Zoals uitgelegd in het document ‘Vo informatieclassificatie – organisatie – informatieveiligheid’, behoort het ICR tot documentatie level 2. Het bestaat uit volgende componenten:
De basis van het raamwerk wordt gevormd door de informatieklassen. Er zijn 5 klassen, telkens voor vertrouwelijkheid, integriteit en beschikbaarheid. Elk significant informatie-asset moet een klasse voor vertrouwelijkheid, een klasse voor integriteit en een klasse voor beschikbaarheid toegewezen krijgen. Dit proces is cruciaal omdat het de basis vastlegt voor de beveiliging van het informatie-asset.
Het bepalen van de informatieklassen voor een informatie-asset is een eerste, belangrijke stap om te bepalen welke technische en organisatorische maatregelen moeten worden genomen om het geschikte niveau van veiligheid te bereiken. Deze maatregelen vormen het tweede element in het raamwerk. Er zijn minimale maatregelen gedefinieerd binnen het raamwerk voor elke informatieklasse.
Het ICR omvat de volgende documenten:
Twee documenten over de organisatie van informatieveiligheid:
Organisatiedocument Informatieclassificatieraamwerk (ICR) (huidig document): beschrijft de principes, werking en toepassing van het ICR.
Organisatiedocument Informatieveiligheid: geeft het brede kader weer rond informatieveiligheid, hoe het raamwerk tot stand komt en wie het beheert.
Overzicht baseline maatregelen volgens ISO27001: inventaris van alle maatregelen volgens de verschillende klassen.
Minimale maatregelen: set van documenten die enkele specifieke domeinen uitwerken:
Technologieën:
Netwerken
ICT-systemen
Servicemanagement (ITIL):
Beheer aanvragen
Beheer gebeurtenissen
Incident beheer
Toegangsbeheer
Wijzigingsbeheer
Probleembeheer
Processen:
IAM
Ontwikkeling en gebruik van toepassingen
Risicomethodiek
Proces risicobeheer