Door Bitwiper: …..
Waar ik naar zoek is een sluitende definitie voor integriteit voor op een classificatieschema, bedoeld voor medewerkers om informatie te classificeren (zodat duidelijk is hoe verder met die informatie moet worden omgesprongen). Hoewel we van mening verschillen, waardeer ik jouw reactie, die aantoont dat je exact moet vastleggen wat je bedoelt om misverstanden te voorkomen!
Die vraag is veel lastiger dan de invulling van een iso normenkader. De classificatie moet gedaan worden door de business, functioneel beheerders, eigenaars van de informatie, zoals jij aangeeft "medewerkers".
De spraakverwarring over woorden begrippen en de doelstellingen zijn bijna een vaststaand gegeven. Je had dat classificatie document vng al. Deze zijn lastig:
"
1- Er wordt gestreefd naar een zo ‘laag’ mogelijk classificatieniveau; te hoge classificatie leidt tot onnodige kosten.
2- De eigenaar van de gegevens (veelal ook de proceseigenaar) bepaalt het vereiste beschermingsniveau
3- ... De classificatie die door de soort informatie bepaald wordt geldt ook voor het hogere niveau van informatiesystemen (of informatieservices), … "
ad 1/ Gebruikers hebben de neiging voor een zo hoog mogelijk classificatieniveau te gaan. Status en belangrijkheid.
ad 2/ Het vereiste beschermingsniveau zegt ze niets. Je zult met een indeling op uitval/beschikbaarheid van de verwerkingen moeten komen. Gevallen als
- "een desktop/gebruiker kan een dag niet werken"
- "afdeling kan een dag niet werken"
- "Een brief wordt verkeerd naar buiten gestuurd"
- "de hele verwerking gaat fout en moet over, dis is zichtbaar voor het publiek"
- "een verwerking met een regelmatige deadline haalt de deadline niet. Je kunt daar veel situatie bij hebben.
Deze kun je met een begrip van tijdigheid inkleden. Kwartaal en jaar opleveringen zijn hierbij typisch met bijzondere eigenschap. Op het moment van de campagne kunnen ze hoogst kritisch zijn. en buiten die periode marginaal.
Een voorbeeld is de belastingaangiftecampagne die nu enkele maanden loopt. Operatie en beschikbaar krijgt nu de hoogste aandacht en prioriteit. Na juni is die druk er af en werkt me aan veranderingen voor de volgenden campagne.
Kijk wat er bij de gebruiker gebeurt, durf te vragen en je zult er meer zien.
ad 3/ Gebruikers hebben de neiging systemen door elkaar te laten lopen voor het gemak. Ze zijn zich niet bewust dat maateregelen voor hogere niveau's kosten en mogelijk iets onwerkbaars met zich meebrengt.
Voor je het weet heb je een spanningsveld met een architect van de business. Ontkoppelen op classificatie niveau's kan een gevolg zijn. Hoe ga je dat als technical-debt er in krijgen?
De classificaties dienen als hulpmiddel om de er bij horende technische maatregelen te onderbouwen.
Het kan zelfs zijn dat nog niet herkende hiaten nog opgelost moeten worden of dat er een uitspraak over gedaan wordt. Risicoacceptatie met een beschrijving wat er dan gedaan wordt is ook een oplossing.
Voor je het weet zit je met een lijst van technische maatregelen waar de medewerkers via de classificatie in terecht moeten komen.
Het verbaast me dat je de ISO27k normen zelf niet hebt. De kosten zjn voor privé te hoog maar voor een bedrijf niet. De uren die je er in steekt om er omheen te werken zouden wel eens een veelvoud van die kosten kunnen zijn.