richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Clients/Humankind/Dataclassificatie Humankind.md

3.7 KiB
Raw Permalink Blame History

Dataclassificatie Humankind

Sessie 20 maart 2025 Aanwezig:

  • Roxanne Kokol
  • Francis Willemsen
  • Robin Alma
  • Florine Vinkesteijn

Introductietekst

Binnen het project zijn we bezig met het opstellen van informatiebeveiligingsbeleid. Goed beleid is risicogebaseerd. Daarbij is het handig om te bepalen op welke gebieden de risicobereidheid van de organisatie laag is (bijv. reputatie, compliance, financieel, continuïteit van de processen) en hoe de mate van impact gekwalificeerd en/of gekwantificeerd kan worden.

Dit past ook binnen de Governancecode Kinderopvang, beginsel 6, Verantwoording en beheersing: “Het bestuur en het interne toezicht (geeft inzicht in) risicobereidheid en -beheersing”.

Deze classificering kan vervolgens gebruikt worden als basis om risicobeheersmaatregelen te kiezen in dit geval binnen het domein van informatiebeveiliging.

Tekst op voorblad van de matrix

Dataclassificatie en Maatregelen Humankind

Versie 2 mei 2025

Het Traffic Light Protocol Het Traffic Light Protocol (TLP) van FIRST.org is binnen het vakgebied informatiebeveiliging een standaard voor het vaststellen van beveiligingsniveaus. TLP onderscheid 4 niveaus: CLEAR / Openbaar, GREEN / Intern, AMBER / Vertrouwelijk en RED / Zeer vertrouwelijk of geheim. Met deze 4 niveaus kun je de informatie en systemen binnen de organisatie rangschikken van openbaar tot geheim. Vervolgens kun je per niveau maatregelen vaststellen, die van toepassing (moeten) zijn op de informatie en de systemen waarop deze informatie leeft. Dat maakt het makkelijker om er beleid voor op te stellen, en helpt medewerkers te bepalen wat ze wel of niet mogen (of moeten) met de informatie waarmee ze werken.

Totstandkoming van dit document

  1. Op 20 maart 2025 zijn met de bestuurder en de manager bedrijfsvoering de onderwerpen bepaald waarop de negatieve impact van incidenten het zwaarst weegt. Dat zijn: Continuïteit van de bedrijfsvoering, Welzijn van de kinderen, Inzetbaarheid van medewerkers, Reputatie en Financieel. Per onderwerp is de risicobereidheid bepaald, met een kwalificatie van de relatieve ernst van incidenten. Dit vind je op het tabblad Impact.
  2. Met het Privacyteam is gekeken hoe de binnen de organisatie bestaande documenten en informatie past op de indeling in niveaus, en waar deze informatie voorkomt. Met Informatiemanagement hebben we dit gedaan voor de informatie die betrekking heeft op ons ICT landschap en de beveiliging daarvan. Dit vind je op het tabblad Info-typen.
  3. Met Informatiemanagement is bepaald welke beschermende maatregelen vervolgens horen bij de verschillende niveaus. Dit vind je op het tabblad Maatregelen.

Dataclassificatie matrix

Actuele versie

Issue:

Informatie uit de categorieën Geheim of Vertrouwelijk moeten ook gedeeld kunnen worden buiten de organisatie, alleen met een zeer beperkte groep. Bijv. de accountant, of de ouders van een kind. Daarvoor moet je dan ook waarborgen inbouwen, maar daarbij doen zich een aantal vragen voor:

  • Waar leg je de verantwoordelijkheid?
  • op welk moment in het proces tref je de waarborgen?
  • hoe ga je controleren of de waarborgen ook worden nageleefd?
  • wie gaat het controleren, en op welk moment?

Waarborgen kunnen zijn:

  • alleen toegang met MFA (zoals bij Zivver of Zorgmail)
  • alleen toegang na een getekende geheimhoudingsverklaring
  • alleen toegang vanaf een gemanaged device
  • alleen toegang om een device met een recente build van het OS
  • downloaden niet mogelijk.

Eerdere versies

Eerste versie incl. alle (voor HK niet relevante) voorbeelden

Versie 2 mei 2025