Document toolboxDocument toolbox

1.3.4.2 Hoe het ICR toe te passen in de praktijk

Owned by
Hijke Maes (Unlicensed)
Last updated: 20 Sept, 2023 by
Yentl Goossens (Unlicensed)
2 min read

Het ICR toepassen begint met een inventarisatie van alle significante informatieassets waarover een entiteit beschikt. Per informatieasset wordt dan de klasse bepaalt voor vertrouwelijkheid, integriteit en beschikbaarheid. Om de entiteiten hierbij te helpen, werd een toolset samengesteld, met daarin onder andere beslisbomen en een selectietool. Deze vind je in hoofdstuk https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964800 en op de website van Digitaal Vlaanderen.

Met elk van de klassen komt een set minimale maatregelen overeen. De entiteit zorgt voor een passend niveau van beveiliging voor elke geïnventariseerde informatieasset door middel van het ‘pas toe of leg uit’ principe:

  • Het toepassen van de minimale maatregelen zoals bepaald voor de informatieklasse van toepassing (‘pas toe’ principe).

  • Indien een minimale maatregel niet kan worden toegepast, dan moet er transparant gecommuniceerd worden (‘leg uit’ principe):

    • Ofwel voorziet de entiteit in een set van complementaire maatregelen die samen minstens een gelijkwaardig niveau van beveiliging bereikt. Deze afwijking van de minimale maatregelen moet gedocumenteerd worden en goedgekeurd door de hoogste instantie van de entiteit (leidend ambtenaar of gelijkwaardig).

    • Ofwel is een toepassing of evenwaardige maatregel niet mogelijk, dan moet er een zwaarwegende reden voorhanden zijn en die moet dan gedocumenteerd worden en goedgekeurd door de hoogste instantie van de entiteit (leidend ambtenaar of gelijkwaardig).

1.3.4.2.1.  Levenscyclus

Eigenaars van informatie bekijken regelmatig of de informatieklasse nog steeds relevant en correct is. Het topmanagement (leidend ambtenaar of directeur) is verantwoordelijk voor de informatie(verwerking) en dus aansprakelijk dat een periodieke evaluatie wordt uitgevoerd. Aan de entiteiten wordt aangeraden deze activiteit te integreren in haar veiligheidsplan.

De frequentie van deze oefening hangt af van de informatieklasse:

  • Informatieklasses 1, 2 en 3:

    • Minstens jaarlijks.

  • Informatieklasses 4 en 5:

    • Minstens jaarlijks,

    • Bij significante wijziging van de informatieverwerking

    • Bij significante wijzigingen in de criteria en/of maatregelen.

Een mogelijk gevolg van deze oefening is het bijsturen van organisatorische en technische maatregelen op data die nu anders ingeschaald is.

1.3.4.2.2.  Link met risicobeheer

Informatiebeveiliging is geen doel op zich, maar beoogt de risico’s ten aanzien van vertrouwelijkheid, integriteit en beschikbaarheid te voorkomen of op z’n minst te verlagen tot een voor de organisatie aanvaardbaar niveau. Risicobeheer is dan ook een belangrijk concept binnen informatiebeveiliging.

Een risico-gebaseerde aanpak is dan ook de basis van het ICR. Voor informatieklassen 1 en 2 volstaat het implementeren van de minimale maatregelen, omdat deze inherent voldoen om de risico’s op deze informatieassets te mitigeren. Dat neemt niet weg dat een entiteit ook hier nog op basis van een risicoanalyse kan bepalen welke risico’s het al dan niet aanvaardt en welke maatregelen het hier tegenover stelt. Voor informatieklassen 3, 4 en 5 wordt risicobeheer echter expliciet gemaakt: hier volstaat het niet om de minimale maatregelen toe te passen maar is steeds een risicoanalyse en risicobehandeling bij de verwerking van deze informatie-assets vereist. Dit is de verantwoordelijkheid van de entiteit.

Meer over risicobeheer in de aparte paragraaf over https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964990 .