Deelproject 1.7 Classificeren van systemen
Informatiebeveiliging is altijd een afweging tussen risico’s, de kosten van maatregelen, beschikbare middelen en de praktische haalbaarheid binnen de school. Om te voorkomen dat voor elk systeem een aparte risicoanalyse uitgevoerd moet worden, wordt de BIV-classificatie gebruikt. BIV staat voor beschikbaarheid, integriteit en vertrouwelijkheid. Door middel van enkele standaardvragen wordt een risico-inschatting van het systeem gemaakt. Afhankelijk van de hoogte van de BIV-classificatie worden vervolgens passende maatregelen genomen.
Resultaat van dit deelproject
- Een BIV-classificatieschema is opgesteld.
- Een BIV-classificatieproces is opgesteld, formeel vastgesteld en gëimplementeerd.
Let op
Je voert voor dit deelproject alleen classificatie op systeemniveau uit. In fase 5 ga je aan de slag met classificatie op dataniveau.
Wie doet wat
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. keurt het BIV-classificatieproces goed en stelt het formeel vast.
- De proceseigenaar van het BIV-classificatieproces stelt een BIV-classificatieschema vast en stelt het proces op.
- De IBP’er ondersteunt bij het opstellen en implementeren van het BIV-classificatieproces.
Aan de slag
Met het volgen van onderstaande stappen richt jij proces in voor het uitvoeren van BIV-classificaties voor jouw organisatie.
1 Stel een BIV-classificatieschema op
Begin met het opstellen van BIV-classificatieschema. Je kunt hiervoor het certificeringschema IBP ROSA (xslx) gebruiken. Zorg dat het schema de classificatie van de betrouwbaarheid, integriteit en beschikbaarheid als Laag, Midden, Hoog registreert.
2 Stel een BIV-classificatieproces op
Werk vervolgens het BIV-classificatieproces uit. Je kunt hiervoor het voorbeelddocument BIV-classificatieproces gebruiken. Leg hierin de juiste verantwoordelijkheden vast. Let op dat het voorbeelddocument BIV-classificatieproces aspecten van het deelproject 2.7 Beveiligingseisen en maatregelen vastleggen in securitybaselines bevat. Wanneer je deze twee deelprojecten apart oppakt of het proces anders inricht, dien je het BIV-classificatieproces te beperken tot stappen 2.1 en 2.2 uit het voorbeelddocument.
3 Informeer medewerkers over hun verantwoordelijkheden
Zorg dat medewerkers worden geïnformeerd over de verantwoordelijkheden die voortvloeien uit het proces.
4 Train medewerkers
Zorg ervoor dat de medewerkers over de juiste kennis en vaardigheden beschikken om aan hun verantwoordelijkheden te voldoen. Dit kun je onder andere doen door het aanbieden van trainingen.
5 Voer BIV-classificaties uit
Bepaal welke systemen nog geen BIV-classificatie hebben en voer de BIV-classificaties uit. Geef bij een hoge werklast voorrang aan de systemen waarvan verwacht wordt dat ze de hoogste BIV-classificatie zullen krijgen.
6 Monitor de voortgang
Monitor de voortgang van het classificeren van de systemen binnen de organisatie en rapporteer hierover aan het bestuur of de IT-manager.
Voorbeelddocumenten
Meer informatie
- Pas het certificeringsschema IBP ROSA (xlsx) toe voor het classificeren van applicaties binnen de organisatie.