2.3. Maatregelen selecteren en ontwerpen
- Yentl Goossens (Unlicensed)
- Kristel Van Aken
- Hijke Maes (Unlicensed)
- Natalie Braine
Als de informatieklasse van een informatie asset bepaald is, is het de volgende stap om de minimale maatregelen te selecteren op basis van de controle maatregelen die van toepassing zijn.
Hoe de minimale maatregelen geselecteerd moeten worden, staat uitgebreid beschreven in het Informatieclassificatieraamwerk (ICR).
Aanvullend heeft het Team Informatieveiligheid ook nog een aantal hulpmiddelen ontwikkeld ter ondersteuning.
2.3.1. Minimale maatregelen selecteren in het ICR
Via onderstaande links komt u snel bij de delen van het Informatieclassificatieraamwerk (ICR) die hierover gaan:
- In 1.3.5. Beheersmaatregelen wordt beschreven wat controlemaatregelen zijn en hoe ze werken.
- 1.3.5.1 Soorten beheersmaatregelen in dit onderdeel beschrijven we welke soorten controlemaatregelen er zijn.
- 1.3.5.2. Werkprincipes in dit onderdeel gaan we in op welke basisprincipes er zijn bij de toepassing van maatregelen.
- 1.3.5.3. Relatie tussen maatregelen en Informatieveiligheid hier geven we een globaal overzicht van de maatregelen en van het beoogde doel met betrekking tot Informatieveiligheid.
- 1.3.5.4. Beschrijving technische maatregelen hier krijgt u een globaal overzicht. De maatregelen zelf worden beschreven in 3. Beheersmaatregelen - Technologieën en 6. Beheersmaatregelen - Fysieke beveiliging
- 1.3.5.5. Beschrijving procedurele maatregelen geeft een globaal overzicht met links naar andere relevante maatregelen en documenten. De maatregelen zelf worden beschreven in 5. Beheersmaatregelen - Processen
- 1.3.5.6. Beschrijving servicemanagement hier gaan we in op ITIL, procesmatig werken en hoe de ITIL-processen samenhangen met het Informatieclassificatieraamwerk (ICR) en de minimale maatregelen. De maatregelen zelf worden beschreven in 4. Beheersmaatregelen - Service management
- In de 1.3. Beschrijving van het Informatieclassificatieraamwerk (ICR) wordt ook ingegaan op de levencyclus van een Informatieklassebepaling (IKB).
- Het is van groot belang de Informatieklassebepaling (IKB) regelmatig tegen het licht te houden en te bepalen of deze nog steeds relevant en correct is. De frequentie van deze oefening hangt af van de informatieklasse en staat beschreven in deze paragraaf.
Een mogelijk gevolg van deze oefening is het bijsturen van organisatorische en technische maatregelen op data die nu anders ingeschaald is. Dat betekent dat dus ook de selectie van de controlemaatregelen opnieuw bekeken moet worden. - De volgende stap in de selectie van maatregelen is de analyse ervan. Daarbij gebruikt u het "Pas toe of leg uit"-principe. De Flowchart van het Informatieclassificatieraamwerk (ICR) high-level proces in 2. Richtlijnen voor toepassing van het Informatieclassificatieraamwerk (ICR) geven de Informatieclassificatieraamwerk (ICR) processtappen schematisch weer. Meer informatie over het toepassen van maatregelen vindt u in /wiki/spaces/ICR/pages/6375964998.
2.3.2. Beschikbare hulpmiddelen
De Selectietool Minimale Maatregelen (8.3. Informatieklassebepaling en selectie van bijhorende maatregelen) bevat een tabblad Minimale Maatregelen waarmee u via na het invullen van de uitkomst van de Informatieklassebepaling (IKB) een overzicht krijgt van de controlemaatregelen die van toepassing zijn en de Minimale Maatregelen die daarbij horen. U kunt ook een deelselectie maken door te filteren op Categorie (bijvoorbeeld organisatorische maatregelen of technologische maatregelen), Type (preventief, detectief of reactief) of Capaciteit (bijvoorbeeld continuïteit, cryptografie of fysieke beveiliging).
Er is een apart tabblad genaamd KSZ, waar u de minimale normen vindt die door de KSZ gehanteerd worden.
U vindt hier ook een uitleg van het gebruik van de selectietool: 8.3.1. Uitleg van het gebruik van de selectietool. Op deze pagina vindt u ook een schematisch overzicht van alle Minimale Maatregelen per klasse voor vertrouwelijkheid, integriteit en beschikbaarheid, volgens ISO27001:2022: 8.3.3 Overzicht minimale maatregelen per klasse volgens ISO27001:2022
2.3.3. Overige informatie
Ter verduidelijking van het onderwerp informatieassets, heeft het Team Informatieveiligheid een handreiking ontwikkeld: Handreiking informatieassets
Gerelateerde pagina’s:
1.2.3. Rollen en verantwoordelijkheden
1.3.2. Kwaliteitskenmerken voor ICR
1.3.3. Definitie informatieasset
2.1. Informatieasset inventariseren en beschrijven
2.2. Informatieklassebepaling informatieassets
3. Beheersmaatregelen - Technologieën
4. Beheersmaatregelen - Service management
5. Beheersmaatregelen - Processen
6. Beheersmaatregelen - Fysieke beveiliging
8.3. Informatieklassebepaling en selectie van bijhorende maatregelen