Document toolboxDocument toolbox

4.6.2. Minimale maatregelen voor beheer van problemen

4.6.2.1. Minimale algemene maatregelen

Het beheren van problemen omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de getroffen informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie ook hoofdstuk: ‘De bouwstenen van probleem beheer’):

  • Identificatie en registratie van het probleem;

  • Classificatie;

  • Prioriteit toekennen;

  • Mensen en middelen alloceren;

  • Onderzoek en diagnose;

  • Gekende fout documenteren (KED);

  • Actie ondernemen;

  • Probleem afsluiten.

De minimale beschikbaarheid van het proces 'beheer van problemen' zelf is eveneens afhankelijk van het type en klasse van de getroffen informatie. We onderscheiden beschikbaarheid tijdens kantooruren (10ux5dagen) en permanente beschikbaarheid (24ux7dagen).

 

Vertrouwelijkheid

IC klasse

 Minimale maatregelen 

IC klasse

 Minimale maatregelen 

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

 

  • Enkel P1 incidenten moeten verplicht doorgegeven worden naar probleembeheer;

  • Registratie van het probleem in een logboek;

  • Classificatie van het probleem – dezelfde classificatie als voor incidenten wordt toegepast;

  • Mensen en middelen alloceren;

  • Onderzoek en diagnose uitvoeren;

  • Gekende fout documenteren (KED) voor P1 problemen;

  • Actie ondernemen:

    • Geplande wijziging: deze wordt verder opgenomen door wijzigingsbeheer;

    • Niet-geplande wijziging: deze wordt verder opgenomen door release en deployment beheer;

    • Indien beslist wordt om geen actie te ondernemen en indien er een rest risico aanwezig is, moet dit rest risico formeel geaccepteerd worden.

  • Probleem afsluiten. 

Alle maatregelen van Klasse 1 / Klasse 2 +

 

  • Incidenten vanaf P2 moeten verplicht doorgegeven worden naar probleembeheer;

  • Registratie van het probleem in een centraal logboek onder beheer van een probleembeheerder;

  • Gekende fout documenteren (KED) voor problemen vanaf P2;

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

 

  • Alle incidenten moeten verplicht doorgegeven worden naar probleembeheer;

  • Alle gekende fouten documenteren (KED).

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

 

  • Er moet steeds actie ondernomen worden door middel van een geplande (via wijzigingsbeheer) of niet-geplande (via release en deployment beheer) wijziging

 

Integriteit

IC klasse

 Minimale maatregelen 

IC klasse

 Minimale maatregelen 

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

 

  • Enkel P1 incidenten moeten verplicht doorgegeven worden naar probleembeheer;

  • Registratie van het probleem in een logboek;

  • Classificatie van het probleem – dezelfde classificatie als voor incidenten wordt toegepast;

  • Mensen en middelen alloceren;

  • Onderzoek en diagnose uitvoeren;

  • Gekende fout documenteren (KED) voor P1 problemen;

  • Actie ondernemen:

    • Geplande wijziging: deze wordt verder opgenomen door wijzigingsbeheer;

    • Niet-geplande wijziging: deze wordt verder opgenomen door release en deployment beheer;

    • Indien beslist wordt om geen actie te ondernemen en indien er een rest risico aanwezig is, moet dit rest risico formeel geaccepteerd worden.

  • Probleem afsluiten. 

Alle maatregelen van Klasse 1 / Klasse 2 +

 

  • Incidenten vanaf P2 moeten verplicht doorgegeven worden naar probleembeheer;

  • Registratie van het probleem in een centraal logboek onder beheer van een probleembeheerder;

  • Gekende fout documenteren (KED) voor problemen vanaf P2;

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

 

  • Alle incidenten moeten verplicht doorgegeven worden naar probleembeheer;

  • Alle gekende fouten documenteren (KED).

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

 

  • Er moet steeds actie ondernomen worden door middel van een geplande (via wijzigingsbeheer) of niet-geplande (via release en deployment beheer) wijziging

 

Beschikbaarheid

IC klasse

 Minimale maatregelen 

IC klasse

 Minimale maatregelen 

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

 

  • Beschikbaarheid van het proces probleembeheer is minimaal kantooruren (5d x 10u) 

Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 +

 

  • Beschikbaarheid van het proces probleembeheer is 24u x 7d.

4.6.2.2. Minimale specifieke (GDPR) maatregelen

Vertrouwelijkheid en integriteit

IC klasse

 Minimale maatregelen 

IC klasse

 Minimale maatregelen 

Klasse 1, Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

 

  • Alle incidenten moeten verplicht doorgegeven worden naar probleembeheer;

  • Alle gekende fouten documenteren (KED).

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 +

 

  • Er moet steeds actie ondernomen worden door middel van een geplande (via wijzigingsbeheer) of niet-geplande (via release en deployment beheer) wijziging.

 

Beschikbaarheid

Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.

4.6.2.3. Minimale specifieke (NIS II) maatregelen

In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII-maatregelen.

4.6.2.4. Minimale specifieke (KSZ) maatregelen

Er zijn geen KSZ specifieke maatregelen.