2.2. Informatieklassebepaling informatieassets
Hoe een informatieklassebepaling (vaak afgekort tot IKB) gedaan moet worden, staat uitgebreid beschreven in het ICR. Aanvullend heeft het Team Informatieveiligheid ook nog een aantal hulpmiddelen ontwikkeld ter ondersteuning.
2.2.1. Informatieklassebepaling in het ICR
Via onderstaande links komt u snel bij de delen van het ICR die over de IKB gaan.
- In 1.3.2. Kwaliteitskenmerken voor ICR wordt een beschrijving gegeven van de kwaliteitskenmerken vertrouwelijkheid, integriteit en beschikbaarheid, en de relatie tussen vertrouwelijkheid en integriteit.
- In 1.3.4.2 Hoe het ICR toe te passen in de praktijk worden een aantal handreikingen gegeven over het toepassen van het ICR, waaronder de levenscyclus en de relatie met risicobeheer.
- 1.3.4.3 Informatieklassen en impact gaat in op de relatie tussen de informatieklasse en impact, en bevat onder andere een definitie van de impactschalen. In 1.3.4.4 Impactschalen wordt daar verder op ingegaan. Deze paragraaf bevat ook specifieke impactschalen voor persoonsgegevens en Beschikbaarheid, Integriteit en Vertrouwelijkheid (ook wel afgekort tot BIV, of CIA in het Engels).
- De informatieklassebepaling van een informatieasset is niet altijd eenvoudig, omdat de informatieasset van uit meerdere componenent bestaat, en uit verschillende informatiebronnen kan zijn samengesteld. Hoe je daar mee om gaat en de IKB kunt doen, staat beschreven in 1.3.4.5. Samengestelde informatiebronnen. Deze paragraaf bevat ook een beschrijving van de te volgen stappen met een grafisch overzicht van de vereenvoudiging.
- Als u de informatieklasse bepaald heeft, volgt de selectie van de controlemaatregelen. Meer informatie daarover vindt u in 1.3.5. Beheersmaatregelen en 2.3. Maatregelen selecteren en ontwerpen.Â
- Als de informatieklasse 3 of hoger is, is een risicoanalyse verplicht. Meer hierover vindt u in 1.4. Risicobeheer en 2.4. Risicoanalyse.
- In de 1.3. Beschrijving van het ICR wordt ook ingegaan op de levencyclus van een IKB. Het is van groot belang de IKB regelmatig tegen het licht te houden en te bepalen of deze nog steeds relevant en correct is. De frequentie van deze oefening hangt af van de informatieklasse en staat beschreven in deze paragraaf.Â
- Bij het doen van een IKB zijn meerdere partijen betrokken. Wie dit kunnen zijn staat beschreven in 1.2.3. Rollen en verantwoordelijkheden. In ieder geval zijn dit de eigenaar van de informatieasset, de CISO en de DPO, maar het kan ook nodig zijn om anderen te betrekken.
- De tab Conclusie & Advies van de selectietool minimale maatregelen (8.3. Informatieklassebepaling en selectie van bijhorende maatregelen) kan u helpen bij het vastleggen van de IKB en de terugkerende review ervan.Â
2.2.2. Beschikbare hulpmiddelen
De Selectietool minimale maatregelen (8.3. Informatieklassebepaling en selectie van bijhorende maatregelen) bevat een tabblad Informatieklassebepaling waarmee u via het beantwoorden van een aantal vragen door de IKB geleid wordt. Op die manier bepaalt u voor elke informatieasset de informatieklasse voor Beschikbaarheid, Integriteit en Vertrouwelijkheid, en of er Persoonsgegevens verwerkt worden. U vindt hier ook een uitleg van het gebruik van de selectietool.
Deze tool maakt gebruik van onderstaande beslisbomen met daarin een schematisch overzicht, om zelf mee aan de slag te gaan om de vertrouwelijkheid, integriteit en beschikbaarheid te bepalen.Â
- Beslissingsboom voor beschikbaarheid
- Beslissingsboom voor integriteit
- Beslissingsboom voor vertrouwelijkheid
2.2.3. Overige informatie
Ter verduidelijking van het onderwerp informatieassets, heeft het Team Informatieveiligheid een handreiking ontwikkeld: Handreiking informatieassets
Gerelateerde pagina’s:
1.2.3. Rollen en verantwoordelijkheden
1.3.2. Kwaliteitskenmerken voor ICR
1.3.3. Definitie informatieasset
2.1. Informatieasset inventariseren en beschrijven
2.3. Maatregelen selecteren en ontwerpen
8.3. Informatieklassebepaling en selectie van bijhorende maatregelen