Inventarisatie en classificatie van informatiebeveiliging
Inzicht hebben in je data, applicaties en hardware en andere bedrijfsmiddelen is een voorwaarde bij de bescherming van informatie. Een inventarisatie en classificatie zorgt voor een goed duidelijk overzicht. Onze experts hebben instrumenten ontwikkeld die helpen uw data op waarde te schatten.
Benieuwd wat BMC voor u kan betekenen? Lees dan verder of neem contact met ons op.
Op deze pagina:
Waarom inventarisatie en classificatie?
De drie aspecten van informatiebeveiliging
Wat gebeurt er met de classificatie?
Onze dienstverlening op het gebied van inventarisatie en classificatie van informatiebeveiliging
Praktijkcases en oplossingen
Adviseur inventarisatie en classificatie van informatiebeveiliging
Waarom inventarisatie en classificatie?
Om informatie te beschermen moet je eerst weten over welke informatie het gaat. Overzicht en inzicht zijn dus essentieel. Een volledige inventarisatie van IT-middelen, informatiesystemen/applicaties en gegevensverzamelingen zorgt voor dit overzicht.
Voor de inventarisatie van IT-middelen zoals laptops, telefoons, servers en netwerkcomponenten is vaak de IT-afdeling verantwoordelijk. Dat geldt vaak ook informatiesystemen en applicaties, maar daar zien we toenemend dat cloud-applicaties ook zonder tussenkomst van de IT-afdeling worden gebruikt, de zogenaamde Shadow-IT. Gegevensverzamelingen met persoonsgegevens zullen in een verwerkingenregister moeten worden opgenomen. Zorgen voor volledigheid, actualiteit en consistentie kan telkens uitdagend zijn.
De drie aspecten van informatiebeveiliging
Een dataclassificatie heeft de bovengenoemde inventarisatie van IT-middelen, informatiesystemen/applicaties en gegevensverzamelingen als uitgangspunt. De dataclassificatie laat zien welke informatiesystemen/applicaties en gegevens een hoger niveau van bescherming nodig hebben, dan andere. Ook blijkt daaruit welke met een lager beschermingsniveau toch voldoende zijn beschermd.
De classificatie vindt plaats op de drie aspecten van informatiebeveiliging:
- Vertrouwelijkheid: Dit gaat over de gevoeligheid van gegevens en de schade wanneer deze “op straat” komen te liggen of in handen van onbevoegden. Gezondheidsgegevens krijgen daarbij een hogere classificatie als het interne adresboek of openbare informatie op de website.
- Integriteit: Dit gaat over de juistheid, actualiteit en authenticiteit van gegevens en de schade wanneer gegevens onbevoegd worden gewijzigd. Betalingsgegevens met een frauderisico en informatie op de website waaraan rechten kunnen worden ontleend, worden daarbij hoger geclassificeerd dan informatie op het intranet of interne rapportages.
- Beschikbaarheid: Dit gaat over de beschikbaarheid van informatie voor de bedrijfsprocessen en de schade die ontstaat wanneer een bedrijfsproces tijdelijk niet uitgevoerd kan worden. De basisregistraties van de overheid en medicatiegegevens in de zorg worden daarbij hoger geclassificeerd dan informatie in processen waarvan de doorlooptijd meerdere weken bedraagt.
Wat gebeurt er met de classificatie?
Op basis van de dataclassificatie wordt bepaald of en met welke diepgang beveiligingsmaatregelen voor IT-middelen, informatiesystemen/applicaties en gegevensverzamelingen moeten worden toegepast. Een paar voorbeelden: Bij een hogere classificatie van vertrouwelijkheid zullen minder mensen toegang krijgen en wordt de toegang gelogd. Bij en hogere classificatie van integriteit wordt functiescheiding en/of het vier-ogen principe toegepast. Bij een hogere classificatie van beschikbaarheid wordt gezorgd voor een uitvalvoorziening, bijvoorbeeld een kopie van de medicatiedata op papier of op een tablet.
Onze dienstverlening op het gebied van inventarisatie en classificatie van informatiebeveiliging
Advies en onderzoek
BMC heeft instrumenten ontwikkeld voor het uitvoeren van de dataclassificatie, zoals een classificatieschema en schadecategorieën. De financiële schade wordt daarbij afgestemd op de omvang van de organisatie. Op die manier kan een dataclassificatie vlot en pragmatisch worden uitgevoerd, bijvoorbeeld met behulp van een beslisboom, interviews of workshops. Systeem-/Proceseigenaren zijn in de governance vaak verantwoordelijk voor de dataclassificatie. Zij kunnen worden ontlast door een voorstel te maken dat zij kunnen bevestigen.
Naast advies en onderzoek kunt u bij BMC ook terecht voor de werving van medewerkers en inhuur van professionals. Ook leveren wij persoonlijke opleidingstrajecten en in-company trainingen op maat. Deze trainingen worden afgestemd op de specifieke behoeften van uw organisatie.
Adviseur inventarisatie en classificatie van informatiebeveiliging
Meer weten over inventarisatie en classificatie van informatiebeveiliging? Neem dan contact op met onderstaande adviseur:
Julius Duijts
partner informatiebeveiliging, CMC CISSP CEH CIPP/E
"Mijn ambitie is om informatiebeveiliging en privacy op een praktische manier te implementeren, zodat het de kerntaken van de organisatie ondersteunt. Dat betekent aansluiten bij de besturing van de organisatie en vooral zeggen wat je doet, doen wat je zegt en dat samen regelmatig checken."
Meer informatie over informatiebeveiliging
Deze expertise hoort bij Baseline Informatiebeveiliging Overheid (BIO), onder informatiebeveiliging binnen het domein data en dienstverlening. Bekijk ook andere expertises binnen dit domein: