Het proces heeft de volgende processtappen:
Beheer van producten
Uitvoering van de IKB
Rapportering van de IKB
Het proces kan aldus worden samengevat in onderstaand zwemlaandiagram.
Beheer van producten
Informatieassets en beheer van het productregister
Op jaarlijkse basis, wordt door de ISA (“Information Security Architect”) een analyse van de zakelijke omgeving van DV gemaakt, en wordt er bepaald welke de zakelijke processen zijn die informatieassets van DV beheren. Zowel de kernprocessen als ondersteunende processen zoals Marketing, HR etc. worden beschouwd. De ISA verzamelt informatie van verschillende bronnen binnen DV en stel een lijst op van kern- en ondersteunde processen voor DV. Hiervoor werkt de ISA nauw samen met andere diensten binnen DV, onder meer de dienst Enterprise Architectuur. Voor elk van de kern- en ondersteunde processen van DV wordt bepaald door de ISA welke producten beheerd worden in dat proces. Hierbij kan het nodig zijn, de processen nog in verdere detail te bekijken en verder op te delen in verdere deelprocessen. Producten zijn technologieën die DV beheert en aanbiedt aan de agentschappen van de Vo, om overheden te ondersteunen in hun digitale transformatie. Producten worden beschouwd als de informatieassets van DV.
De producten worden door de ISA beheerd in een register dat dient als basis voor het dashboard voor de latere opvolging van de IKB status voor de berekening en rapportering van KPI’s (“Key Perfomance Indicators”) voor het IKB proces.
Herziening van het productregister
Op kwartaalbasis, stuurt de ISA het productregister naar de dienst Portfoliobeheer en elk afdelingshoofd binnen DV. De portfoliomanager herziet het productregister voor volledigheid. Elk afdelingshoofd herziet eveneens het productregister voor volledigheid voor zijn/haar afdeling, en bevestigt de PO’s (“Product Owners” of producteigenaars) van de producten onder zijn/haar verantwoordelijkheid aan de ISA.
Indien in een afdeling een nieuw product of een belangrijke wijziging aan een bestaande product wordt geïmplementeerd, dient het afdelingshoofd de ISA te informeren met vermelding van de PO, zodat deze het productregister kan aanpassen.
Uitvoering van de IKB
Een IKB wordt geïnitieerd:
bij de implementatie van een nieuw product of bij een belangrijke wijziging aan een bestaand product, door de PO,
voor bestaande producten door de ISA bij de herziening van het productregister, waarbij de PO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar,
voor bestaande producten door het afdelingshoofd bij de herziening van het IKB dashboard en KPI’s, waarbij de PO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar.
De PO start de IKB bevraging door middel van het sjabloon Template_Informatieklassebepaling Vlaamse overheid.
De PO stuurt de ingevulde bevraging ter validatie naar security@vlaanderen.be en dpo@vlaanderen.be.
De ISA zal een meeting inplannen om de bevraging te overlopen met de ISO (“Information Security Officer”) en DPO (“Data Protection Officer”).
Na de meeting bepaalt de ISA de IK voor zowel Beschikbaarheid, Integriteit en Vertrouwelijkheid als voor Persoonsgegevens, zoals beschreven in Informatieclassificatieraamwerk (ICR).
De ISA past het IKB dashboard aan met de informatie uit de IKB bevraging, met de volgende velden:
Productnaam
Productowner
Beschikbaarheid
Integriteit
Vertrouwelijkheid
Persoonsgegevens
Datum IKB
Review IKB
Rapportering
Op maandelijkse basis berekent de ISA de KPI’s voor het IKB proces