1.3.4.1 Componenten van het ICR
Zoals uitgelegd in het paragraaf https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6394085438 , behoort het ICR tot documentatie level 2. Het bestaat uit volgende componenten:
De basis van het raamwerk wordt gevormd door de informatieklassen. Er zijn 5 klassen, telkens voor vertrouwelijkheid, integriteit en beschikbaarheid (zie https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964873 ).
Elk significant informatie-asset moet een klasse voor vertrouwelijkheid, een klasse voor integriteit en een klasse voor beschikbaarheid toegewezen krijgen. Dit proces is cruciaal omdat het de basis vastlegt voor de beveiliging van het informatie-asset.Het bepalen van de informatieklassen voor een informatie-asset is een eerste, belangrijke stap om te bepalen welke technische en organisatorische maatregelen moeten worden genomen om het geschikte niveau van veiligheid te bereiken. Deze maatregelen vormen het tweede element in het raamwerk. Er zijn minimale maatregelen gedefinieerd binnen het raamwerk voor elke informatieklasse.
Structuur
De structuur van het ICR ziet er als volgt uit:
Opzet ICR
Het ICR omvat de hoofdstukken:
Hoofdstuk 1 over de organisatie van informatieveiligheid (https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964740), met daarin:
Paragraaf https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964994 (huidige paragraaf): beschrijft de principes, werking en toepassing van het ICR.
Paragraaf https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964978 geeft het brede kader weer rond informatieveiligheid, hoe het raamwerk tot stand komt en wie het beheert.
Paragraaf https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964990 beschrijft de risicomethodiek en de risicoanalyse.
Paragraaf https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964982 geeft in het kort het stappenplan weer voor het gebruik van het ICR.
Hoofstukken 3 tot en met 6 bevatten een overzicht van de baseline maatregelen volgens ISO27001: inventaris van alle maatregelen volgens de verschillende klassen.
Hoofdstuk https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964760 beschrijft de beheersmaatregelen die genomen kunnen worden om informatieveiligheid technisch in te regelen
Hoofdstukhttps://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964772 beschrijft de IT Service Management (ITIL) beheersmaatregelen die genomen kunnen worden om informatieveiligheid te waarborgen
https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964692
https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964712
https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964708
https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964704
https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964700
https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964724
https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964720
https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964716
Hoofdstuk https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964780 beschrijft de proces beheersmaatregelen die genomen kunnen worden om informatieveiligheid te waarborgen
https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964736
https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964732
https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964728
https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964764
https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964756
https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964752
Hoofdstuk https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964784 beschrijft de fysieke beheersmaatregelen
Andere specifieke topics die geen onderdeel uitmaken van het ICR
In hoofdstuk https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964788 worden een aantal beheersmaatregelen beschreven die geen onderdeel uitmaken van het ICR. In bovenstaande structuur staan deze maatregelen onder het kopje “Andere specifieke topics“.
Deze beheersmaatregen kunnen op L3 niveau toegepast worden.