Start van de IKB
Team Informatieveiligheid (TIV) houdt een dashboard bij met gekende informatieassets. Een IKB wordt gestart vanuit TIV voor gekende informatieassets tijdens de periodieke herziening van dit dashboard, of vanuit de afdelingen bij de implementatie van een nieuw informatieasset, of een belangrijke wijziging aan een bestaande informatieasset.
Periodieke herziening
Analyse van de zakelijke omgeving
Op jaarbasis, analyseert de informatiebeveiligingsfunctionaris (“Information Security Officer” (ISO)) van TIV de zakelijke omgeving van DV, en inventariseert de ISO de informatieassets van DV. Een informatieasset is een bedrijfsmiddel dat informatie bevat (bijvoorbeeld een toepassing of een product) die waarde heeft voor de organisatie. Informatieassets worden beschouwd als waardevolle bezittingen van een organisatie omdat ze cruciale gegevens bevatten die nodig zijn voor het functioneren en de besluitvorming. Ze kunnen variëren in grootte en complexiteit, van individuele toepassingen op een werkstation tot bedrijfswijde toepassingen gebruikt in meerdere afdelingen. Ter verduidelijking van het onderwerp informatieassets, heeft TIV een handreiking ontwikkeld: Handreiking informatieassets.
De ISO kan starten met de lijst van zakelijke processen per afdeling van DV (zowel kernprocessen als ondersteunende processen) om op die manier de informatieassets per proces te identificeren met elke afdelingsverantwoordelijke. Producten zijn technologieën die DV beheert en aanbiedt aan de agentschappen van de Vlaamse overheid om deze te ondersteunen in hun digitale transformatie. Producten worden beschouwd als de voornaamste informatieassets van DV en worden in de kernprocessen beheerd. Bijkomend moeten de ondersteunende processen zoals Marketing, Finance, HR en TIV zelf binnen DV worden beschouwd, en nagegaan worden welke informatieassets daar aanwezig zijn.
De ISO verzamelt informatie van verschillende bronnen binnen DV. Alle assets worden opgenomen in het asset-dashboard voor DV: <link toevoegen>. Dit asset-dashboard wordt eveneens gebruikt worden om per asset de gegevens te bewaren om de Key Performance Indicators (KPI’s) te berekenen voor de status van elk ISMS proces.
Sommige informatieassets moeten beschouwd worden als generieke informatieassets. Voorbeelden zijn: MS Office, Sharepoint, Confluence,…. Deze generieke informatieassets worden op verschillende (zoniet alle) afdelingen van DV gebruikt en kunnen data bevatten van een zeer uiteenlopende aard en kriticiteit. In de analyse van bedrijfsprocessen van afdelingen, kunnen deze generieke assets op meerdere plaatsen vermeld worden. Echter generieke informatieassets worden slechts éénmalig opgenomen in het asset-dashboard.
Beheer van het asset-dashboard
Op jaarbasis, stuurt de ISO het asset-dashboard naar elk afdelingshoofd ter herziening. Elk afdelingshoofd herziet het asset-dashboard voor volledigheid voor zijn/haar afdeling, en bevestigt de informatieasset-eigenaar (“Asset Owner” (AO) van de informatieassets onder zijn/haar verantwoordelijkheid. Als alternatief en/of aanvulling voor de afdelingshoofden kan ook gewerkt worden met één of meerdere personen gedelegeerd door het afdelingshoofd binnen elke afdeling, bijvoorbeeld een team coach (TC).
Indien in een afdeling een nieuw informatieasset of een belangrijke wijziging aan een bestaand informatieasset wordt geïmplementeerd, dient het afdelingshoofd/TC de ISO te informeren met vermelding van de AO, zodat deze het asset-dashboard kan aanpassen en een IKB kan opstarten. Er moet dus niet gewacht worden op de periodieke herziening om een IKB op te starten.
De ISO neemt eveneens actie wanneer een IKB ouder is dan 1 jaar en vraagt in dat geval de AO van het desbetreffende product om de IKB te herzien.
Bij de herziening van een IKB voor een informatieasset dient ook de toetsing van technische maatregelen en de risicobeoordeling te worden herzien, zie desbetreffende procesbeschrijvingen.
De ISO noteert in het asset-dashboard:
de informatieasset-naam,
een korte beschrijving van het informatie-asset,
het type informatieasset,
de afdeling die eigenaar is van het informatie-asset,
de naam van de AO, en eventueel een bijkomende contactpersoon, en
de status van het informatieasset: nieuw, in ontwikkeling, in gebruik, buiten gebruik.
Uitvoering van de IKB
Een IKB wordt geïnitieerd:
bij de implementatie van een nieuwe asset of bij een belangrijke wijziging aan een bestaande asset, door de AO, of
voor bestaande assets door de ISO bij de herziening van het asset-dashboard, waarbij de AO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar, of
voor bestaande assets door het afdelingshoofd of TC bij de herziening van het asset-dashboard en KPI’s, waarbij de AO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar.
De AO start de IKB bevraging door middel van het sjabloon Selectietool minimale maatregelen.
De AO stuurt de ingevulde bevraging ter validatie naar security@vlaanderen.be.
De ISO zal een meeting inplannen met de AO om de bevraging te overlopen.
Na de meeting bepaalt de ISO de IK voor zowel Beschikbaarheid, Integriteit en Vertrouwelijkheid en noteert of het informatieasset Persoonsgegevens bevat, zoals beschreven in Informatieclassificatieraamwerk (ICR).
De ISO laat de IK valideren door het Hoofd Informatiebeveiliging (“Chief Information Security Officer” (CISO)), al dan niet via een gedelegeerd persoon binnen TIV, en indien nodig word de IK herbepaald en opnieuw een meeting ingepland hiervoor met de AO.
Indien er persoonsgegevens worden verwerkt en de IK voor vertrouwelijkheid hoger is dan 2, vraagt de ISO aan de AO om een pre-DPIA (“Data Protection Impact Assessment”) uit te voeren, dewelke eveneens wordt gedocumenteerd door middel van het sjabloon Selectietool minimale maatregelen. De pre-DPIA wordt gevalideerd door de DPO. Indien nodig wordt dan door de ISO ook een DPIA opgestart met de AO.
De ISO past het IKB dashboard aan met de informatie ingevuld in het sjabloon Selectietool minimale maatregelen, met de volgende velden:
Beschikbaarheid: de IK voor de dimensie beschikbaarheid, aangegeven door een score van 1 tot 5,
Integriteit: de IK voor de dimensie integriteit, aangegeven door een score van 1 tot 5,
Vertrouwelijkheid: de IK voor de dimensie vertrouwelijkheid, aangegeven door een score van 1 tot 5,
Persoonsgegevens: ja of nee,
Datum van uitvoering van de IKB,
Naam van de persoon die de IKB uitvoerde,
Review datum IKB: uitvoeringsdatum + 1 jaar,
Status van de IKB: aangevraagd, gepland, bezig, afgewerkt, of on hold,
Status van de pre-DPIA: niet van toepassing, aangevraagd, gepland, bezig, afgewerkt, of on hold,
Status van de DPIA: niet van toepassing, aangevraagd, gepland, bezig, afgewerkt, of on hold.
Voor generieke informatieassets hoeft geen IKB te worden uitgevoerd en wordt de volgende score ingevuld:
Beschikbaarheid: 5,
Integriteit: 2,
Vertrouwelijkheid: 5,
Persoonsgegevens: ja.
De ISO start vervolgens het proces toetsing van maatregelen met de AO, zie https://vlaamseoverheid.atlassian.net/wiki/spaces/ISMS/pages/6503205176/Proces+-+Identificatie+van+maatregelen.
Rapportering
Op maandelijkse basis berekent de ISO de KPI’s voor het IKB proces, zie KPI's informatieklassebepaling.
De ISO stuurt maandelijks de berekende KPI’s samen met het product-dashboard naar de CISO ter herziening.
De ISO stuurt maandelijks de berekende KPI’s samen met het product-dashboard eveneens naar de afdelingshoofden en/of TCs. Op basis hiervan kan het afdelingshoofd en TC een AO aanspreken indien de IKB ontbreekt of overtijd is.
Op kwartaalbasis worden de berekende KPI’s samen met het product-dashboard door de CISO, de DV risicomanager en het DV directiecomité herzien.