Norm IM.01 Incidentmanagement
Waarom is dit nodig?
IncidentmanagementHet proces om elke ongeplande onderbreking zo snel en goed mogelijk te herstellen. is het centrale proces voor het melden van incidenten in de IT-omgeving en van (cyber)beveiligingsincidenten. Incidenten in de IT-omgeving zijn nooit helemaal uit te sluiten. Daarom is het belangrijk dat je bent voorbereid als het toch mis gaat. Met een goede voorbereiding kun je de schade bij een incident beperken. Het doel van incidentmanagement is om verstoringen bij het verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. van informatie snel en effectief te herkennen, vast te leggen en af te handelen. Incidenten zijn onverwachte gebeurtenissen of problemen die de normale werking van de IT-omgeving verstoren. Ook als er iets misgaat met het veilig verwerken van informatie, wordt dat als een incident behandeld. Incidenten moet je oplossen zodat het onderwijs en ondersteunende werkprocessen door kunnen gaan.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen beleid voor incidentmanagement.
- Er zijn geen rollen en verantwoordelijkheden vastgelegd.
- Er zijn geen procedures om te garanderen dat alle incidenten en storingen worden gedocumenteerd en geanalyseerd.
- Incidenten worden bijgehouden en geëvalueerd op individuele basis.
- Reacties op informatiebeveiligingsincidenten zijn ad hoc.
2 Herhaalbaar
- Er is een informeel incidentmanagementproces vastgesteld om kritische incidenten aan te pakken.
- Rollen en verantwoordelijkheden zijn gedeeltelijk gedefinieerd.
- De meeste incidenten worden gedocumenteerd en geanalyseerd, maar afwijkingen van de standaarden worden waarschijnlijk niet gedetecteerd.
- Er zijn geen criteria bepaald voor het categoriseren en prioriteren van incidenten op basis van impact.
- Incidenten worden ad hoc toegewezen. Er wordt handmatig en op individuele basis toezicht gehouden.
- Er is geen formele training en communicatie over de standaardprocedures.
3 Bepaald (streefniveau)
- Het incidentmanagementbeleid is formeel gedocumenteerd en gecommuniceerd.
- Rollen en verantwoordelijkheden van de organisatie en de leveranciersAanbieders van ICT- of leermiddelen. zijn duidelijk gedefinieerd.
- Aspecten rondom juridisch en forensisch onderzoek zijn vastgesteld en toegewezen.
- Het registreren van, de communicatie over, de toewijzing van en de analyse van incidenten zijn formeel belegd in de organisatie.
- Incidenten worden gecategoriseerd en geprioriteerd op basis van impact.
- (Cyber)beveiligingsincidenten worden voorkomen of gedetecteerd en er is een proces om deze tijdig en effectief aan te pakken.
- Informatie wordt op proactief en formeel gedeeld door medewerkers.
- Er wordt gemonitord of incidenten tijdig worden opgelost.
- Er wordt beperkt gerapporteerd aan het management over incident- en oplossingsanalyses.
4 Beheerst
Aanvullend op niveau 3:
- Incidenten worden proactief geanalyseerd om oorzaken te achterhalen.
- Er is een functie (responseteam) ingevoerd om beveiligingscrises te herkennen en te managen.
- Het incidentmanagementproces betrekt belangrijke functies binnen de organisatie en bij externe serviceproviders.
- Op het tijdig aanpakken van incidenten wordt streng toegezien. Onopgeloste incidenten (bekende foutmeldingen waar omheen gewerkt wordt) worden gedocumenteerd en gerapporteerd als input voor problemmanagementHet beheren van een reeks incidenten met onbekende hoofdoorzaak..
- De kwaliteit en operationele effectiviteit van het incidentmanagementproces worden periodiek geëvalueerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- De registratie, rapportage en analyse van incidenten en oplossingen zijn volledig geautomatiseerd en geïntegreerd met configuratie- en problemmanagement.
- De meeste systemen zijn uitgerust met automatische detectie- en waarschuwingssystemen, die voortdurend gemonitord en beoordeeld worden.
- Incidentmanagement wordt voortdurend geanalyseerd voor verbetering.
Voorbeelddocumenten
Gerelateerde wetten en normen
Norm IM.01 Incidentmanagement is gerelateerd aan de ISO-standaard 27001/2:2022 en aan privacynormen.
ISO 27001/2:2022
- A5.24
- A5.25
- A5.26
- A5.27
- A5.28
- A6.8