Document toolboxDocument toolbox

1.2.4.1. Vier niveau's van documentatie

Owned by Yentl Goossens (Unlicensed)
Last updated: 20 Sept, 2023
4 min read

1.2.4.1.1. niveaus van documentatie

Om het beleid te documenteren, werken we met 4 niveaus of levels. Dit gaat breder dan enkel het ICR.
Kort samengevat gaat het over:

 

Gaat over 

Is voor

Eigenaar 

Voorbeelden

 

Gaat over 

Is voor

Eigenaar 

Voorbeelden

Level 1

Wet- en regelgeving

Vo-breed

Wetgevende macht, regelgevende instantie

Wetten, decreten, enz
ISO27001 als basis voor ICR

Level 2 

Beleid op niveau Vo

Vo-breed 

Stuurorgaan Vlaams Informatie- en ICT-beleid

ICR

Level 3

Beleid op organisatieniveau

Entiteit 

Topmanagement (leidend ambtenaar, directeur, CEO, …)

Beleidsdocumenten van een entiteit, bvb paswoord beleid.

Level 4

Implementatie van het beleid

Entiteit

Topmanagement (leidend ambtenaar, directeur, CEO, …) 

Architectuur documenten
Technische firewall policies

 
Volgend schema illustreert de relatie tussen de 4 documentatieniveaus: 

Het is belangrijk om op te merken dat elke niveau conform moet zijn met het bovenliggende niveau. Zo moeten firewall policies in lijn zijn met het informatieveiligheidsbeleid van de entiteit, dat op zijn beurt conform moet zijn met het ICR, dat op zijn beurt conformeert aan wet- en regelgeving.

We geven een voorbeeld van zo’n cascade:

Op niveau 1 situeert zich (onder andere) de AVG. Deze stelt dat de nodige technische en organisatorische maatregelen moeten worden genomen om persoonsgegevens te beveiligen.

Op niveau 2 vertaalt de AVG zich in een Vo-breed beleid onder vorm van het ICR, waar persoonsgegevens een vertrouwelijkheidsklasse 2, 3 of 4 toegemeten krijgen. Aan die klasse zijn bepaalde minimale maatregelen gekoppeld, onder andere IAM (controlemaatregelen over identiteit, authenticatie en autorisatie). Daarin staat (onder andere) dat voor gegevens van klasse 2 een eIDAS laag kan worden ingericht als authenticatiemaatregel. Voor dit type gegevens volstaat dus een account/paswoord als authenticatie. Maar het ICR bepaalt verder geen detail regels over hoe zo’n paswoord er moet uit zien.

Daarvoor dient niveau 3: hier stelt elke entiteit voor zich een paswoordbeleid op dat voldoet aan de regels voorzien in het ICR (niveau 2).

En tenslotte is er nog niveau 4: hier wordt het niveau 3 paswoordbeleid vertaalt naar technische regels die dan ingericht worden, bijvoorbeeld voor MS Windows.

1.2.4.1.2. Documentatielevel 1

Dit niveau omvat documenten die de wet- en regelgeving beschrijven en ondersteunen en wordt gebruikt als bron voor de criteria binnen de informatieclassificatie:

  • Wetgeving waaronder de informatieverwerking van de Vo valt:

    • EU;

    • EU-lidstaat;

    • Federale overheid;

    • Regionale overheid;

    • ...

  • Regelgeving waaronder de informatieverwerking van de Vo valt:

    • Machtigingen;

    • Contractuele verbintenissen en voorwaarden;

    • Generieke en specifieke Vo afspraken.

    • Normen en standaarden die de basis vormen voor het Vo-brede beleid:

    • ISO27001

De regelgevende organisatie is aansprakelijk en verantwoordelijk voor het ter beschikking stellen van deze documentatie. Zij behoren niet tot de Vo administratie

1.2.4.1.3. Documentatielevel 2

Dit niveau bevat het Vo ICR, inclusief de minimale maatregelen met betrekking tot informatieverwerking binnen de Vo. Deze documenten formuleren de manier waarop we de verplichtingen zoals beschreven in de documentatie uit level 1 moeten interpreteren en
beantwoorden: 

  • De unieke en uniforme manier waarop de Vo de informatie uit level 1 positioneert en beantwoordt. (Dit document)

  • De manier waarop we de informatieverwerking koppelen aan een reeks te nemen maatregelen, gegroepeerd op basis van informatieklassen. (Dit document)

  • De koppeling van organisatorische en technische maatregelen aan een informatieklasse. (De minimale maatregelen)

    • ‘Minimale algemene maatregelen’ op basis van ISO27001/-2 standaarden zorgen voor de basis van een veilig en gestructureerde informatieverwerking.

    • ‘Minimale specifieke maatregelen’ op basis van specifieke regelgeving (bijvoorbeeld GDPR, maar ook andere regelgeving is mogelijk) vervolledigen de ‘Minimale algemene maatregelen

De aansprakelijkheid voor het ter beschikking stellen van de documentatie set rond het ICR ligt bij het ‘Stuurorgaan Vlaams Informatie- en ICT-beleid’. 

1.2.4.1.4. Documentatielevel 3

Dit niveau bevat alle documentatie waarin de informatieverwerker (de entiteit van de Vo administratie of dienstenleverancier) haar eigen beleidslijnen rond informatieveiligheid beschrijft:

  • Beleid voor de volledige keten van de informatieverwerking:

    • Voor informatieverwerking binnen de organisatie;

    • Voor informatieverwerkingsdiensten aangeboden aan derden;

    • (Een referentie aan de) documentatie level 3 van toepassing op informatie verwerkende diensten, afgenomen van derden.

  • Uitwerking

    • Contractuele afspraken

      • Inclusief bijhorende documentatie (addendum, verwijzingen,…)

    • Verwerkingsovereenkomsten

      • Inclusief bijhorende documentatie (addendum, verwijzingen,…)

    • Processen

      • Inclusief de richtlijnen (policy) die als raamwerk dienen om de processen van de volledige informatieverwerking te ondersteunen en structureren

De aansprakelijkheid voor het ter beschikking stellen van deze documentatie set ligt bij:

  • de eigen organisatie, voor de informatieverwerking binnen de eigen organisatie;

  • de leverancier voor informatieverwerking buiten de eigen organisatie:

    • commerciële organisaties;

    • andere Vo-organisaties die informatieverwerking aanbieden.

De verantwoordelijkheid voor de beschikbaarheid van deze documentatie ligt bij de organisatie die de informatieverwerking organiseert of afneemt van derden.

1.2.4.1.5. Documentatielevel 4

Dit niveau bevat alle documentatie waarin de architectuur en uitwerking van de informatie verwerkende componenten worden beschreven. Deze beschrijving is beschikbaar per applicatie:

  • Doel van de informatieverwerking

  • Architectuur

    • Processtromen

      • Processen, eigen aan de specifieke informatieverwerking (specifieke toepassing)

      • Externe processen

        • Gebruiksbeheer en applicatie toegangen

        • Beheerderstoegangen

      • Informatiestromen

      • Informatiebeschrijving

        • Noodzaak van de informatie-attributen binnen de informatieverwerking 

  • Techniek

    • Technische componenten

      • Applicatie (inclusief externe componenten)

      • Beheer

    • Technische informatiestromen tussen de applicatie componenten

    • Toegangscontrole

      • Toepassing

      • Externe diensten en toepassingscomponenten

    • Genomen veiligheidsmaatregelen

      • Toepassing

      • Ondersteunende platformen

      • Beschikbare adviezen van leveranciers en de toepassing ervan

      • Netwerken

        • Firewall

        • IDS/ IDP

    • Technische ‘baselines’ en technische ‘policies’

De aansprakelijkheid voor het ter beschikking stellen van deze documentatie set ligt bij:

  • De eigen organisatie, voor de informatieverwerking binnen de eigen organisatie;

  • De leverancier voor informatieverwerking buiten de eigen organisatie:

    • Commerciële organisaties;

    • Andere Vo-organisaties die informatieverwerking aanbieden.

De verantwoordelijkheid voor de beschikbaarheid van deze documentatie ligt bij de organisatie die de informatieverwerking organiseert of afneemt van derden.