Digitaal Vlaanderen | Team Informatieveiligheid (TIV)
Procedure toetsing van maatregelen
De procedure toetsing van maatregelen voor Digitaal Vlaanderen beschrijft hoe de toetsing van maatregelen voor een informatieasset wordt uitgevoerd en hierover gerapporteerd.
Inhoud
Uitvoering van de toetsing van maatregelen
Zodra de informatieklasse (IK) voor een informatieasset werd bepaald in het proces informatieklassebepaling (IKB), zie https://vlaamseoverheid.atlassian.net/wiki/spaces/ISMS/pages/6329500034 en in het geval de IK van het informatieasset groter is dan 2, dient een toetsing te gebeuren van de beheersmaatregelen voor het informatieasset. Met IK wordt bedoeld het maximum van de scores voor beschikbaarheid, integriteit en vertrouwelijkheid.
Technische assets
In het geval van een technisch asset, wordt door de informatieveiligheidsfunctionaris (Information Security Officer (ISO)) van Team Informatieveiligheid (TIV) een toetsing van technische maatregelen (TTM) opgestart met de applicatie-eigenaar (Asset Owner (AO)) door middel van een TTM-sjabloon dat door de ISO ter beschikking wordt gesteld. De ISO stelt ook een handleiding ter beschikking voor het gebruik van het TTM-sjabloon.
Wanneer een toepassing met gestructureerde data ondersteunt wordt als platform door bijvoorbeeld de ICT afdeling, werden één of meerdere IKB's door de gebruikers vd toepassing ingevuld. Deze moeten dan zelf geen TTM uitvoeren, echter wel de ICT afdeling die het platform opzet en beheerd. Om later in de risicobeoordeling een evaluatie te maken van de TTM bevraging, wordt aan het platform asset de IKB-score gegeven van het toepassing asset. Indien er meerdere IKB’s zijn uitgevoerd omdat er verschillende afdeling dezelfde toepassing gebruiken, worden deze IKB’s gecombineerd en wordt telkens de maximum score genomen voor beschikbaarheid, integriteit en vertrouwelijkheid.
Bijv.:
Naam asset | Afdeling | Type asset | B | I | V | P | IKB ingevuld door | TTM ingevuld door | Risicobeoordeling? |
Dynamics | Financiën | Toepassing | 4 | 5 | 3 | Nee | Financiën | Niemand, nvt | Nee |
Dynamics | Portfolio Mgt | Toepassing | 3 | 3 | 3 | Ja | Portfolio Mgt | Niemand, nvt | Nee |
Dynamics | ICT | Platform | 4 | 5 | 3 | Ja | Niemand, berekend door TIV | ICT | Ja door ICT |
Een asset van het type platform dat een systeem is dat enkel ongestructureerde data bevat, krijgt by default een IKB 4 – 4 – 4 – Ja. De TTM wordt uitgevoerd door de afdeling die het platform opzet en beheert.
Bijv.:
Naam asset | Afdeling | Type asset | B | I | V | P | IKB ingevuld door | TTM ingevuld door | Risicobeoordeling ? |
SharePoint | ICT | Platform | 4 | 4 | 4 | Ja | Niemand, default score | ICT | Ja door ICT |
Dat betekent ook dat voor:
Assets van het type product de IKB en de TTM door dezelfde afdeling wordt uitgevoerd, en
Assets van het type toepassing de IKB en de TTM door dezelfde afdeling wordt uitgevoerd, behalve wanneer de toepassing wordt beheerd niet door de gebruikersafdeling zelf maar als een platform door ICT, in dat geval maakt de gebruikersafdeling de IKB, en doet ICT de TTM
In het geval de AO een bestaande IKB herziet ten gevolge van de jaarlijkse herziening of ten gevolge een wijziging, dient ook de bestaande TTM bevraging te worden herzien.
Indien er geen IKB voor het asset werd uitgevoerd, kan de TTM niet starten, en moet deze eerst worden uitgevoerd, zie https://vlaamseoverheid.atlassian.net/wiki/spaces/ISMS/pages/6329500034.
De ISO zal een meeting inplannen om de TTM-bevraging te overlopen met de AO. In de meeting wordt met de AO besproken of de minimale maatregelen zoals bepaald in het informatieclassificatieraamwerk van de Vlaamse overheid (Vo-ICR) zijn geïmplementeerd.
De ISO maakt een analyse van de geïmplementeerde maatregelen en geeft een score voor de maturiteit van de maatregelen aan de hand van een gedefinieerde schaal (1 t/m 5) zoals aangegeven in de volgende tabel. De inschatting van de maturiteit moet worden uitgevoerd door de ISO.
Organisatie en fysieke assets
Voor organisatie assets en fysieke assets wordt een toetsing van organisatorische maatregelen (TOM) en fysieke maatregelen (TFM) minstens jaarlijks uitgevoerd door een ISO door middel van een TOM- of TFM-sjabloon.
Net zoals bij de TTM, wordt ook hier de maturiteit van de maatregelen ingeschat door de ISO volgens dezelfde scores als voor de TTM.
Dashboard
De ISO past het asset-dashboard aan met de volgende velden:
Datum toetsing van maatregelen,
Auteur toetsing van maatregelen,
Status toetsing van maatregelen.
De ISO start vervolgens het proces risicobeoordeling met de AO, zie https://vlaamseoverheid.atlassian.net/wiki/spaces/ISMS/pages/6329501950.
Rapportering van de toetsing van maatregelen
Op maandelijkse basis berekent de ISO de KPI’s voor het toetsing van maatregelen proces, zie .
De ISO stuurt maandelijks de berekende KPI’s samen naar de CISO ter herziening.
De ISO stuurt maandelijks de berekende KPI’s samen met het asset-dashboard naar elk single point of contact (SPOC) dat werd aangeduid voor het faciliteren van risicobeheer in DV. Op basis hiervan kan deze verantwoordelijke een AO aanspreken indien de toetsing van maatregelen ontbreekt of overtijd is.
Op kwartaalbasis worden de berekende KPI’s samen met het asset-dashboard door de CISO, de DPO, de DV risicomanager en het DV directiecomité gevalideerd.
Document status
Titel | Auteur | Datum | Versie | Opmerking |
|---|---|---|---|---|
Procedure toetsing van maatregelen | Guido Calomme | 19/03/2024 | 1.0 | Eerste versie |
Procedure toetsing van maatregelen | Guido Calomme | 31/05/2024 | 1.1 | Verduidelijking van de procedure voor assets van het type “platform” |
Dit is een document voor intern gebruik.