Document toolboxDocument toolbox

4.6.2. Minimale maatregelen voor beheer van problemen 3.0

Owned by Kenzo Vertenten (VO)
Last updated: 24 Dec, 2024 by Kristel Van Aken
4 min read

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

4.6.2.1. Minimale algemene maatregelen

Het beheren van problemen omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de getroffen informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie ook hoofdstuk: ‘De bouwstenen van probleem beheer’):

  • Identificatie en registratie van het probleem;

  • Classificatie;

  • Prioriteit toekennen;

  • Mensen en middelen alloceren;

  • Onderzoek en diagnose;

  • Gekende fout documenteren (KED);

  • Actie ondernemen;

  • Probleem afsluiten.

De minimale beschikbaarheid van het proces 'beheer van problemen' zelf is eveneens afhankelijk van het type en klasse van de getroffen informatie. We onderscheiden beschikbaarheid tijdens kantooruren (10ux5dagen) en permanente beschikbaarheid (24ux7dagen).

Klasse-onafhankelijke maatregelen voor beschikbaarheid, integriteit en vertrouwelijkheid

IC klasse

 Minimale maatregelen 

IC klasse

 Minimale maatregelen 

 

PAS TOE

image-20241202-132811.png

Inrichten van een proces voor beheer van problemen:

  • Registratie van het probleem vanuit het proces incidentbeheer;

  • Classificatie van het probleem – dezelfde classificatie als voor incidenten wordt toegepast;

  • Mensen en middelen alloceren;

  • Onderzoek en diagnose uitvoeren;

  • Gekende fout documenteren (KED);

  • Actie ondernemen:

    • Geplande wijziging: deze wordt verder opgenomen door wijzigingsbeheer;

    • Niet-geplande wijziging: deze wordt verder opgenomen door release en deployment beheer;

    • Indien beslist wordt om geen actie te ondernemen en indien er een rest risico aanwezig is, moet dit rest risico formeel geaccepteerd worden.

  • Probleem afsluiten

Klasse-afhankelijke maatregelen

Vertrouwelijkheid en integriteit

IC klasse

 Minimale maatregelen 

IC klasse

 Minimale maatregelen 

 

PAS TOE

 

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

 

  • Enkel P1 incidenten moeten verplicht doorgegeven worden naar probleembeheer;

  • Gekende fout documenteren (KED) voor P1 problemen. 

Alle maatregelen van Klasse 1 / Klasse 2 +

 

  • Incidenten vanaf P2 moeten verplicht doorgegeven worden naar probleembeheer;

  • Opzetten rol probleembeheerder;

  • Registratie van het probleem in een centraal logboek onder beheer van een probleembeheerder;

  • Gekende fout documenteren (KED) voor problemen vanaf P2.

 

PAS TOE OF LEG UIT

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

 

  • Alle incidenten moeten verplicht doorgegeven worden naar probleembeheer;

  • Alle gekende fouten documenteren (KED).

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

 

  • Er moet steeds actie ondernomen worden door middel van een geplande (via wijzigingsbeheer) of niet-geplande (via release en deployment beheer) wijziging

Beschikbaarheid

IC klasse

 Minimale maatregelen 

IC klasse

 Minimale maatregelen 

 

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

 

  • Beschikbaarheid van het proces probleembeheer is minimaal kantooruren (5d x 10u) 

Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 +

 

  • Beschikbaarheid van het proces probleembeheer is 24u x 7d.

4.6.2.2. Minimale specifieke (GDPR) maatregelen

Vertrouwelijkheid en integriteit

IC klasse

 Minimale maatregelen 

IC klasse

 Minimale maatregelen 

 

PAS TOE

Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

 

  • Alle incidenten moeten verplicht doorgegeven worden naar probleembeheer;

  • Alle gekende fouten documenteren (KED).

 

PAS TOE OF LEG UIT

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 Er moet steeds actie ondernomen worden door middel van een geplande (via wijzigingsbeheer) of niet-geplande (via release en deployment beheer) wijziging.

 

Beschikbaarheid

Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.

4.6.2.3. Minimale specifieke (NIS2) maatregelen

NIS2 is een Europese richtlijn  bedoeld om de cyberbeveiliging en weerbaarheid van kritieke diensten in EU-lidstaten te verbeteren.

 Alle minimale algemene maatregelen worden verplicht toegepast (geen ‘leg uit’).

4.6.2.4. Minimale specifieke (KSZ) maatregelen

Er zijn geen KSZ specifieke maatregelen.