1.1.4.2.1. Documentatie van het ICR
Er zijn 3 omgevingen waar documentatie van het ICR wordt bijgehouden:
Op de SharePoint van het Team Informatieveiligheid (Digitaal Vlaanderen - Team informatieveiligheid - Informatieveiligheid - Alle documenten (sharepoint.com)): in deze omgeving worden de werkversies bijgehouden en de laatste door het Stuurorgaan goedgekeurde Word versie. De toegang is beperkt tot de beheerders van de documenten, namelijk het Team Informatieveiligheid.
Op de website Informatieclassificatieraamwerk | Vlaanderen.be: deze pagina is voor iedereen toegankelijk (eventueel na verzoek tot toegang) en bevat de laatste documenten in pdf-formaat goedgekeurd door het Stuurorgaan. Dit zijn de officiële documenten. Deze set documenten is ook nuttig om te overhandigen tijdens audits.
Op de Confluence pagina: ook deze pagina is voor iedereen toegankelijk (eventueel mits aanvragen van toegang) en bevat dezelfde informatie als op de website maar is makkelijker te doorzoeken.
1.1.4.2.2. Levenscyclus van het ICR
Het ICR bestaat dus uit een reeks documenten die behoren tot niveau 2. Deze documenten moeten consequent onderhouden worden. Dit houdt in dat het ICR minstens jaarlijks, of bij significante wijzigingen in de wet- en regelgeving, nagekeken en waar nodig herwerkt wordt.
De flow van de documenten ziet er als volgt uit:
Het Team Informatieveiligheid, dat instaat voor het onderhoud van het ICR, voert de nodige wijzigingen uit;
Afhankelijk van de grootte van de wijzigingen wordt een taakgroep en/of een leespanel samengesteld om de (ver)nieuw(d)e documenten samen te stellen en na te kijken;
De nieuwe versie wordt voorgesteld aan de Werkgroep Informatieveiligheid – beleid ter validatie (de leden van deze werkgroep maken ook automatisch deel uit van het leespanel);
Zodra de werkgroep informatieveiligheid de nieuwe versie heeft gevalideerd (eventueel na iteratie), wordt het document ter goedkeuring voorgelegd aan het Stuurorgaan Vlaams Informatie- en ICT-beleid;
Na goedkeuring door het stuurorgaan wordt het document gepubliceerd op de website en waar nodig de Confluence pagina aangepast en tevens voorgesteld aan de werkgroep informatieveiligheid – community.
De activiteiten van deze jaarlijkse herziening zijn:Evaluatie van de criteria op basis van gewijzigde regelgeving;
Evaluatie van de maatregelen op basis van geïdentificeerde risico’s:
Aanpassen;
Vervangen;
Verwijderen;
Toevoegen.
Enkele mogelijke gevolgen van deze oefening zijn:
Een revaluatie van datasets bij wijziging van classificatiecriteria en/of maatregelen;
Bijsturing van bestaande technische en organisatorische maatregelen.
1.1.4.2.3. Opvolging en monitoring
Om de implementatie van het ICR door de entiteiten op te volgen, wordt een proces ontwikkeld waarbij nagegaan wordt of/in hoeverre een entiteit voldoet aan het ICR via een self-assessment. Dit is nog werk in uitvoering.