• FINAAL CONCEPT
    • Document toolboxDocument toolbox


    Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

    Proces - Informatieveiligheid risicobeheer

    Owned by
    Guy Calomme
    Last updated: 08 Apr, 2024 by
    Vincent Alwicher
    2 min read

    Het Team Informatieveiligheid (TIV) staat in voor de beleidsvorming, het beleidstoezicht en de beleidsondersteuning van de informatieveiligheid voor Digitaal Vlaanderen.  Uitvoering is een verantwoordelijkheid van elke afdeling.

    Informatieveiligheid risicobeheer is een specifiek kernproces waar TIV proces-eigenaar van is. Het doel van informatieveiligheid risicobeheer is om organisatiedoelen te realiseren door proactief en gestructureerd in te spelen op toekomstige ongewenste informatieveiligheid gebeurtenissen, oftewel risico’s. Hierdoor kan men tijdig besluiten nemen om deze risico’s te voorkomen of te verminderen.  Risicobeheer bestaat uit 7 deelstappen:

    1. Analyse van de zakelijke omgeving,

    2. Informatieklassebepaling,

    3. Pre data protection impact assessment,

    4. Toetsing van maatregelen,

    5. Risicobeoordeling,

    6. Risicobehandeling, en

    7. Risicoregistratie.

       Gedurende dit risicobeheerproces, zijn er validerende activiteiten van de functionaris informatieveiligheid (CISO), de functionaris gegevensbescherming (DPO), algemeen risicobeheer (CRO) en de directie.

    image-20240312-084639.png

    In de eerste deelstap analyse van de zakelijke omgeving wordt geïdentificeerd welke informatieassets er zijn.  Aan elk informatieasset moet een eigenaar worden toegewezen.

    Vervolgens wordt voor elk informatieasset de waarde voor de organisatie bepaald, uitgedrukt in drie dimensies:  Beschikbaarheid, Integriteit en Vertrouwelijkheid.  Ook wordt bepaald of het informatieasset persoonsgegevens bevat.  Er bestaat een sjabloon om deze informatieklassebepaling uit te voeren met een aantal vragen die door de asseteigenaar moeten worden beantwoord.

    De pre data protection impact assessment stap is een voorbereiding tot de eigenlijke data protection impact assessment die enkel moet uitgevoerd worden indien uit de informatieklassebepaling blijkt dat het informatieasset persoonsgegevens bevat.

    Indien de informatieklasse van een asset hoger is dan 2, moeten de resterende 4 deelstappen worden uitgevoerd: toetsing van maatregelen, risicobeoordeling, risicobehandeling en risicoregistratie.  Het gaat immers uiteindelijk om een evaluatie en zo nodig een verbetering van de beheersmaatregelen, zodat risico’s worden teruggebracht tot een niveau dat aanvaardbaar is voor de directie.

    Deze 7 deelstappen van het risicobeheerproces worden gegroepeerd en formeel beschreven in de volgende 4 deelprocessen:

    1. Informatieklassebepaling: https://vlaamseoverheid.atlassian.net/wiki/spaces/ISMS/pages/6329500034 (deze procesbeschrijving bevat ook de stappen analyse van de zakelijke omgeving en pre data protection impact assessment),

    2. Toetsing van maatregelen: https://vlaamseoverheid.atlassian.net/wiki/spaces/ISMS/pages/6503205176 ,

    3. Risicobeoordeling: https://vlaamseoverheid.atlassian.net/wiki/spaces/ISMS/pages/6329501950 ,

    4. Risicobehandeling: (deze procesbeschrijving bevat ook de stap Risicoregistratie),

     

    Dit is een document voor intern gebruik.