null


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

De procedure informatieklassebepaling voor Digitaal Vlaanderen (DV) beschrijft hoe DV informatieassets beheerd en de informatieklasse hiervan bepaald.

Inhoud

Doel

Deze procedure beschrijft ….

Overzicht van informatieklassebepaling

Deze procedure beschrijft op welke manier het DV beleid Informatiebescherming wordt uitgevoerd. Het proces kan worden samengevat in onderliggende figuur.

Het proces kan aldus worden opgesplitst in de volgende deelprocessen:

  • Analyse van de zakelijke omgeving,

  • Data Protection Impact Assessment (DPIA)

  • Informatieclassificatie

Analyse van de zakelijke omgeving

Aanleiding en frequentie

Analyse van de zakelijke omgeving is het deelproces waarbij wordt bepaald welke informatieassets er bestaan en moeten worden behandeld. Informatieassets worden beheerd in een informatieasset-register. Er wordt minstens jaarlijks een herziening gemaakt van dit register. Het register wordt permanent aangepast voor projecten die nieuwe producten en diensten ontwikkelen en inrichten.

Activiteiten

Identificatie van bedrijfsprocessen

Voor een holistische aanpak, wordt eerst een analyse van de zakelijke omgeving van DV gemaakt, en wordt er bepaald welke de zakelijke processen zijn die informatieassets van DV beheren. Zowel de kernprocessen als ondersteunende processen zoals Marketing, HR etc. worden beschouwd. De ISA (“Information Security Architect” of Informatieveiligheidsarchitect) verzamelt informatie van verschillende bronnen binnen DV en stel een lijst op van kern- en ondersteunde processen voor DV. Hierbij werkt de ICA nauw samen met de de dienst Portfoliobeheer van DV en de PM (“Portfolio Manager” of Portfoliobeheerder) die werd aangewezen hiervoor, de afdelingshoofden van de afdelingen van DV, en de DV Risicomanager.

Identificatie van informatieassets

Voor elk van de kern- en ondersteunde processen van DV wordt bepaald door de ISA welke informatieassets beheerd worden in dat proces.  Hierbij kan het nodig zijn, de processen nog in verdere detail te bekijken en verder op te delen in verdere deelprocessen, zodanig dat elk van de informatieassets kan worden bepaald. De ISA werkt hiervoor nauw samen met de afdelingsverantwoordelijken van elk van de afdelingen binnen DV, en met de PO’s (“Product Owners” of producteigenaars) van de individuele producten van DV. Producten zijn technologieën die DV beheert en aanbiedt aan de agentschappen van de Vo, om overheden te ondersteunen in hun digitale transformatie.

In het identificeren van informatieassets, zal de ISA verwarring voorkomen met applicaties of systemen. Vaak zal een enkel systeem of applicatie meerdere informatieassets bevatten. Informatieassets worden beschouwd als conceptueel gescheiden van, en bestaan ​​onafhankelijk van, het systeem of de toepassing die ze bevat.​ Men kan daartoe een onderscheid maken tussen het eigenlijke (primaire) informatieasset, en de bouwstenen (of secundaire assets) waaruit het informatieasset bestaat.  Type van secundaire assets die worden beschouwd zijn:

  • Hardware,

  • Software,

  • Service,

  • Data,

  • Fysieke locatie, en

  • Menselijke activa.

Hardware

Hardware zijn alle fysieke apparaten die informatie kunnen bevatten zoals:

  • PCs (desktops en laptops),

  • Servers,

  • Mainframe computers,

  • Randapparatuur (printers, scanners, copy machines, etc.),

  • Opslagmedia (USB-sticks, CDs, externe hard drives, back-up tapes, etc.),

  • Mobiele toestellen (telefoons, tablets, etc.)

  • Netwerk apparatuur (firewalls, switches, routers, hubs, access points, etc.),

  • Communicatie apparatuur (PBXs, etc.).

Apparaten die ITC hardware zijn, maar geen data bevatten zijn buiten het domein van risicobeheer.

Software

Met software wordt bedoeld de gecodeerde omgeving die informatie kan bevatten, dit kunnen zijn:

  • Toepassingen (ERP systemen, DMSs, CRM systemen, etc.),

  • Websites,

  • Mobile apps,

  • Office software (word processors, spreadsheets, e-mail, etc.)

  • Systeem softwares (operating systems, desktop images, etc.),

  • Programming softwares (development environments, test management software, compilers, etc.),

  • Drivers.

Data        

Met data wordt bedoeld de gegevens (in fysische of elektronische vorm) die worden bewaard ofwel op zogenaamde gestructureerde wijze bevat in:

  • Databases (zoals financiële gegevens, HR gegevens, klantgegevens, etc.),

ofwel op zogenaamde niet-gestructureerde wijze zoals:

  • Contracten en overeenkomsten (bv. met klanten, partners, leveranciers, etc.),

  • E-mail en gewone post,

  • Logs,

  • Manuals (bv. voor training, uitvoer of onderhoud),

  • Interne documenten (bv. verslagen van meetings, rapporten, plannen, etc.),

  • Diverse persoonlijke documenten.

Diensten

Diensten geleverd door derden ter ondersteuning van bedrijfs- en ITC-processen, ter vervanging van interne middelen, kunnen gegevens beheren, zoals:

  • Cloud diensten zoals infrastructuur, platformen en/of toepassingen hosted door derden en beschikbaar via het internet,

  • Network diensten: het beheer en onderhoud van het interne bedrijfsnetwerk,

  • Monitoring diensten: monitoring van cloud en netwerk diensten,

  • Email en office diensten, een specifiek geval van email en office software in the cloud,

  • Remote help desk, troubleshooting and technische ondersteuning door derden,

  • Nutsbedrijven (elektriciteit, gas, etc.),

  • Postdiensten,

  • Consulting services voor business processen (IT, HR, Finance, etc.),

  • Software ontwikkeling door derden,

  • Training door derden,

  • Hardware installatie en onderhoud door derden.

Infrastructuur

Met infrastructuur wordt bedoeld de fysieke omgeving die relevant is voor de risicobeoordeling van het asset in scope, bijvoorbeeld een site, gebouw, lokaal, server room, etc.

Menselijke activa       

Dit zijn de interne en externe medewerkers in het bedrijf, die toegang hebben tot de data voor de scope van de risicobeoordeling, zoals:

  • Top management (bv. directieleden, etc.),

  • Midden management (bv. coordinators, team leiders, project managers, etc.),

  • Interne medewerkers,

  • Externe medewerkers (bv. consultants, contractors, etc.),

  • Klanten en leveranciers

  • Anderen zoals externe auditors, bezoekers, etc.  

Beheer van informatieassets

Voor elk informatieasset wordt een logische en herkenbare naam gekozen.  Men moet voorkomen dat dezelfde informatie een onderdeel is van verschillende informatieassets.

De informatieassets worden door de ISA beheerd in een informatieasset-register dat als basis zal dienen voor een risicobeoordeling. Dit zelfde register wordt ook gebruikt om de Informatieklasse (IK) van elk informatieasset te beheren.

Voor elk informatieasset wordt de verantwoordelijke IAO (“Information Asset Owner” of informatieasset-eigenaar) binnen DV geïdentificeerd, zodat deze verder kan betrokken worden bij de risicobeoordeling. De IAO-rol valt vaak samen met de rol van PO. Het informatieasset-register wordt minstens jaarlijks en bij belangrijke wijzigingen herzien door de ISO (“Information Security Officer” ) van DV, en wordt minstens jaarlijks goedgekeurd door de CISO (“Chief Information Security Officer”) van DV.

  • No labels