Deelproject 1.7 Classificeren van systemen

Informatiebeveiliging is altijd een afweging tussen risico’s, de kosten van maatregelen, beschikbare middelen en de praktische haalbaarheid binnen de school. Om te voorkomen dat voor elk systeem een aparte risicoanalyse uitgevoerd moet worden, wordt de BIV-classificatie gebruikt. BIV staat voor beschikbaarheid, integriteit en vertrouwelijkheid. Door middel van enkele standaardvragen wordt een risico-inschatting van het systeem gemaakt. Afhankelijk van de hoogte van de BIV-classificatie worden vervolgens passende maatregelen genomen.

Resultaat van dit deelproject

  • Een BIV-classificatieschema is opgesteld.
  • Een BIV-classificatieproces is opgesteld, formeel vastgesteld en gëimplementeerd.

Let op

Je voert voor dit deelproject alleen classificatie op systeemniveau uit. In fase 5 ga je aan de slag met classificatie op dataniveau.

Wie doet wat

  • Het schoolbestuur keurt het BIV-classificatieproces goed en stelt het formeel vast.
  • De proceseigenaar van het BIV-classificatieproces stelt een BIV-classificatieschema vast en stelt het proces op.
  • De IBP’er ondersteunt bij het opstellen en implementeren van het BIV-classificatieproces.

Aan de slag

Met het volgen van onderstaande stappen richt jij proces in voor het uitvoeren van BIV-classificaties voor jouw organisatie.

1 Stel een BIV-classificatieschema op

Begin met het opstellen van BIV-classificatieschema. Je kunt hiervoor het certificeringschema IBP ROSA (xslx) gebruiken. Zorg dat het schema de classificatie van de betrouwbaarheid, integriteit en beschikbaarheid als Laag, Midden, Hoog registreert.

2 Stel een BIV-classificatieproces op

Werk vervolgens het BIV-classificatieproces uit. Je kunt hiervoor het voorbeelddocument BIV-classificatieproces gebruiken. Leg hierin de juiste verantwoordelijkheden vast. Let op dat het voorbeelddocument BIV-classificatieproces aspecten van het deelproject 2.7 Beveiligingseisen en maatregelen vastleggen in securitybaselines bevat. Wanneer je deze twee deelprojecten apart oppakt of het proces anders inricht, dien je het BIV-classificatieproces te beperken tot stappen 2.1 en 2.2 uit het voorbeelddocument.

3 Informeer medewerkers over hun verantwoordelijkheden

Zorg dat medewerkers worden geïnformeerd over de verantwoordelijkheden die voortvloeien uit het proces.

4 Train medewerkers

Zorg ervoor dat de medewerkers over de juiste kennis en vaardigheden beschikken om aan hun verantwoordelijkheden te voldoen. Dit kun je onder andere doen door het aanbieden van trainingen.

5 Voer BIV-classificaties uit

Bepaal welke systemen nog geen BIV-classificatie hebben en voer de BIV-classificaties uit. Geef bij een hoge werklast voorrang aan de systemen waarvan verwacht wordt dat ze de hoogste BIV-classificatie zullen krijgen.

6 Monitor de voortgang

Monitor de voortgang van het classificeren van de systemen binnen de organisatie en rapporteer hierover aan het bestuur of de IT-manager.

Voorbeelddocumenten

Meer informatie

Afdrukken

Op deze pagina