You are viewing an old version of this page. View the current version.
Compare with Current
View Page History
« Previous
Version 2
Next »
4.1.2.1. Minimale algemene maatregelen
Het beheren van configuratie-items omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de getroffen informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie hoofdstuk ‘De bouwstenen van asset- en configuratie beheer’)
- Registratie;
- Administratie;
- Statusbewaking;
- Verificatie.
Het proces zelf is minimaal beschikbaar tijdens kantooruren (10ux5dagen).
De CMS moet 24x7 beschikbaar zijn.
- De informatie in de CMS krijgt minimaal vertrouwelijkheidsklasse 3 en integriteitsklasse 2 toegewezen.
In volgende paragrafen worden enkele noodzakelijke attributen verduidelijkt.
Vertrouwelijkheid
| Klasse 1, Klasse 2 en Klasse 3 kennen dezelfde maatregelen:
- Alle ICT-componenten die deel uitmaken van de ICT-architectuur nodig voor de ICT-dienstverlening moeten gedefinieerd worden als configuratie-item in de CMS;
- Elke ICT-component die ook een configuratie-item is, moet geregistreerd worden in de CMS;
- Elk configuratie-item moet beheerd worden, d.w.z. toegevoegd indien nieuw, de nodige attributen wijzigen waar nodig, uit de CMS verwijderen zodra uitgefaseerd.
- Van elk configuratie-item moet de status bijgehouden en up-to-date gehouden worden;
- Jaarlijks moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?
- Jaarlijks moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is
|
| Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 +
- Tweemaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?
- De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en).
- Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is.
|
| Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 + Klasse 4 +
- Viermaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?
- De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en aan de DPO.
- Tweemaal per jaar of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is.
|
Integriteit
| - Alle ICT-componenten die deel uitmaken van de ICT-architectuur nodig voor de ICT-dienstverlening moeten gedefinieerd worden als configuratie-item in de CMS;
- Elke ICT-component die ook een configuratie-item is, moet geregistreerd worden in de CMS;
- Elk configuratie-item moet beheerd worden, d.w.z. toegevoegd indien nieuw, de nodige attributen wijzigen waar nodig, uit de CMS verwijderen zodra uitgefaseerd.
- Van elk configuratie-item moet de status bijgehouden en up-to-date gehouden worden;
- Jaarlijks moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?
- Jaarlijks moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is.
|
| Klasse 2 en Klasse 3 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 +
- De informatie in de CMS krijgt minimaal integriteitsklasse 2 – toepassen van de minimale maatregelen voor deze klasse
|
| Alle maatregelen van Klasse 1 + Klasse 2 / Klasse 3 +
- Tweemaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?
- De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en).
- Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is.
|
| Alle maatregelen van Klasse 1 + Klasse 2 / Klasse 3 + Klasse 4 +
- Viermaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?
- De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en aan de DPO.
- Tweemaal per jaar of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is
|
Beschikbaarheid
| Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:
|
4.1.2.2. Minimale specifieke (GDPR) maatregelen
De minimale algemene fysieke maatregelen moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing.
Vertrouwelijkheid
| - Er zijn geen GDPR maatregelen voor Klasse 1.
|
| Klasse 2 t/m Klasse 5 kennen dezelfde maatregelen:
- Jaarlijks of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?
- De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en naar de DPO.
- Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is
|
Integriteit
| - Er zijn geen GDPR maatregelen voor Klasse 1.
|
| Klasse 2 t/m Klasse 5 kennen dezelfde maatregelen:
- Jaarlijks of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?
- De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en naar de DPO.
- Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is
|
| Klasse 4en Klasse 5 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 +
- Tweemaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid.
|
Beschikbaarheid
Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.
4.1.2.3. Minimale specifieke (NISII) maatregelen
In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII maatregelen.
4.1.2.4. Minimale specifieke (KSZ) maatregelen
De minimale algemene maatregelen voor asset- en configuratiebeheer moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk ‘minimale algemene maatregelen’).
Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van asset- en configuratiebeheer toegepast worden: TBA.
