16. Beheer van informatiebeveiligingsincidenten

16.1 Beheer van informatiebeveiligingsincidenten en -verbeteringen

Doelstelling:
16.1.1
bbn: 1
Verantwoordelijkheden en procedures
Directieverantwoordelijkheden en -procedures behoren te worden vastgesteld om een snelle, doeltreffende en ordelijke respons op informatiebeveiligingsincidenten te bewerkstelligen.
16.1.2
bbn: 1
Rapportage van informatiebeveiligingsgebeurtenissen
Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd.
antimalwarebeleid
16.1.2.1
bbn: 1

Er is een meldloket waar beveiligingsincidenten kunnen worden gemeld.

16.1.2.2
bbn: 1

Er is een meldprocedure waarin de taken en verantwoordelijkheden van het meldloket staan beschreven.

16.1.2.3
bbn: 1

Alle medewerkers en contractanten hebben aantoonbaar kennis genomen van de meldingsprocedure van incidenten.

16.1.2.4
bbn: 1

Incidenten worden zo snel als mogelijk, maar in ieder geval binnen 24 uur na bekendwording, gemeld bij het meldloket.

16.1.2.5
bbn: 1

De proceseigenaar is verantwoordelijk voor het oplossen van beveiligingsincidenten.

16.1.2.6
bbn: 1

De opvolging van incidenten wordt maandelijks gerapporteerd aan de verantwoordelijke.

16.1.2.7
bbn: 1

Informatie afkomstig uit de responsible disclosure procedure zijn onderdeel van de incidentrapportage.

16.1.3
bbn: 1
Rapportage van zwakke plekken in de informatiebeveiliging
Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten van de organisatie behoort te worden geëist dat zij de in systemen of diensten waargenomen of vermeende zwakke plekken in de informatiebeveiliging registreren en rapporteren.
vulnerability managementantimalwarebeleid
16.1.3.1
bbn: 1

Een responsible disclosure procedure is gepubliceerd en ingericht.

16.1.4
bbn: 1
Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen
Informatiebeveiligingsgebeurtenissen behoren te worden beoordeeld en er behoort te worden geoordeeld of zij moeten worden geclassificeerd als informatiebeveiligingsincidenten.
16.1.4.1
bbn: 2

Informatiebeveiligingsincidenten die hebben geleid tot een vermoedelijk of mogelijk opzettelijke inbreuk op de beschikbaarheid, vertrouwelijkheid of integriteit van informatie verwerkende systemen, behoren zo snel mogelijk (binnen 72 uur) al dan niet geautomatiseerd te worden gemeld aan het NCSC (alleen voor rijksoverheidsorganisaties) of de sectorale CERT.

16.1.5
bbn: 1
Respons op informatiebeveiligingsincidenten
Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures.
antimalwarebeleid
16.1.6
bbn: 2
Lering uit informatiebeveiligingsincidenten
Kennis die is verkregen door informatiebeveiligingsincidenten te analyseren en op te lossen behoort te worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen.
antimalwarebeleid
16.1.6.1
bbn: 2

Beveiligingsincidenten worden geanalyseerd met als doel te leren en het voorkomen van toekomstige beveiligingsincidenten.

16.1.6.2
bbn: 2

De analyses van de beveiligingsincidenten worden gedeeld met de relevante partners om herhaling en toekomstige incidenten te voorkomen.

16.1.7
bbn: 2
Verzamelen van bewijsmateriaal
De organisatie behoort procedures te definiëren en toe te passen voor het identificeren, verzamelen, verkrijgen en bewaren van informatie die als bewijs kan dienen.
Loggingantimalwarebeleid
16.1.7.1
bbn: 2

In geval van een (vermoed) informatiebeveiligingsincident is de bewaartermijn van de gelogde incidentinformatie minimaal drie jaar.