Classificatie van informatie
Gedeeltelijk IB-coördinator
Aanpak
Alle informatie wordt geclassificeerd op het BIV-model:
- Beschikbaarheid — Moet het er zijn als je het nodig hebt?
- Integriteit — Moet het kloppen?
- Vertrouwelijkheid — Wie mag erbij?
Per categorie kent de informatie-eigenaar een impactniveau toe.
Classificatieproces
- Identificeer het informatieobject
- Beoordeel per BIV-categorie het impactniveau
- Leg vast de classificatie bij het object
- Bescherm conform het classificatieniveau (zie maatregelenlijst)
Verantwoordelijkheden
- Informatie-eigenaar — Classificeert en zorgt voor passende bescherming
- IB-coördinator — Onderhoudt de classificatietabel en maatregelenlijst
- Directie — Keurt classificatiebeleid goed
- Alle medewerkers — Handelen conform de classificatie
Behandelwijze per classificatieniveau
Wanneer informatie is geclassificeerd zorgt de eigenaar voor passende bescherming. Onderstaande tabel beschrijft de maatregelen per impactniveau voor opslaan, verwerken en verspreiden.
Beschikbaarheid
| Niveau | Opslaan | Verwerken | Verspreiden |
|---|---|---|---|
| Laag (1) | Reguliere opslag, geen extra eisen | Geen bijzondere eisen | Geen beperkingen |
| Midden (2) | Back-up conform 8.13, retentie vastgelegd | Beschikbaar binnen kantoortijden | Delen via reguliere kanalen (Slack, e-mail) |
| Hoog (3) | Redundante opslag (multi-AZ), automatische back-up, geteste recovery | 24/7 beschikbaar, monitoring actief | Beschikbaar via beveiligde kanalen, SLA van toepassing |
Integriteit
| Niveau | Opslaan | Verwerken | Verspreiden |
|---|---|---|---|
| Laag (1) | Geen extra integriteitscontrole | Reguliere verwerking | Geen beperkingen |
| Midden (2) | Versiebeheer (Git), wijzigingslog | Vier-ogenprincipe bij wijzigingen (PR-review) | Alleen via geautoriseerde kanalen |
| Hoog (3) | Versiebeheer + audit trail, checksums | Wijzigingen geautoriseerd + gelogd, validatie verplicht | Alleen via beveiligde kanalen, ontvangstbevestiging |
Vertrouwelijkheid
| Niveau | Opslaan | Verwerken | Verspreiden |
|---|---|---|---|
| Laag (1) | Reguliere opslag | Geen bijzondere eisen | Vrij te delen (publieke informatie) |
| Midden (2) | Versleuteld opslaan (at rest), toegang beperkt tot teamleden | Need-to-know basis | Alleen intern of via beveiligde verbinding |
| Hoog (3) | Versleuteld opslaan, toegang strikt beperkt (named users), logging | Strikt need-to-know, verwerking gelogd | Alleen versleuteld, ontvanger expliciet geautoriseerd, geen onbeveiligde e-mail |
Herclassificatie
Bij wijziging van gevoeligheid of belang wordt opnieuw geclassificeerd. Jaarlijkse review als onderdeel van de reviewcyclus.
Bewijs
- Classificatietabel met BIV-niveaus (hierboven)
- Maatregelenlijst per niveau (hierboven)
- Asset register:
registers/assets.yaml
Gaps
Classificatietabel en maatregelenlijst zijn opgenomen in dit document. Aandachtspunt: classificatie wordt nog niet consequent toegepast op alle informatieobjecten.