Deelproject 1.7 Classificeren van systemen

Informatiebeveiliging is altijd een afweging tussen risico’s, de kosten van maatregelen, beschikbare middelen en de praktische haalbaarheid binnen de school. Om te voorkomen dat voor elk systeem een aparte risicoanalyse uitgevoerd moet worden, wordt de BIV-classificatie gebruikt. BIV staat voor beschikbaarheid, integriteit en vertrouwelijkheid. Door middel van enkele standaardvragen wordt een risico-inschatting van het systeem gemaakt. Afhankelijk van de hoogte van de BIV-classificatie worden vervolgens passende maatregelen genomen.

Resultaat van dit deelproject

Een BIV-classificatieschema is opgesteld.
Een BIV-classificatieproces is opgesteld, formeel vastgesteld en gëimplementeerd.

Let op

Je voert voor dit deelproject alleen classificatie op systeemniveau uit. In fase 5 ga je aan de slag met classificatie op dataniveau.
Bij norm DM.03 uit dit deelproject werk je alleen aan het derde en vierde punt van volwassenheidsniveau 3.

Wie doet wat

Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. keurt het BIV-classificatieproces goed en stelt het formeel vast.
De proceseigenaar van het BIV-classificatieproces stelt een BIV-classificatieschema vast en stelt het proces op.
De IBP’er ondersteunt bij het opstellen en implementeren van het BIV-classificatieproces.

Aan de slag

Met het volgen van onderstaande stappen richt jij proces in voor het uitvoeren van BIV-classificaties voor jouw organisatie.

1 Stel een BIV-classificatieschema op

Begin met het opstellen van BIV-classificatieschema. Je kunt hiervoor het certificeringschema IBP ROSA (xslx) gebruiken. Zorg dat het schema de classificatie van de betrouwbaarheid, integriteit en beschikbaarheid als Laag, Midden, Hoog registreert.

2 Stel een BIV-classificatieproces op

Werk vervolgens het BIV-classificatieproces uit. Je kunt hiervoor het voorbeelddocument BIV-classificatieproces gebruiken. Leg hierin de juiste verantwoordelijkheden vast. Let op dat het voorbeelddocument BIV-classificatieproces aspecten van het deelproject 2.7 Beveiligingseisen en maatregelen vastleggen in securitybaselines bevat. Wanneer je deze twee deelprojecten apart oppakt of het proces anders inricht, dien je het BIV-classificatieproces te beperken tot stappen 2.1 en 2.2 uit het voorbeelddocument.

3 Informeer medewerkers over hun verantwoordelijkheden

Zorg dat medewerkers worden geïnformeerd over de verantwoordelijkheden die voortvloeien uit het proces.

4 Train medewerkers

Zorg ervoor dat de medewerkers over de juiste kennis en vaardigheden beschikken om aan hun verantwoordelijkheden te voldoen. Dit kun je onder andere doen door het aanbieden van trainingen.

5 Voer BIV-classificaties uit

Bepaal welke systemen nog geen BIV-classificatie hebben en voer de BIV-classificaties uit. Geef bij een hoge werklast voorrang aan de systemen waarvan verwacht wordt dat ze de hoogste BIV-classificatie zullen krijgen.

6 Monitor de voortgang

Monitor de voortgang van het classificeren van de systemen binnen de organisatie en rapporteer hierover aan het bestuur of de IT-manager.

Voorbeelddocumenten

Procesbeschrijving BIV-classificatie – voorbeelddocument (docx)

Meer informatie

Pas het certificeringsschema IBP ROSA (xlsx) toe voor het classificeren van applicaties binnen de organisatie.

Afdrukken