1.1.4.1.1 niveaus van documentatie
Om het beleid te documenteren, werken we met 4 niveaus of levels. Dit gaat breder dan enkel het ICR.
Kort samengevat gaat het over:
Gaat over | Is voor | Eigenaar | Voorbeelden | |
---|---|---|---|---|
Level 1 | Wet- en regelgeving | Vo-breed | Wetgevende macht, regelgevende instantie | Wetten, decreten, enz |
Level 2 | Beleid op niveau Vo | Vo-breed | Stuurorgaan Vlaams Informatie- en ICT-beleid | ICR |
Level 3 | Beleid op organisatieniveau | Entiteit | Topmanagement (leidend ambtenaar, directeur, CEO, …) | Beleidsdocumenten van een entiteit, bvb paswoord beleid. |
Level 4 | Implementatie van het beleid | Entiteit | Topmanagement (leidend ambtenaar, directeur, CEO, …) | Architectuur documenten |
Volgend schema illustreert de relatie tussen de 4 documentatieniveaus:
Het is belangrijk om op te merken dat elke niveau conform moet zijn met het bovenliggende niveau. Zo moeten firewall policies in lijn zijn met het informatieveiligheidsbeleid van de entiteit, dat op zijn beurt conform moet zijn met het ICR, dat op zijn beurt conformeert aan wet- en regelgeving. We geven een voorbeeld van zo’n cascade:
Op niveau 1 situeert zich (onder andere) de AVG. Deze stelt dat de nodige technische en organisatorische maatregelen moeten worden genomen om persoonsgegevens te beveiligen. Op niveau 2 vertaalt de AVG zich in een Vo-breed beleid onder vorm van het ICR, waar persoonsgegevens een vertrouwelijkheidsklasse 2, 3 of 4 toegemeten krijgen. Aan die klasse zijn bepaalde minimale maatregelen gekoppeld, onder andere IAM (controlemaatregelen over identiteit, authenticatie en autorisatie). Daarin staat (onder andere) dat voor gegevens van klasse 2 een eIDAS laag kan worden ingericht als authenticatiemaatregel. Voor dit type gegevens volstaat dus een account/paswoord als authenticatie. Maar het ICR bepaalt verder geen detail regels over hoe zo’n paswoord er moet uit zien.
Daarvoor dient niveau 3: hier stelt elke entiteit voor zich een paswoordbeleid op dat voldoet aan de regels voorzien in het ICR (niveau 2).
En tenslotte is er nog niveau 4: hier wordt het niveau 3 paswoordbeleid vertaalt naar technische regels die dan ingericht worden, bijvoorbeeld voor MS Windows.
1.1.4.1.1.1. Documentatielevel 1
Dit niveau omvat documenten die de wet- en regelgeving beschrijven en ondersteunen en wordt gebruikt als bron voor de criteria binnen de informatieclassificatie:
Wetgeving waaronder de informatieverwerking van de Vo valt:
EU;
EU-lidstaat;
Federale overheid;
Regionale overheid;
...
Regelgeving waaronder de informatieverwerking van de Vo valt:
Machtigingen;
Contractuele verbintenissen en voorwaarden;
Generieke en specifieke Vo afspraken.
Normen en standaarden die de basis vormen voor het Vo-brede beleid:
ISO27001
De regelgevende organisatie is aansprakelijk en verantwoordelijk voor het ter beschikking stellen van deze documentatie. Zij behoren niet tot de Vo administratie
1.1.4.1.1.2. Documentatielevel 2
Dit niveau bevat het Vo ICR, inclusief de minimale maatregelen met betrekking tot informatieverwerking binnen de Vo. Deze documenten formuleren de manier waarop we de verplichtingen zoals beschreven in de documentatie uit level 1 moeten interpreteren en
beantwoorden:
De unieke en uniforme manier waarop de Vo de informatie uit level 1 positioneert en beantwoordt. (Dit document)
De manier waarop we de informatieverwerking koppelen aan een reeks te nemen maatregelen, gegroepeerd op basis van informatieklassen. (Dit document)
De koppeling van organisatorische en technische maatregelen aan een informatieklasse. (De minimale maatregelen)
‘Minimale algemene maatregelen’ op basis van ISO27001/-2 standaarden zorgen voor de basis van een veilig en gestructureerde informatieverwerking.
‘Minimale specifieke maatregelen’ op basis van specifieke regelgeving (bijvoorbeeld GDPR, maar ook andere regelgeving is mogelijk) vervolledigen de ‘Minimale algemene maatregelen
De aansprakelijkheid voor het ter beschikking stellen van de documentatie set rond het ICR ligt bij het ‘Stuurorgaan Vlaams Informatie- en ICT-beleid’.
1.1.4.1.1.3. Documentatielevel 3
Dit niveau bevat alle documentatie waarin de informatieverwerker (de entiteit van de Vo administratie of dienstenleverancier) haar eigen beleidslijnen rond informatieveiligheid beschrijft:
Beleid voor de volledige keten van de informatieverwerking:
Voor informatieverwerking binnen de organisatie;
Voor informatieverwerkingsdiensten aangeboden aan derden;
(Een referentie aan de) documentatie level 3 van toepassing op informatie verwerkende diensten, afgenomen van derden.
Uitwerking
Contractuele afspraken
Inclusief bijhorende documentatie (addendum, verwijzingen,…)
Verwerkingsovereenkomsten
Inclusief bijhorende documentatie (addendum, verwijzingen,…)
Processen
Inclusief de richtlijnen (policy) die als raamwerk dienen om de processen van de volledige
informatieverwerking te ondersteunen en structureren
De aansprakelijkheid voor het ter beschikking stellen van deze documentatie set ligt bij:
de eigen organisatie, voor de informatieverwerking binnen de eigen organisatie;
de leverancier voor informatieverwerking buiten de eigen organisatie:
commerciële organisaties;
andere Vo-organisaties die informatieverwerking aanbieden.
De verantwoordelijkheid voor de beschikbaarheid van deze documentatie ligt bij de organisatie die de informatieverwerking organiseert of afneemt van derden.
1.1.4.1.1.4. Documentatielevel 4
Dit niveau bevat alle documentatie waarin de architectuur en uitwerking van de informatie verwerkende componenten worden beschreven. Deze beschrijving is beschikbaar per applicatie:
Doel van de informatieverwerking
Architectuur
Processtromen
Processen, eigen aan de specifieke informatieverwerking (specifieke toepassing)
Externe processen
Gebruiksbeheer en applicatie toegangen
Beheerderstoegangen
Informatiestromen
Informatiebeschrijving
Noodzaak van de informatie-attributen binnen de informatieverwerking
Techniek
Technische componenten
Applicatie (inclusief externe componenten)
Beheer
Technische informatiestromen tussen de applicatie componenten
Toepassing
Externe diensten en toepassingscomponenten
Genomen veiligheidsmaatregelen
Toepassing
Ondersteunende platformen
Beschikbare adviezen van leveranciers en de toepassing ervan
Netwerken
Firewall
IDS/ IDP
…
Technische ‘baselines’ en technische ‘policies’
De aansprakelijkheid voor het ter beschikking stellen van deze documentatie set ligt bij:
De eigen organisatie, voor de informatieverwerking binnen de eigen organisatie;
De leverancier voor informatieverwerking buiten de eigen organisatie:
Commerciële organisaties;
Andere Vo-organisaties die informatieverwerking aanbieden.
De verantwoordelijkheid voor de beschikbaarheid van deze documentatie ligt bij de organisatie die de informatieverwerking organiseert of afneemt van derden.