovedImage RemovedImage RemovedImage RemovedImage RemovedImage AddedImage AddedImage AddedImage AddedImage Added

    Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:

    • De eigen mobiele toestellen duidelijk identificeren, veilig configureren (met de nodige anti-malware software en met software die alle data op het toestel vanop afstand kunnen wissen) en de identificatie bijhouden in een centraal register (Ref. KSZ 3.2.1 e). 

    • Elke organisatie moet over een permanent bijgewerkte inventaris beschikken van het informaticamateriaal en de software (Ref. KSZ 5.5.2). 

    • Elke organisatie moet een geactualiseerde cartografie bijhouden van de geïmplementeerde technische stromen via het Extranet van de sociale zekerheid. De veiligheidsconsulent moet hierover geïnformeerd worden (Ref. KSZ 5.10.4). 

    • Elke organisatie moet alle middelen inclusief aangekochte of ontwikkelde systemen toevoegen aan het beheerssysteem van de operationele middelen (Ref. KSZ 5.11.12). 

    • In functie van de rol voor een specifieke (groep) verwerking (verwerker of verwerkings-verantwoordelijke), minimaal de volgende activiteiten uitvoeren: 

    * de opname van de verwerking in het centraal register van de verwerkingsverantwoordelijke of van de verwerker. (Ref. KSZ 5.15.2 b). 

    ...