IM_SM.12

• Rollen en verantwoordelijkheden:

  • De organisatie MOET passende processen voor het beheer van informatiebeveiligingsincidenten opstellen.

  • Rollen en verantwoordelijkheden MOETEN duidelijk worden vastgesteld. Dit omvat de verantwoordelijkheden, benodigde toegang en duidelijke functiescheiding.

  • Er MOET een escalatiestructuur worden bepaald voor incidentcoördinatie.

  • De organisatie MOET een register met interne en externe belanghebbenden, inclusief relevante communicatieprotocollen onderhouden.

• Definiëren van incident management processen:

  • Bij het definiëren van de incident management processen MOETEN de volgende aspecten worden overwogen en opgenomen:

    • Een gemeenschappelijke methode voor het melden van informatiebeveiligingsgebeurtenissen, inclusief een contactpunt.

    • Een proces voor het beheer van incidenten, inclusief beheer, documentatie, detectie, triage, prioritisering, analyse, communicatie en coördinatie van belanghebbenden.

    • Een proces voor het reageren op incidenten, inclusief beoordeling, respons en leren van incidenten.

    • Een Service Level Agreement (SLA).

• Competent personeel:

  • Alleen competent personeel MAG kwesties behandelen die verband houden met informatiebeveiligingsincidenten. Dit personeel MOET voorzien worden van documentatie over de procedures en periodieke training.

  • Er MOET een proces worden opgesteld voor het identificeren van vereiste training, certificering en voortdurende professionele ontwikkeling van personeel dat de taak heeft om op incidenten te reageren.

• Procedures voor incidentbeheer:

  • De organisatie MOET een methode voor prioritering vastleggen en communiceren naar alle incidentbeheerteamleden, goedgekeurd door het management.

  • Een plan voor het beheer van informatiebeveiligingsincidenten MOET worden opgesteld onder regie van het management, waarbij rekening wordt gehouden met verschillende scenario’s en procedures voor:

    • Het evalueren van informatiebeveiligingsgebeurtenissen.

    • Het monitoren, detecteren, classificeren, analyseren en melden van gebeurtenissen en incidenten.

    • Het beheren van incidenten tot ze volledig zijn afgehandeld, inclusief reactie, escalatie en communicatie.

    • Afstemming met interne en externe belanghebbenden.

    • Het registreren van incidentbeheeractiviteiten.

    • Het behandelen van bewijs conform de vereisten.

    • Analyse van de onderliggende oorzaak of post-mortemprocedures.

  • Specifieke procedures MOETEN worden opgesteld voor intern misbruik van bedrijfseigendom, datalekken en aanvallen zoals DoS/DDos en ransomware.

  • Afhankelijk van het incident dient er melding gedaan te worden bij het Centrum voor Cybersecurity België (CCB) en mogelijk ook bij het Crisiscentrum Vlaamse overheid (CCVO) als het incident uitgroeit tot een crisis. Bij kritieke incidenten kan ook Audit Vlaanderen ingeschakeld worden om een forensische audit uit te voeren.

• Meldings- en rapportageprocedures:

  • De organisatie MOET meldings- en rapportageprocedures onderhouden met de volgende aspecten:

    • De te treffen maatregelen in geval van een informatiebeveiligingsgebeurtenis.

    • Het gebruik van incidentenformulieren om personeel te ondersteunen bij het melden van incidenten.

    • Passende feedbackprocedures.

    • Het opstellen van rapportage over incidenten.

  • De organisatie ZOU moeten streven naar een enkele melding en rapportageprocedure waar nodig.

  • Een feedbackprocedure MOET worden opgezet en gevolgd, zodat de melder en belanghebbenden op de hoogte blijven van de voortgang en statuswijzigingen.

Incidentbeheer: Plannen en voorbereiden

1 2 3 4 5

BESCHIKBAARHEID INTEGRITEIT VERTROUWELIJKHEID

CORRIGEREND

REAGEREN HERSTELLEN