null


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 19 Next »

De procedure toetsing van maatregelen voor Digitaal Vlaanderen (DV) beschrijft hoe DV de toetsing van maatregelen voor een informatieasset uitvoert en hierover rapporteert.

Inhoud

Uitvoering van de toetsing van maatregelen

Zodra de informatieklasse (IK) voor een informatieasset werd bepaald in het proces informatieklassebepaling (IKB), zie Proces - Informatieklassebepaling en in het geval de IK van het informatieasset groter is dan 2, dient een toetsing te gebeuren van de beheersmaatregelen voor het informatieasset. Met IK wordt bedoeld het maximum van de scores voor beschikbaarheid, integriteit en vertrouwelijkheid.

Technische assets

De informatieveiligheidsfunctionaris (Information Security Officer (ISO)) initieert de toetsing met de asset-eigenaar (Asset Owner (AO)). In het geval van een hard- of software asset, wordt een toetsing van technische maatregelen (TTM) opgestart met de AO door middel van een TTM-sjabloon dat door de ISO ter beschikking wordt gesteld. De ISO stelt ook een handleiding ter beschikking voor het gebruik van het TTM-sjabloon.

In het geval de AO een bestaande IKB herziet ten gevolge van de jaarlijkse herziening of ten gevolge een wijziging, dient ook de bestaande TTM bevraging te worden herzien.

Indien er geen IKB voor het product werd uitgevoerd, kan de TTM niet starten.

De AO start de TTM door middel van een TTM-sjabloon dat door de ISO ter beschikking wordt gesteld. De ISO stelt ook een handleiding ter beschikking voor het gebruik van het TTM-sjabloon.

De ISO zal een meeting inplannen om de bevraging te overlopen met de AO.

In de meeting wordt met de AO besproken of de minimale maatregelen zoals bepaald in het informatieclassificatieraamwerk van de Vlaamse overheid (Vo-ICR) zijn geïmplementeerd.

De ISO maakt een analyse van de geïmplementeerde maatregelen en geeft een score voor de maturiteit van de maatregelen aan de hand van een gedefinieerde schaal (1 t/m 5) zoals aangegeven in de volgende tabel. De inschatting van de maturiteit moet worden uitgevoerd door de ISO.

Organisatie - en fysieke assets

Voor organisatie assets en fysieke assets wordt een toetsing van organisatorische- maatregelen (TOM) en fysieke maatregelen (TFM) minstens jaarlijks uitgevoerd door een ISO samen met de AO van deze assets door middel van een TOM- of TFM-sjabloon dat door de ISO ter beschikking wordt gesteld. De ISO stelt ook een handleiding ter beschikking voor het gebruik van het deze sjablonen.

Net zoals bij de TTM, wordt ook hier de maturiteit van de maatregelen ingeschat door de ISO.

Dashboard

De ISO past het asset-dashboard aan met de volgende velden:

  • Datum toetsing van maatregelen,

  • Auteur toetsing van maatregelen,

  • Status toetsing van maatregelen.

De ISO start vervolgens het proces risicobeoordeling met de AO, zie Proces - Risicobeoordeling.

Rapportering van de toetsing van maatregelen

Op maandelijkse basis berekent de ISO de KPI’s voor het toetsing van maatregelen proces, zie KPI's toetsing van maatregelen.

De ISO stuurt maandelijks de berekende KPI’s samen naar de CISO ter herziening.

De ISO stuurt maandelijks de berekende KPI’s samen met het asset-dashboard naar elk single point of contact (SPOC) dat werd aangeduid voor het faciliteren van risicobeheer in DV. Op basis hiervan kan deze verantwoordelijke een AO aanspreken indien de toetsing van maatregelen ontbreekt of overtijd is.

Op kwartaalbasis worden de berekende KPI’s samen met het asset-dashboard door de CISO, de DPO, de DV risicomanager en het DV directiecomité gevalideerd.

Document status

Titel

Auteur

Datum

Versie

Procedure toetsing van maatregelen

Guido Calomme

19/03/2024

1.0

  • No labels

null

Dit is een document voor publiek gebruik.