Als de informatieklasse van een informatie asset bepaald is, is de volgende stap om de minimale maatregelen te selecteren op basis van de controle maatregelen die van toepassing zijn. Hoe de minimale maatregelen geselecteerd moeten worden, staat uitgebreid beschreven in het ICR. Aanvullend heeft het Team Informatieveiligheid ook nog een aantal hulpmiddelen ontwikkeld ter ondersteuning.
2.3.1. Minimale maatregelen selecteren in het ICR
Via onderstaande links komt u snel bij de delen van het ICR die hierover gaan.
- In 1.3.5. Controlemaatregelen wordt beschreven wat controlemaatregelen zijn en hoe ze werken.
- 1.3.5.1 Soorten controlemaatregelen beschrijft welke soorten controlemaatregelen er zijn en
- 1.3.5.2. Werkprincipes gaat in op welke basisprincipes er zijn bij de toepassing van maatregelen.
- 1.3.5.3. Relatie tussen maatregelen en informatieveiligheid geeft een globaal overzicht van de maatregelen en van het beoogde doel in verband met informatieveiligheid.
- 1.3.5.4. Beschrijving technische maatregelen geeft een globaal overzicht, de maatregelen zelf worden beschreven in 3. Beheersmaatregelen - Technologieën en 6. Beheersmaatregelen - Fysieke beveiliging
- 1.3.5.5. Beschrijving procedurele maatregelen geeft een globaal overzicht met links naar andere relevante maatregelen en documenten, de maatregelen zelf worden beschreven in 5. Beheersmaatregelen - Processen
- 1.3.5.6. Beschrijving servicemanagement gaat in op ITIL en procesmatig werken, en hoe de ITIL-processen samenhangen met het ICR en de minimale maatregelen. De maatregelen zelf worden beschreven in 4. Beheersmaatregelen - Service management
- In de 1.3. Beschrijving van het ICR wordt ook ingegaan op de levencyclus van een IKB. Het is van groot belang de IKB regelmatig tegen het licht te houden en te bepalen of deze nog steeds relevant en correct is. De frequentie van deze oefening hangt af van de informatieklasse en staat beschreven in deze paragraaf.
Een mogelijk gevolg van deze oefening is het bijsturen van organisatorische en technische maatregelen op data die nu anders ingeschaald is. Dat betekent dat dus ook de selectie van de controlemaatregelen opnieuw bekeken moet worden. - De volgende stap in de selectie van maatregelen is de analyse ervan. Daarbij gebruikt u het "Pas toe of leg uit"-principe. De Flowchart van het ICR high-level proces in 2. Richtlijnen voor toepassing van het ICR geeft de ICR processtappen schematisch weer. Meer informatie over het toepassen van maatregelen vindt u in /wiki/spaces/ICR/pages/6375964998.
2.3.2. Beschikbare hulpmiddelen
De Selectietool minimale maatregelen (8.3. Informatieklassebepaling en selectie van bijhorende maatregelen) bevat een tabblad Minimale Maatregelen waarmee u via na het invullen van de uitkomst van de IKB een overzicht krijgt van de controlemaatregelen die van toepassing zijn, en de minimale maatregelen die daarbij horen. U kunt ook een deelselectie maken door te filteren op Categorie (bijvoorbeeld organisatorische maatregelen of technologische maatregelen), Type (prevetief, detectief of reactief) of Capaciteit (bijvoorbeeld continuïteit, cryptografie of fysieke beveiliging).
Er is een apart tabblad genaamd KSZ, waar u de minimale normen vindt die door de KSZ gehanteerd worden.
U vindt hier ook een uitleg van het gebruik van de selectietool: 8.3.1. Uitleg van het gebruik van de selectietool.
Op deze pagina vindt u ook een schematisch overzicht van alle minimale maatregelen per klasse voor vertrouwelijkheid, integriteit en beschikbaarheid, volgens ISO27001:2022: 8.3.3 Overzicht minimale maatregelen per klasse volgens ISO27001:2022
2.3.3. Overige informatie
Ter verduidelijking van het onderwerp informatieassets, heeft het Team Informatieveiligheid een handreiking ontwikkeld: Handreiking informatieassets
Gerelateerde pagina’s:
1.2.3. Rollen en verantwoordelijkheden
1.3.2. Kwaliteitskenmerken voor ICR
1.3.3. Definitie informatieasset
2.1. Informatieasset inventariseren en beschrijven
2.2. Informatieklassebepaling informatieassets
3. Beheersmaatregelen - Technologieën
4. Beheersmaatregelen - Service management
5. Beheersmaatregelen - Processen
6. Beheersmaatregelen - Fysieke beveiliging
8.3. Informatieklassebepaling en selectie van bijhorende maatregelen