Norm IM.01 Incidentmanagement

Een formeel incidentmanagementproces wordt gecommuniceerd en ingevoerd. Er zijn procedures om ervoor te zorgen dat alle incidenten en storingen worden geregistreerd, geanalyseerd, gecategoriseerd en geprioriteerd naar impact. Alle incidenten worden bijgehouden en periodiek beoordeeld om ervoor te zorgen dat ze tijdig worden verholpen.

Waarom is dit nodig?

Incidentmanagement is het centrale proces voor het melden van incidenten in de it-omgeving en van (cyber)beveiligingsincidenten. Incidenten in de it-omgeving zijn nooit helemaal uit te sluiten. Daarom is het belangrijk dat je bent voorbereid als het toch mis gaat. Met een goede voorbereiding kun je de schade bij een incident beperken. Het doel van incidentmanagement is om verstoringen bij het verwerken van informatie snel en effectief te herkennen, vast te leggen en af te handelen. Incidenten zijn onverwachte gebeurtenissen of problemen die de normale werking van de it-omgeving verstoren. Ook als er iets misgaat met het veilig verwerken van informatie, wordt dat als een incident behandeld. Incidenten moet je oplossen zodat het onderwijs en ondersteunende werkprocessen door kunnen gaan.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er is geen beleid voor incidentmanagement.
  • Er zijn geen rollen en verantwoordelijkheden vastgelegd.
  • Er zijn geen procedures om te garanderen dat alle incidenten en storingen worden gedocumenteerd en geanalyseerd.
  • Incidenten worden bijgehouden en geëvalueerd op individuele basis.
  • Reacties op informatiebeveiligingsincidenten zijn ad hoc.
2 Herhaalbaar
  • Er is een informeel incidentmanagementproces vastgesteld om kritische incidenten aan te pakken.
  • Rollen en verantwoordelijkheden zijn gedeeltelijk gedefinieerd.
  • De meeste incidenten worden gedocumenteerd en geanalyseerd, maar afwijkingen van de standaarden worden waarschijnlijk niet gedetecteerd.
  • Er zijn geen criteria bepaald voor het categoriseren en prioriteren van incidenten op basis van impact.
  • Incidenten worden ad hoc toegewezen. Er wordt handmatig en op individuele basis toezicht gehouden.
  • Er is geen formele training en communicatie over de standaardprocedures.
3 Bepaald (streefniveau)
  • Het incidentmanagementbeleid is formeel gedocumenteerd en gecommuniceerd.
  • Rollen en verantwoordelijkheden van de organisatie en de leveranciers zijn duidelijk gedefinieerd.
  • Aspecten rondom juridisch en forensisch onderzoek zijn vastgesteld en toegewezen.
  • Het registreren van, de communicatie over, de toewijzing van en de analyse van incidenten zijn formeel belegd in de organisatie.
  • Incidenten worden gecategoriseerd en geprioriteerd op basis van impact.
  • (Cyber)beveiligingsincidenten worden voorkomen of gedetecteerd en er is een proces om deze tijdig en effectief aan te pakken.
  • Informatie wordt op proactief en formeel gedeeld door medewerkers.
  • Er wordt gemonitord of incidenten tijdig worden opgelost.
  • Er wordt beperkt gerapporteerd aan het management over incident- en oplossingsanalyses.
4 Beheerst

Aanvullend op niveau 3:

  • Incidenten worden proactief geanalyseerd om oorzaken te achterhalen.
  • Er is een functie (responseteam) ingevoerd om beveiligingscrises te herkennen en te managen.
  • Het incidentmanagementproces betrekt belangrijke functies binnen de organisatie en bij externe serviceproviders.
  • Op het tijdig aanpakken van incidenten wordt streng toegezien. Onopgeloste incidenten (bekende foutmeldingen waar omheen gewerkt wordt) worden gedocumenteerd en gerapporteerd als input voor problemmanagement.
  • De kwaliteit en operationele effectiviteit van het incidentmanagementproces worden periodiek geëvalueerd.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • De registratie, rapportage en analyse van incidenten en oplossingen zijn volledig geautomatiseerd en geïntegreerd met configuratie- en problemmanagement.
  • De meeste systemen zijn uitgerust met automatische detectie- en waarschuwingssystemen, die voortdurend gemonitord en beoordeeld worden.
  • Incidentmanagement wordt voortdurend geanalyseerd voor verbetering.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

  • Maak een incidentmanagementbeleid. Je kunt hiervoor gebruikmaken van elementen op de pagina Inrichten van incidentmanagement op de Aanpak IBP en bijbehorende templates, zoals het template Incidentmanagementbeleid, waarin de processtappen zijn benoemd, de rollen en verantwoordelijkheden en de communicatielijnen.
  • Stel het incidentmanagementbeleid vast.
  • Stel het incidentmanagementbeleid (digitaal) beschikbaar voor alle medewerkers van de school, bijvoorbeeld via intranet.
  • Registreer incidenten in een register van beveiligingsincidenten en datalekken. Je kunt hiervoor gebruikmaken van het Register van (Beveiligings)incidenten en datalekken.
  • Rapporteer periodiek – bijvoorbeeld elk kwartaal – aan het schoolbestuur over de belangrijkste incidenten en de manier waarop deze zijn opgelost.

Hulpmiddelen

Gerelateerde wetten en normen

Norm IM.01 Incidentmanagement is gerelateerd aan de ISO-standaard 27001/2:2022 en aan privacynormen.

ISO 27001/2:2022

  • A5.24
  • A5.25
  • A5.26
  • A5.27
  • A5.28
  • A6.8

Privacynormen

Afdrukken

Op deze pagina