Norm IM.01 Incidentmanagement
Waarom is dit nodig?
IncidentmanagementHet proces om elke ongeplande onderbreking zo snel en goed mogelijk te herstellen. is het centrale proces voor het melden van incidenten in de it-omgeving en van (cyber)beveiligingsincidenten. Incidenten in de it-omgeving zijn nooit helemaal uit te sluiten. Daarom is het belangrijk dat je bent voorbereid als het toch mis gaat. Met een goede voorbereiding kun je de schade bij een incident beperken. Het doel van incidentmanagement is om verstoringen bij het verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. van informatie snel en effectief te herkennen, vast te leggen en af te handelen. Incidenten zijn onverwachte gebeurtenissen of problemen die de normale werking van de it-omgeving verstoren. Ook als er iets misgaat met het veilig verwerken van informatie, wordt dat als een incident behandeld. Incidenten moet je oplossen zodat het onderwijs en ondersteunende werkprocessen door kunnen gaan.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen beleid voor incidentmanagement.
- Er zijn geen rollen en verantwoordelijkheden vastgelegd.
- Er zijn geen procedures om te garanderen dat alle incidenten en storingen worden gedocumenteerd en geanalyseerd.
- Incidenten worden bijgehouden en geëvalueerd op individuele basis.
- Reacties op informatiebeveiligingsincidenten zijn ad hoc.
2 Herhaalbaar
- Er is een informeel incidentmanagementproces vastgesteld om kritische incidenten aan te pakken.
- Rollen en verantwoordelijkheden zijn gedeeltelijk gedefinieerd.
- De meeste incidenten worden gedocumenteerd en geanalyseerd, maar afwijkingen van de standaarden worden waarschijnlijk niet gedetecteerd.
- Er zijn geen criteria bepaald voor het categoriseren en prioriteren van incidenten op basis van impact.
- Incidenten worden ad hoc toegewezen. Er wordt handmatig en op individuele basis toezicht gehouden.
- Er is geen formele training en communicatie over de standaardprocedures.
3 Bepaald (streefniveau)
- Het incidentmanagementbeleid is formeel gedocumenteerd en gecommuniceerd.
- Rollen en verantwoordelijkheden van de organisatie en de leveranciersAanbieders van ict- of leermiddelen. zijn duidelijk gedefinieerd.
- Aspecten rondom juridisch en forensisch onderzoek zijn vastgesteld en toegewezen.
- Het registreren van, de communicatie over, de toewijzing van en de analyse van incidenten zijn formeel belegd in de organisatie.
- Incidenten worden gecategoriseerd en geprioriteerd op basis van impact.
- (Cyber)beveiligingsincidenten worden voorkomen of gedetecteerd en er is een proces om deze tijdig en effectief aan te pakken.
- Informatie wordt op proactief en formeel gedeeld door medewerkers.
- Er wordt gemonitord of incidenten tijdig worden opgelost.
- Er wordt beperkt gerapporteerd aan het management over incident- en oplossingsanalyses.
4 Beheerst
Aanvullend op niveau 3:
- Incidenten worden proactief geanalyseerd om oorzaken te achterhalen.
- Er is een functie (responseteam) ingevoerd om beveiligingscrises te herkennen en te managen.
- Het incidentmanagementproces betrekt belangrijke functies binnen de organisatie en bij externe serviceproviders.
- Op het tijdig aanpakken van incidenten wordt streng toegezien. Onopgeloste incidenten (bekende foutmeldingen waar omheen gewerkt wordt) worden gedocumenteerd en gerapporteerd als input voor problemmanagementHet beheren van een reeks incidenten met onbekende hoofdoorzaak..
- De kwaliteit en operationele effectiviteit van het incidentmanagementproces worden periodiek geëvalueerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- De registratie, rapportage en analyse van incidenten en oplossingen zijn volledig geautomatiseerd en geïntegreerd met configuratie- en problemmanagement.
- De meeste systemen zijn uitgerust met automatische detectie- en waarschuwingssystemen, die voortdurend gemonitord en beoordeeld worden.
- Incidentmanagement wordt voortdurend geanalyseerd voor verbetering.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Maak een incidentmanagementbeleid. Je kunt hiervoor gebruikmaken van elementen op de pagina Inrichten van incidentmanagement op de Aanpak IBP en bijbehorende templates, zoals het template Incidentmanagementbeleid, waarin de processtappen zijn benoemd, de rollen en verantwoordelijkheden en de communicatielijnen.
- Stel het incidentmanagementbeleid vast.
- Stel het incidentmanagementbeleid (digitaal) beschikbaar voor alle medewerkers van de school, bijvoorbeeld via intranet.
- Registreer incidenten in een register van beveiligingsincidenten en datalekken. Je kunt hiervoor gebruikmaken van het Register van (Beveiligings)incidenten en datalekken.
- Rapporteer periodiek – bijvoorbeeld elk kwartaal – aan het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. over de belangrijkste incidenten en de manier waarop deze zijn opgelost.
Hulpmiddelen
Gerelateerde wetten en normen
Norm IM.01 Incidentmanagement is gerelateerd aan de ISO-standaard 27001/2:2022 en aan privacynormen.
ISO 27001/2:2022
- A5.24
- A5.25
- A5.26
- A5.27
- A5.28
- A6.8