Start van de IKB
Team Informatieveiligheid (TIV) houdt een asset-dashboard bij met gekende informatieassets. Een IKB wordt gestart voor gekende informatieassets tijdens de periodieke herziening van dit dashboard, of vanuit de afdelingen bij de implementatie van een nieuw informatieasset, of een belangrijke wijziging aan een bestaande informatieasset.
Periodieke herziening
Analyse van de zakelijke omgeving
Minstens op jaarbasis, initieert de informatiebeveiligingsfunctionaris (Information Security Officer (ISO)) van TIV een analyse van de zakelijke omgeving van DV, om op die manier de informatieassets van DV accuraat op te lijsten in het asset-dashboard. Een informatieasset is een bedrijfsmiddel dat informatie bevat (bijvoorbeeld een toepassing of een product) die waarde heeft voor de organisatie. Informatieassets worden beschouwd als waardevolle bezittingen van een organisatie omdat ze cruciale gegevens bevatten die nodig zijn voor het functioneren en de besluitvorming. Ze kunnen variëren in grootte en complexiteit, van individuele toepassingen op een werkstation tot bedrijfswijde toepassingen gebruikt in meerdere afdelingen. Ter verduidelijking van het onderwerp informatieassets, heeft TIV een handreiking ontwikkeld: Handreiking informatieassets.
Informatieassets zijn de units waarop het verdere verloop van risicobeheer steunt. Het laat de organisatie toe om in eerste instantie de waarde van de informatie te bepalen en in tweede instantie een analyse te maken van de risico’s die mogelijk deze waarde bedreigen zodat deze op de juiste manier kunnen worden behandeld, in lijn met het risico-appetijt van de directie.
Voor Digitaal Vlaanderen onderscheiden we de volgende types van informatieassets:
Technische assets, dit zijn alle hard- en software assets, verder onderverdeeld in:
Producten die worden ontwikkeld door Digitaal Vlaanderen voor de Vlaamse overheid. Voorbeelden zijn MAGDA, Geopunt, …
Interne toepassingen in gebruik binnen Digitaal Vlaanderen ter ondersteuning van zakelijke processen zoals ICT, HR en Finance. Voorbeelden zijn: ServiceNow, Jira, Dynamics, …
Platformen: hard- of software systemen die producten en interne toepassingen ondersteunen, dwz infrastructuur of horizontale assets. Voorbeelden zijn: SharePoint, Confluence, Office365, ….
Organisatie assets die toelaten de informatie te beschrijven die wordt beheerd op afdelingsniveau of op het niveau van de entiteit Digitaal Vlaanderen en hiervoor de risico’s te beoordelen.
Fysieke assets die toelaten de informatie en risico’s te beschrijven op het niveau van een gebouw, datacenter, of fysieke informatiedragers.
De ISO kan starten met de lijst van afdelingen van DV (zowel afdelingen die kernprocessen van DV ondersteunen als afdelingen die de ondersteunende processen van DV ondersteunen) om op die manier de informatieassets per afdeling en/of proces te identificeren. Hierbij wordt gewerkt met personen aangeduid als single point of contact (SPOC).
Producten zijn technologieën die DV beheert en aanbiedt aan de agentschappen van de Vlaamse overheid om deze te ondersteunen in hun digitale transformatie. Producten worden beschouwd als de voornaamste informatieassets van DV. Bijkomend moeten de afdelingen en processen zoals Strategie, Marketing, Communicatie, Finance, HR en ICT binnen DV worden beschouwd, en nagegaan worden welke informatieassets daar aanwezig zijn.
De ISO verzamelt de informatie van de verschillende bronnen binnen DV. Alle assets worden opgenomen in het asset-dashboard voor DV. Dit asset-dashboard wordt eveneens gebruikt worden om per asset de gegevens te bewaren om de Key Performance Indicators (KPI’s) te berekenen voor de status van het risicobeheersproces, zodat deze kunnen gevalideerd worden door de relevante stakeholders.
Platformen, organisatie assets en fysieke assets zijn generieke informatieassets die betrekking hebben op informatie van een zeer uiteenlopende aard. In de analyse van bedrijfsprocessen van afdelingen, kunnen deze generieke assets op meerdere plaatsen vermeld worden. Echter generieke informatieassets worden slechts éénmalig opgenomen in het asset-dashboard.
Beheer van het asset-dashboard
Op jaarbasis, legt de ISO het asset-dashboard voor aan elke SPOC ter herziening. Elke verantwoordelijke herziet het asset-dashboard voor volledigheid en bevestigt de informatieasset-eigenaar (Asset Owner (AO)) van de informatieassets onder zijn/haar verantwoordelijkheid.
Indien in een afdeling een nieuw informatieasset of een belangrijke wijziging aan een bestaand informatieasset wordt geïmplementeerd, dient de SPOC de ISO te informeren met vermelding van de AO, zodat deze het asset-dashboard kan aanpassen en men een IKB kan opstarten. Er moet dus niet gewacht worden op de periodieke herziening om een IKB op te starten.
De ISO neemt eveneens actie wanneer een IKB ouder is dan 1 jaar en vraagt in dat geval de AO van het desbetreffende product om de IKB te herzien.
Bij de herziening van een IKB voor een informatieasset dient ook de toetsing van technische maatregelen en de risicobeoordeling te worden herzien, zie desbetreffende procesbeschrijvingen.
De ISO noteert in het asset-dashboard:
de informatieasset-naam,
een korte beschrijving van het informatieasset,
het type informatieasset,
de afdeling die eigenaar is van het informatieasset,
de naam van de AO, en eventueel een bijkomende contactpersoon, en
de status van het informatieasset: nieuw, in ontwikkeling, in gebruik, buiten gebruik.
Uitvoering van de IKB
Een IKB wordt geïnitieerd:
bij de implementatie van een nieuwe asset of bij een belangrijke wijziging aan een bestaande asset, door de AO, of
voor bestaande assets door de ISO bij de herziening van het asset-dashboard, waarbij de AO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar, of
voor bestaande assets door het afdelingshoofd of TC bij de herziening van het asset-dashboard en KPI’s, waarbij de AO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar.
De AO start een IKB bevraging door middel van een IKB-sjabloon dat door de ISO ter beschikking wordt gesteld. Het doel van het sjabloon is om door middel van een vragenlijst te komen tot een inschatting van de IK voor Beschikbaarheid, integriteit en vertrouwelijkheid, zoals beschreven in Informatieclassificatieraamwerk (ICR). De ISO stelt ook een handleiding ter beschikking voor het gebruik van het sjabloon.
De ISO zal een meeting inplannen met de AO om de IKB bevraging te overlopen.
Na de meeting bepaalt de ISO de IK voor zowel Beschikbaarheid, Integriteit en Vertrouwelijkheid en noteert of het informatieasset Persoonsgegevens bevat.
De ISO laat de IK valideren door het Hoofd Informatiebeveiliging (Chief Information Security Officer (CISO)), al dan niet via een gedelegeerd persoon binnen TIV, en indien nodig wordt de IK herbepaald en opnieuw een meeting ingepland hiervoor met de AO.
Indien er persoonsgegevens worden verwerkt, vraagt de ISO aan de AO om een pre data protection impact assessment (pre-DPIA) uit te voeren, dewelke eveneens wordt gedocumenteerd door middel van een sjabloon dat wordt ter beschikking gesteld door de ISO. De pre-DPIA wordt gevalideerd door de Functionaris Gegevensbescherming (“Data Protection Officer” (DPO)). Indien nodig wordt dan door de ISO ook een data protection impact assessment (DPIA) opgestart met de AO op aangeven van de DPO.
De ISO past het asset-dashboard aan met de informatie ingevuld in het IKB-sjabloon met de volgende velden:
Beschikbaarheid: de IK voor de dimensie beschikbaarheid, aangegeven door een score van 1 tot 5,
Integriteit: de IK voor de dimensie integriteit, aangegeven door een score van 1 tot 5,
Vertrouwelijkheid: de IK voor de dimensie vertrouwelijkheid, aangegeven door een score van 1 tot 5,
Persoonsgegevens: ja of nee,
Datum van uitvoering van de IKB,
Naam van de persoon die de IKB uitvoerde,
Review datum IKB: uitvoeringsdatum + 1 jaar,
Status van de IKB: aangevraagd, gepland, bezig, afgewerkt, of on hold,
Status van de pre-DPIA: niet van toepassing, aangevraagd, gepland, bezig, afgewerkt, of on hold,
Status van de DPIA: niet van toepassing, aangevraagd, gepland, bezig, afgewerkt, of on hold.
Voor generieke informatieassets (platformen, organisatie assets en fysieke assets) hoeft geen individuele IKB bevraging per asset te worden uitgevoerd en wordt de volgende score ingevuld:
Beschikbaarheid: 4,
Integriteit: 4,
Vertrouwelijkheid: 4,
Persoonsgegevens: ja,
om aan te geven dat deze generieke assets zo beheerd moeten worden dat ze informatie van deze informatieklasse kunnen bevatten. In bepaalde gevallen kan de informatieklasse van generieke informatieassets worden verlaagd of verhoogd indien dit door de ISO op die manier wordt ingeschat samen met de AO (bijvoorbeeld Beschikbaarheid 3 in plaats van 4).
Indien één van de bovenstaande scores hoger is dan 2, start de ISO vervolgens het proces toetsing van maatregelen met de AO, zie https://vlaamseoverheid.atlassian.net/wiki/spaces/ISMS/pages/6503205176/Proces+-+Identificatie+van+maatregelen.
Rapportering
Op maandelijkse basis berekent de ISO de KPI’s voor het IKB proces, zie KPI's informatieklassebepaling.
De ISO stuurt maandelijks de berekende KPI’s samen naar de CISO ter herziening.
De ISO stuurt maandelijks de berekende KPI’s samen met het asset-dashboard naar elke SPOC. Op basis hiervan kan deze verantwoordelijke een AO aanspreken indien de IKB ontbreekt of overtijd is.
Op kwartaalbasis worden de berekende KPI’s samen met het asset-dashboard door de CISO, de DPO, de DV risicomanager en het DV directiecomité gevalideerd.
Titel | Auteur | Datum | Versie |
---|---|---|---|
Procedure informatieklassebepaling | Guido Calomme | 19/03/2024 | 1.0 |