1.3.5.1 Soorten beheersmaatregelen
Beheersmaatregelen worden opgedeeld in volgende types:
En we onderscheiden de volgende beheersmaatregelen:
Technische maatregelen;
Organisatorische maatregelen, dit zijn alle maatregelen, processen en controles die de informatieverwerking in goede banen moeten leiden. In deze categorie sluiten we ook juridische beheersmaatregelen en communicatie onder vorm van bewustmaking en training in.
Beide soorten maatregelen komen bij alle drie de types beheersmaatregelen voor.
1.3.5.1.1. Minimale algemene maatregelen
Minimale algemene maatregelen zijn maatregelen die van toepassing zijn op alle informatieverwerking. Deze minimale maatregelen zijn rechtstreeks verbonden aan een informatieklasse. Ze vormen de baseline van de informatie veiligheidsmaatregelen. Deze maatregelen zijn gebaseerd op de ISO27001 en zorgen voor de basis van een veilig en gestructureerde informatieverwerking.
Opmerking:
De minimale maatregelen bevatten mogelijk maatregelen in relatie tot de toestand van de informatie.
Opmerking:
Maatregelen, op basis van andere standaarden, zijn mogelijk zolang het generieke maatregelen zijn.
1.3.5.1.2. Minimale specifieke maatregelen
De minimale algemene beveiligingsmaatregelen worden uitgebreid met minimale specifieke maatregelen afhankelijk van vereisten die voortkomen uit specifieke regelgeving. Zij vervolledigen de ‘Minimale algemene maatregelen’. Minimale specifieke maatregelen hebben als oorsprong:
Dezelfde IS027001, indien toegepast op een hogere informatieklasse;
Maatregelen uit andere standaarden (ISO27017, ISO27018, PCI, …);
Als antwoord op specifieke vereisten in wetgeving en/of regelgeving, bijvoorbeeld GDPR.
Opmerking:
De specifieke maatregelen bevatten mogelijk maatregelen die niet zijn opgenomen in het ICR.
De vereisten die de GDPR-wetgeving stelt aan de verwerking van persoonsgegevens, zijn beantwoord via minimale (GDPR) specifieke maatregelen. Gezien de generieke context van deze wetgeving zal de set van minimale (GDPR) specifieke maatregelen uitgewerkt worden binnen de generieke informatieclassificatie.
1.3.5.1.3. Aanvullende maatregelen
Aanvullende maatregelen passen we toe op basis van:
De verplichte risicoanalyse in informatieklasse 3;
Het gebruik van alternatieve mitigerende maatregelen ter vervanging van minimale algemene en/of specifieke maatregelen.
Blijkt uit een risicoanalyse dat onaanvaardbare residuele risico’s aanwezig zijn en dat aanvullende maatregelen nodig zijn om tot een aanvaardbaar restrisico te komen, dan is het aan de eigenaar van de informatie om voor een correcte opvolging en rapportering te zorgen. Dit kan risicoacceptatie zijn, of mitigatie door extra maatregelen of overdracht van het risico. Merk op dat acceptatie van een risico door top management gebeurt.
Deze maatregelen zijn niet toegepast op de betrokken klasse op basis van de minimale maatregelen en specifieke criteria.
Aanvullende maatregelen komen voort uit een risicoanalyse.
In informatieklassen 1 en 2 werkt men enkel op basis van minimale algemene en minimale specifieke maatregelen.