null


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 21 Next »

De procedure toetsing van maatregelen voor Digitaal Vlaanderen beschrijft hoe de toetsing van maatregelen voor een informatieasset wordt uitgevoerd en hierover gerapporteerd.

Inhoud

Uitvoering van de toetsing van maatregelen

Zodra de informatieklasse (IK) voor een informatieasset werd bepaald in het proces informatieklassebepaling (IKB), zie Proces - Informatieklassebepaling en in het geval de IK van het informatieasset groter is dan 2, dient een toetsing te gebeuren van de beheersmaatregelen voor het informatieasset. Met IK wordt bedoeld het maximum van de scores voor beschikbaarheid, integriteit en vertrouwelijkheid.

Technische assets

In het geval van een technisch asset, wordt door de informatieveiligheidsfunctionaris (Information Security Officer (ISO)) een toetsing van technische maatregelen (TTM) opgestart met de applicatie-eigenaar (Asset Owner (AO)) door middel van een TTM-sjabloon dat door de ISO ter beschikking wordt gesteld. De ISO stelt ook een handleiding ter beschikking voor het gebruik van het TTM-sjabloon.

In het geval de AO een bestaande IKB herziet ten gevolge van de jaarlijkse herziening of ten gevolge een wijziging, dient ook de bestaande TTM bevraging te worden herzien.

Indien er geen IKB voor het asset werd uitgevoerd, kan de TTM niet starten, en moet deze eerst worden uitgevoerd, zie Proces - Informatieklassebepaling.

De ISO zal een meeting inplannen om de TTM-bevraging te overlopen met de AO. In de meeting wordt met de AO besproken of de minimale maatregelen zoals bepaald in het informatieclassificatieraamwerk van de Vlaamse overheid (Vo-ICR) zijn geïmplementeerd.

De ISO maakt een analyse van de geïmplementeerde maatregelen en geeft een score voor de maturiteit van de maatregelen aan de hand van een gedefinieerde schaal (1 t/m 5) zoals aangegeven in de volgende tabel. De inschatting van de maturiteit moet worden uitgevoerd door de ISO.

Organisatie - en fysieke assets

Voor organisatie assets en fysieke assets wordt een toetsing van organisatorische maatregelen (TOM) en fysieke maatregelen (TFM) minstens jaarlijks uitgevoerd door een ISO door middel van een TOM- of TFM-sjabloon.

Net zoals bij de TTM, wordt ook hier de maturiteit van de maatregelen ingeschat door de ISO volgens dezelfde scores als voor de TTM.

Dashboard

De ISO past het asset-dashboard aan met de volgende velden:

  • Datum toetsing van maatregelen,

  • Auteur toetsing van maatregelen,

  • Status toetsing van maatregelen.

De ISO start vervolgens het proces risicobeoordeling met de AO, zie Proces - Risicobeoordeling.

Rapportering van de toetsing van maatregelen

Op maandelijkse basis berekent de ISO de KPI’s voor het toetsing van maatregelen proces, zie KPI's toetsing van maatregelen.

De ISO stuurt maandelijks de berekende KPI’s samen naar de CISO ter herziening.

De ISO stuurt maandelijks de berekende KPI’s samen met het asset-dashboard naar elk single point of contact (SPOC) dat werd aangeduid voor het faciliteren van risicobeheer in DV. Op basis hiervan kan deze verantwoordelijke een AO aanspreken indien de toetsing van maatregelen ontbreekt of overtijd is.

Op kwartaalbasis worden de berekende KPI’s samen met het asset-dashboard door de CISO, de DPO, de DV risicomanager en het DV directiecomité gevalideerd.

Document status

Titel

Auteur

Datum

Versie

Procedure toetsing van maatregelen

Guido Calomme

19/03/2024

1.0

  • No labels