Document toolboxDocument toolbox

4.2.2. Minimale maatregelen voor beheer aanvragen 3.0

Owned by Kenzo Vertenten (VO)
Last updated: 24 Dec, 2024 by Kristel Van Aken
5 min read

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

4.2.2.1. Minimale algemene maatregelen

Het behandelen van serviceaanvragen omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de getroffen informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie hoofdstuk: ‘De bouwstenen van behandelen van serviceaanvragen’):

  • Indienen van de aanvraag;

  • Registratie van de aanvraag;

  • Categorisatie van de serviceaanvraag (vraag om informatie of serviceaanvraag);

  • Impact serviceaanvraag bepalen;

  • Urgentie van de serviceaanvraag bepalen;

  • Inplannen van de serviceaanvraag;

  • Uitvoeren van de serviceaanvraag;

  • Validatie van de serviceaanvraag;

  • Afsluiten van de serviceaanvraag.

De minimale beschikbaarheid van het proces zelf is eveneens afhankelijk van het type en klasse van de getroffen informatie. We onderscheiden beschikbaarheid tijdens kantooruren (10ux5dagen) en permanente beschikbaarheid (24ux7dagen). 

Klasse-onafhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid

IC klasse

Minimale maatregelen

IC klasse

Minimale maatregelen

 

PAS TOE

 

image-20241212-102915.png

 

Inrichten van een proces beheer van aanvragen: 

  • Indienen van de aanvraag bij een centraal meldpunt (helpdesk, team leader, ICT-correspondent); 

  • Registratie van de aanvraag in een logboek; 

  • Categorisatie van de serviceaanvraag (vraag om informatie of serviceaanvraag); 

  • Impact van de serviceaanvraag bepalen; 

  • Urgentie van de serviceaanvraag bepalen; 

  • Inplannen van de serviceaanvraag; 

  • Uitvoeren van de serviceaanvraag; 

  • Post-validatie van de serviceaanvraag; 

  • Afsluiten van de serviceaanvraag

Klasse-afhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid

Vertrouwelijkheid  

IC klasse

Minimale maatregelen

IC klasse

Minimale maatregelen

 

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

  • Serviceaanvraag heeft geen of lage impact;

  • Automatische goedkeuring van de serviceaanvraag op voorwaarde dat het type wijziging vooraf door de CAB is goedgekeurd en gedocumenteerd;

  • Post-validatie van de serviceaanvraag verplicht voor P1 serviceaanvragen.

Alle maatregelen van Klasse 1 / Klasse 2 +

  • Registratie van de aanvraag in een centraal beheerd logboek;

  • De informatie in het logboek krijgt minimaal vertrouwelijkheidsklasse 3 – toepassen van de minimale maatregelen voor deze klasse;

  • Impact serviceaanvraag minstens medium.

 

PAS TOE OF LEG UIT

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

  • Impact van serviceaanvraag is altijd hoog;

  • Rapportering van uitgevoerde serviceaanvragen naar CAB;

  • Post-validatie vanaf P2 serviceaanvragen met rapportering naar CAB. 

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

  • Geen vooraf goedgekeurde wijzigingen toegelaten;

  • Goedkeuring door CAB (inclusief DPO) met in acht name van scheiding van functies en 4EYES validatie;

  • Altijd post-validatie met rapportering naar CAB/ DPO.

 

Integriteit: idem vertrouwelijkheid +

IC klasse

Minimale maatregelen

IC klasse

Minimale maatregelen

 

PAS TOE

Alle maatregelen van vertrouwelijkheid +

  • De informatie in het logboek krijgt minimaal integriteitsklasse 2 – toepassen van de minimale maatregelen voor deze klasse.

 

Beschikbaarheid

IC klasse

Minimale maatregelen

IC klasse

Minimale maatregelen

 

PAS TOE

 

Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:

  • Beschikbaarheid van het proces behandelen van serviceaanvragen is minimaal kantooruren (5d x 10u) 

 

4.2.2.2. Minimale specifieke (GDPR) maatregelen

De minimale algemene fysieke maatregelen moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk ‘minimale algemene maatregelen’).

Vertrouwelijkheid

Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van vertrouwelijkheid.

 

Integriteit

IC klasse

Minimale maatregelen

IC klasse

Minimale maatregelen

 

PAS TOE

Er zijn geen GDPR maatregelen voor Klasse 2

 

 

 

 

Maatregelen voor Klasse 3

  • Automatische goedkeuring van de serviceaanvraag op voorwaarde dat het type wijziging vooraf door de CAB inclusief DPO is goedgekeurd en gedocumenteerd;

  • Rapportering van uitgevoerde serviceaanvragen naar CAB;

  • Post-validatie vanaf P2 serviceaanvragen met rapportering naar CAB/ DPO

 

PAS TOE OF LEG UIT

 

Maatregelen voor Klasse 4:

Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 +

  • Geen vooraf goedgekeurde wijzigingen toegelaten;

  • Goedkeuring door CAB (inclusief DPO) met in acht name van scheiding van functies en 4EYES validatie;

  • Altijd post-validatie met rapportering naar CAB/ DPO.

 

Er zijn geen GDPR maatregelen voor klasse 5.

 

Beschikbaarheid

Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid. 

4.2.2.3. Minimale specifieke (NIS2) maatregelen

NIS2 is een Europese richtlijn  bedoeld om de cyberbeveiliging en weerbaarheid van kritieke diensten in EU-lidstaten te verbeteren.

 Alle minimale algemene maatregelen worden verplicht toegepast (geen ‘leg uit’).

4.2.2.4. Minimale specifieke (KSZ) maatregelen

De Minimale Normen van de Kruispuntbank Sociale Zekerheid zijn van kracht op de verwerking van sociale gegevens van persoonlijke aard. De minimale normen informatieveiligheid en privacy moeten echter ook worden toegepast wanneer instellingen gemachtigd zijn om onder bepaalde voorwaarden toegang te hebben tot het Rijksregister en om het identificatienummer van het Rijksregister te gebruiken.

Er zijn geen KSZ specifieke maatregelen gedefinieerd.