null


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 14 Next »

Beheer van bedrijfsmiddelen heeft als hoofddoel om een volledig en actueel overzicht te hebben van alle configuratie-items in de organisatie.
Dit overzicht is cruciaal voor andere processen zoals incidentbeheer, patchmanagement, wijzigingsbeheer, enz. 

Inhoud

Doel

Dit beleid legt de maatregelen en principes vast die in rekening gebracht moeten worden bij het verwerken van persoonsgegevens door medewerkers van Digitaal Vlaanderen. Deze maatregelen en principes houden rekening met de wettelijke verplichtingen volgend uit de Algemene Verordening Gegevensbescherming (“AVG”) en de Belgische wetgeving die daarmee samenhangt.

(blue star) DOELSTELLINGEN

Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

  • Page:
    OD.15

    We hebben een actueel overzicht van informatie en  bedrijfsmiddelen en hun eigenaarschap.

  • Page:
    OD.14

    We faciliteren en ondersteunen de melding van kwetsbaarheden en gebeurtenissen.

  • Page:
    OD.19

    We houden actief toezicht over de (IT-)omgeving en zijn voorbereid om te reageren op mogelijke dreigingen en/of storingen. 

Beleid

IT-servicemanagement (ITSM) is een manier om IT-diensten te beheren en te leveren. ITSM omvat een reeks processen en functies die samenwerken om IT-diensten efficiënt en effectief te leveren aan de organisatie en haar gebruikers.

Er is een nauw verwantschap tussen ITSM en informatieveiligheid, een sterke samenwerking en integratie tussen beide is cruciaal voor het waarborgen van zowel effectieve IT-diensten als robuuste informatiebeveiliging binnen de organisatie.

Asset- en Configuratiebeheer

Wat is het verschil tussen een asset en een configuratie-item?

In IT-beheer zijn assets alle bedrijfsmiddelen die waarde hebben voor een organisatie. Dit kan zowel tastbare zaken zijn, zoals hardware en software, als niet-tastbare zaken, zoals informatie en kennis. Configuratie-items zijn een specifieke subset van assets. Ze zijn tastbare zaken die actief worden beheerd en gevolgd binnen IT-servicebeheerprocessen.

Wat is het belang van asset- en configuratiebeheer?

Asset- en configuratiebeheer is het proces van het creëren en onderhouden van een nauwkeurig en compleet overzicht van alle configuratie-items in de organisatie. Dit overzicht is van vitaal belang voor verschillende IT-beheerprocessen, zoals incidentbeheer, patch management en wijzigingsbeheer.

De doelen van asset- en configuratiebeheer zijn:

  • Het beheren van een steeds veranderende IT-infrastructuur

  • Het voorkomen van ongeautoriseerde versies van configuratie-items in productie

  • Het vereenvoudigen van kwetsbaarheidsbeheer

  • Het opsporen van niet-geautoriseerde apparatuur of wijzigingen

Het beheer van assets en configuratie-items gebeurt in een Configuration Management System (CMS)

In de praktijk worden de termen Configuration Management System (CMS) en Configuration Management Database (CMDB) vaak door elkaar gebruikt. Het verschil tussen een CMS en een CMDB is dat een CMS een bredere term is die verwijst naar elk systeem dat wordt gebruikt om informatie over CI's te beheren. Een CMDB is een specifieke implementatie van een CMS die gebruikmaakt van een database.

Implementatiemaatregel

Registratie

Alle configuratie-items (CI's) MOETEN geïdentificeerd en geregistreerd worden in de Configuration Management System (CMS).

Voor elk configuratie-item MOETEN de volgende attributen vastgelegd worden:

  • Type

  • Service componenten

  • Informatie klasse

  • Versienummering

  • Licentie-informatie

  • Locatie

  • Relaties met andere configuratie-item

  • Relaties met andere services of organisatie

  • Eigenaar

  • Status

  • Beschikbare documentatie

  • Audit trail

Administratie

De CMS MOET altijd actueel zijn.

Alle wijzigingen aan configuratie-items MOETEN geregistreerd worden in de CMS.

Voor alle wijzigingen aan configuratie-items MOET passende documentatie beschikbaar zijn.

Er MOETEN procedures en werkinstructies beschikbaar zijn voor het afhandelen van nieuwe configuratie-items en wijzigingen aan bestaande configuratie-items.

Statusbewaking

De actuele en historische status van elk configuratie-item MOET geregistreerd worden.

De datum van elke statusverandering MOET geregistreerd worden.

Verificatie

De gegevens in de CMS MOETEN op regelmatige tijdstippen gecontroleerd worden of deze nog actueel zijn. De frequentie van verificatie is afhankelijk van de informatieklasse:

Informatieklasse 1 tem 3 (vertrouwelijkheid en integriteit)

  • Jaarlijks moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?

  • Jaarlijks moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is.

Informatieklasse 4 (vertrouwelijkheid en integriteit)

  • Tweemaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?

  • De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en).

  • Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is.

Informatieklasse 5 (vertrouwelijkheid en integriteit)

  • Viermaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?

  • De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en aan de DPO.

  • Tweemaal per jaar of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

Capaciteitsbeheer

Capaciteitsbeheer is het proces van het plannen, implementeren, beheren en bewaken van de capaciteit van de IT-infrastructuur om aan de behoeften van de organisatie te voldoen. Het is een essentieel proces voor het garanderen van de beschikbaarheid, performantie en betrouwbaarheid van de IT-dienstverlening.

Implementatiemaatregel

De behoeften van de organisatie aan capaciteit MOETEN worden gedefinieerd en gemeten. Dit omvat zowel de huidige als toekomstige behoeften.

De capaciteit van de IT-infrastructuur MOET worden geanalyseerd om ervoor te zorgen dat deze voldoet aan de behoeften van de organisatie. Dit omvat zowel de huidige als toekomstige capaciteit.

Er MOETEN capaciteitsplannen worden ontwikkeld om ervoor te zorgen dat de IT-infrastructuur voldoende capaciteit heeft om aan de behoeften van de organisatie te voldoen. Deze plannen MOETEN regelmatig worden herzien om ervoor te zorgen dat ze aan de actuele behoeften voldoen.

De capaciteit van de IT-infrastructuur MOET worden gemonitord en bewaakt om ervoor te zorgen dat deze voldoet aan de capaciteitsplannen. Dit omvat het monitoren van de performantie, beschikbaarheid en betrouwbaarheid van de IT-infrastructuur.

Event Management

Event management (gebeurtenisbeheer) is het proces voor het detecteren, registreren, analyseren en reageren op gebeurtenissen die plaatsvinden in de ICT-infrastructuur. Het doel van event management is om de normale uitvoering van de ICT-infrastructuur te monitoren en onvoorziene omstandigheden te detecteren en te escaleren.

Event management is gebaseerd op gebeurtenissen die gedetecteerd worden door monitoring- of systeemtools. Deze gebeurtenissen kunnen bijvoorbeeld zijn:

  • Een fout in een applicatie

  • Een storing in een netwerkcomponent

  • Een abnormale toename van het CPU-gebruik

De gebeurtenissen die gedetecteerd worden, moeten relevant zijn voor de zakelijke of ICT-processen. Dit betekent dat ze een impact kunnen hebben op de beschikbaarheid, betrouwbaarheid of integriteit van deze processen.

Het is belangrijk om de juiste gebeurtenissen te selecteren voor event management. Dit kan gedaan worden op basis van drie criteria:

  • Detecteerbaarheid: De gebeurtenis moet detecteerbaar zijn met behulp van monitoring- of systeemtools.

  • Relevantie: De gebeurtenis moet relevant zijn voor de zakelijke of ICT-processen.

  • Actiemogelijkheid: Er moet een actie gedefinieerd kunnen worden in reactie op de gebeurtenis.

De bronsystemen of -toepassingen zijn verantwoordelijk voor het genereren van gebeurtenissen voor event management. Deze gebeurtenissen moeten geprioriteerd en gecategoriseerd worden door de bronsystemen.

De belangrijkste input van het bronsysteem voor het event management proces bestaat uit:

  • De criticiteit van het bronsysteem

  • De door het bronsysteem gegenereerde gebeurtenissen

  • De typering van de gebeurtenis (informatief, waarschuwing, uitzondering)

Event management beheert twee soorten gebeurtenissen:

  • Gebeurtenissen gegenereerd door het bronsysteem: Dit zijn de gebeurtenissen die oorspronkelijk door de bronsystemen of -toepassingen worden gegenereerd.

  • Het opvolgen van de beschikbaarheid en integriteit van deze gebeurtenissen: Dit omvat het controleren of de gebeurtenissen correct worden opgevangen door het event management proces en dat ze daadwerkelijk afkomstig zijn van het beoogde bronsysteem.

Wat zijn gebeurtenissen?

Gebeurtenissen (events) zijn waarneembare en meetbare veranderingen die impact kunnen hebben op ICT-infrastructuur of dienstverlening. Dit omvat fysieke omgevingsfactoren, systeemfouten en operationele berichten.

Wat is het verschil tussen een gebeurtenis en een incident?

Een incident is een ongeplande onderbreking of kwaliteitsvermindering in ICT-diensten. Een gebeurtenis is een statuswijziging die niet noodzakelijk een incident is.

Wat is gebeurtenisbeheer?

Gebeurtenisbeheer focust op het registreren en interpreteren van statuswijzigingen om tijdig in te grijpen. Het proces begint met de identificatie van belangrijke gebeurtenissen tijdens de ontwerpfase van het bronsysteem.

Hoe werkt gebeurtenisbeheer?

Gebeurtenisbeheer bestaat uit de volgende stappen:

  1. Detectie van gebeurtenissen uit systeem- en managementtools.

  2. Typering van gebeurtenissen als informatief, waarschuwend of uitzonderlijk.

  3. Filteren om irrelevante of redundante informatie uit te sluiten.

  4. Correleren van gebeurtenissen om verbanden en impact te bepalen.

  5. Bepalen van de juiste respons, variërend van automatische acties tot menselijke interventie of escalatie naar incidentbeheer.

  6. Review van acties om te verzekeren dat de reactie adequaat was.

Wat zijn succesfactoren voor effectief gebeurtenisbeheer?

Succesfactoren voor effectief gebeurtenisbeheer omvatten:

  • Correcte identificatie van belangrijke statuswijzigingen.

  • Definiëren van de juiste triggers voor interventie.

  • Erkennen van de 'normale' status om afwijkingen te kunnen beoordelen.

Wat is het verschil tussen gebeurtenisbeheer en monitoring?

Monitoring is breder dan gebeurtenisbeheer en continueert ook als er geen gebeurtenissen zijn. Het doel van monitoring is het bewaken van systeemstatussen en het genereren van gebeurtenissen voor verdere verwerking.

Conclusie

Gebeurtenisbeheer is cruciaal voor het handhaven van de stabiliteit en betrouwbaarheid van systemen en diensten. Het helpt om belangrijke veranderingen en potentiële problemen vroegtijdig te identificeren en aan te pakken.

Implementatiemaatregel

Conformiteitstoetsing

Hieronder vindt u een overzicht van de controles die worden ingezet voor het toetsen van de conformiteit aan het beleid.

Door deze controles uit te voeren, kan de organisatie de effectiviteit van haar beleid verzekeren, eventuele nalevingsproblemen aanpakken en de algehele conformiteit met interne en externe vereisten verbeteren.

Zie /wiki/spaces/ISMS/pages/6329503023 voor meer informatie.

Type

Controle

OPZET

BESTAAN

WERKING

Appendix

Relatie van het beleid met andere richtlijnen en standaarden

Regelgeving en standaarden (L1)

ISO 27001:2022 (Annex A)

Informatieveiligheidsstrategie van de Vlaamse overheid (L2)

Zie voor meer informatie.

Uitvoering van het beleid

Processen

Oplossingen

Document status

Titel

Auteur

Datum

Versie

Status

Opmerkingen

  • No labels