1. Informatieclassificatieraamwerk (ICR)
De voortdurende digitalisering van de Vlaamse overheid (hierna afgekort als “Vo”) en de toename van de informatieveiligheidsrisico’s noodzaken een consistente aanpak van de informatieveiligheid voor alle entiteiten van de Vlaamse overheid. De Informatieclassificatie past in deze strategie: het helpt u om informatie te classificeren binnen uw entiteit en de nodige maatregelen vast te leggen die uw informatie beschermen.
Met het Informatieclassificatieraamwerk (ICR) biedt de Vlaamse overheid alle entiteiten beleidslijnen aan om informatie onder te verdelen in informatieklassen en via een risico-evaluatie de nodige minimummaatregelen te voorzien. Deze gecoördineerde aanpak en de toepassing ervan op niveau van de entiteit sluit de rangen tegen cyberaanvallen. Dit raamwerk is bekrachtigd door de Vlaamse Regering en is aldus bindend voor alle entiteiten zoals beschreven in het bestuursdecreet.
Een gecoördineerde aanpak: van beleidslijnen tot een plan op maat van de entiteit
De Informatieclassificatie kwam tot stand en wordt continu verbeterd en aangepast dankzij de validatie door de Werkgroep Informatieveiligheid en de goedkeuring door het Stuurorgaan Vlaams Informatie – en ICT-beleid. De documenten die hieruit voortvloeien zijn bindend voor de Vlaamse administratie. De entiteiten volgen de bindende bepalingen maar moeten zelf de risico’s goed afwegen tussen de beschikbaarheid van vrije en open data en de bescherming van data in lijn met de informatieklassebepaling. De entiteiten vertalen het raamwerk naar hun eigen beleid. Dit beleid dient conform te zijn met het ICR.
Formele documentatie van het Informatieclassificatieraamwerk
Het Informatieclassificatieraamwerk is beschreven in een set van documenten over het ICR welke zijn goedgekeurd door het Stuurorgaan Vlaams Informatie – en ICT-beleid. Deze set documenten zijn vastgelegd in PDF en zijn leidend.
Er zijn twee documenten die de context en de werking van het ICR beschrijven:
Het document 'Organisatie informatieclassificatie: informatieveiligheid' geeft het brede kader weer rond informatieveiligheid, beschrijft de verschillende niveaus van documentatie en documenteert de processen voor beheer van het ICR. Het geeft bovendien inzicht in het raamwerk, hoe het tot stand komt en wie het beheert. Dit document is belangrijk voor iedereen binnen een entiteit met verantwoordelijkheid op het gebied van informatieveiligheid, dus met name leidinggevend topkader, de CISO, de DPO, de eigenaar en gedelegeerd eigenaar.
Het tweede document, genaamd ‘Vo informatieclassificatie – Organisatie_Informatieclassificatieraamwerk’, beschrijft het raamwerk zelf, de verschillende klassen, het principe van de minimale maatregelen en hoe het raamwerk moet worden toegepast. Dit document is belangrijk voor wie het raamwerk moet implementeren, dus met name de CISO en uitvoerders.
Aanvullend beschrijft een set van documenten de minimale maatregelen die onderdeel uitmaken van het ICR. Deze zijn te vinden op Informatieclassificatieraamwerk | Vlaanderen.be.
Het Informatieclassificatieraamwerk in Confluence
Op deze confluence-pagina’s is de formele documentatie toegankelijker gemaakt, en interactiever. Deze pagina’s zijn voortdurend in ontwikkeling, er worden tools en instrumenten toegevoegd, en links naar aanvullende informatie. Niet alle aangeboden documentatie heeft al een formele status, daarom is bij twijfel de set van documenten over het ICR vastgelegd in PDF leidend.
Opzet van het ICR in Confluence
Dit hoofdstuk https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964740 geeft de kaders weer voor het beleid en het gebruik van het ICR voor de invulling van informatieveiligheid binnen de Vo.
Paragraaf https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964982 geeft in het kort het stappenplan weer voor het gebruik van het ICR.
Paragraaf https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964978 geeft het brede kader weer rond informatieveiligheid, beschrijft de verschillende niveaus van documentatie en documenteert de processen voor beheer van het ICR. Het geeft bovendien inzicht in het raamwerk, hoe het tot stand komt en wie het beheert. Dit document is belangrijk voor iedereen binnen een entiteit met verantwoordelijkheid op het gebied van informatieveiligheid, dus met name leidinggevend topkader, de CISO, de DPO, de eigenaar en gedelegeerd eigenaar.
Paragraaf https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964994 beschrijft het raamwerk zelf, de verschillende klassen, het principe van de minimale maatregelen en hoe het raamwerk moet worden toegepast. Dit document is belangrijk voor wie het raamwerk moet implementeren, dus met name de CISO en uitvoerders.
Paragraaf https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964990 beschrijft de risicomethodiek en de risicoanalyse.
Paragraaf https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6415581786 bevat links naar onder andere communicatiemateriaal en aanvullende documentatie en ondersteuning.
Hoofdstuk https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964744 is nog in ontwikkeling. Hier gaan we in het kort de te volgen stappen beschrijven voor de implementatie van het ICR binnen een entiteit. Nog niet alle paragraven zijn gevuld. De paragraven die gevuld zijn, zijn al gepubliceerd.
Hoofdstuk https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964760 beschrijft de beheersmaatregelen die genomen kunnen worden om informatieveiligheid technisch in te regelen.
Hoofdstuk https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964772 beschrijft de IT Service Management beheersmaatregelen die genomen kunnen worden om informatieveiligheid te waarborgen.
Hoofdstuk https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964780 beschrijft de proces beheersmaatregelen die genomen kunnen worden om informatieveiligheid te waarborgen.
Hoofdstukhttps://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964784 beschrijft de fysieke beheersmaatregelen.
Hoofdstuk https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964788 beschrijft een aantal beheersmaatregelen die op L3 niveau toegepast kunnen worden.
Hoofdstuk https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964800 omvat de verzameling tools en instrumenten die ontwikkeld zijn voor de toepassing van het ICR, zoals beslisbomen, een tool voor de informatieklassebepaling en de selectie van de bijbehorende beheersmaatregelen.
Hoofdstuk https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964812 is nog in ontwikkelingen zal later worden toegevoegd. Hier gaan we in het kort de te volgen stappen beschrijven voor de toepassing van de PDCA-cyclus (Plan, Do, Check, Act). Voor de implementatie van het ICR is het toepassen van PDCA niet verplicht. Het is een methode om te zorgen dat maatregelen actueel zijn en er continue verbetering wordt toegepast.
Hoofdstuk https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964820 omvat onder andere een verklarende woordenlijst.
Hoofdstuk https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964837 wijst u de weg mocht u nog vragen hebben of aanvullingen.