4.6.2. Minimale maatregelen voor beheer van problemen 3.0

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

Nieuw toegevoegde tekst wordt overal in het rood weergegeven

4.6.2.1. Minimale algemene maatregelen

Het beheren van problemen omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de getroffen informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie ook hoofdstuk: ‘De bouwstenen van probleem beheer’):

Identificatie en registratie van het probleem;
Classificatie;
Prioriteit toekennen;
Mensen en middelen alloceren;
Onderzoek en diagnose;
Gekende fout documenteren (KED);
Actie ondernemen;
Probleem afsluiten.

De minimale beschikbaarheid van het proces 'beheer van problemen' zelf is eveneens afhankelijk van het type en klasse van de getroffen informatie. We onderscheiden beschikbaarheid tijdens kantooruren (10ux5dagen) en permanente beschikbaarheid (24ux7dagen).

Klasse-onafhankelijke maatregelen voor beschikbaarheid, integriteit en vertrouwelijkheid

IC klasse

Minimale maatregelen

PAS TOE

Inrichten, documenteren, valideren en regelmatig reviewen van een van een proces voor beheer van problemen:

Registratie van het probleem vanuit het proces incidentbeheer;
Classificatie van het probleem – dezelfde classificatie als voor incidenten wordt toegepast;
Mensen en middelen alloceren;
Onderzoek en diagnose uitvoeren;
Gekende fout documenteren (KED);
Actie ondernemen:
- Geplande wijziging: deze wordt verder opgenomen door wijzigingsbeheer;
- Niet-geplande wijziging: deze wordt verder opgenomen door release en deployment beheer;
- Indien beslist wordt om geen actie te ondernemen en indien er een rest risico aanwezig is, moet dit rest risico formeel geaccepteerd worden.
Probleem afsluiten.

Klasse-afhankelijke maatregelen

Vertrouwelijkheid en integriteit

IC klasse	Minimale maatregelen
	PAS TOE
	Klasse 1 en Klasse 2 kennen dezelfde maatregelen: Enkel P1 incidenten moeten verplicht doorgegeven worden naar probleembeheer; Gekende fout documenteren (KED) voor P1 problemen.
	Alle maatregelen van Klasse 1 / Klasse 2 + Incidenten vanaf P2 moeten verplicht doorgegeven worden naar probleembeheer; Opzetten rol probleembeheerder; Registratie van het probleem in een centraal logboek onder beheer van een probleembeheerder; Gekende fout documenteren (KED) voor problemen vanaf P2.
	PAS TOE OF LEG UIT
	Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Alle incidenten moeten verplicht doorgegeven worden naar probleembeheer; Alle gekende fouten documenteren (KED).
	Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 + Er moet steeds actie ondernomen worden door middel van een geplande (via wijzigingsbeheer) of niet-geplande (via release en deployment beheer) wijziging

Beschikbaarheid

IC klasse

Minimale maatregelen

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Beschikbaarheid van het proces probleembeheer is minimaal kantooruren (5d x 10u)

Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 +

Beschikbaarheid van het proces probleembeheer is 24u x 7d.

Vertrouwelijkheid en integriteit

IC klasse	Minimale maatregelen
	PAS TOE
	Klasse 2 en Klasse 3 kennen dezelfde maatregelen: Alle incidenten moeten verplicht doorgegeven worden naar probleembeheer; Alle gekende fouten documenteren (KED).
	PAS TOE OF LEG UIT
	Klasse 4 en Klasse 5 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 Er moet steeds actie ondernomen worden door middel van een geplande (via wijzigingsbeheer) of niet-geplande (via release en deployment beheer) wijziging.