Toelichting BIV-classificatie
De informatieobjecten in de MORA zijn voorzien van een BIV-classificatie. Deze BIV-classificatie geeft aan wat de mate van Beschikbaarheid, Integriteit en Vertrouwelijkheid is die geldt voor een informatieobject op een schaal van Laag, Midden, Hoog. Die classificatie kan worden gebruikt om te bepalen welke maatregelen voor informatiebeveiliging en privacy passend zijn voor de processen en applicaties waarin deze informatieobjecten gebruikt worden.
We maken voor de BIV-classificatie gebruik van het Certificeringsschema informatiebeveiliging en privacy van de ROSA. Daarin is gedefinieerd op welke wijze je tot een passende BIV-classificatie kunt komen en wat de daarbij geadviseerde maatregelen zijn. De BIV-classificatie van de MORA is op basis van dit certificeringsschema gemaakt.
Hieronder wordt weergegeven op basis van welke criteria de BIV-classificatie voor de informatieobjecten in de MORA is bepaald. Voor de geadviseerd maatregelen verwijzen we naar het Toetsingskader zoals dat in het Certificeringsschema van de ROSA is opgenomen.
Beschikbaarheid
Voor de Beschikbaarheid gelden de volgende criteria voor de niveaus Laag, Midden en Hoog.
| Beschikbaarheid | Omschrijving | Kenmerken |
|---|---|---|
| Laag | Beschikbaarheid is minder belangrijk. Algeheel verlies of niet beschikbaar zijn van deze informatie gedurende meer dan een dag brengt geen merkbare (meetbare) schade toe aan de belangen van de instelling, haar medewerkers of haar studenten of klanten. |
Herstel van de dienst mag langer dan 24 uur bedragen. |
| Midden | Beschikbaarheid is belangrijk. Algeheel verlies of niet beschikbaar zijn van deze applicatie gedurende een dag brengt merkbare schade toe aan de belangen van de instelling, haar medewerkers of haar studenten of klanten. |
Herstel van de dienst mag niet langer dan 24 uur bedragen. |
| Hoog | Beschikbaarheid is noodzakelijk. Algeheel verlies of niet beschikbaar zijn van deze informatie gedurende een werkdag brengt merkbare schade toe aan de belangen van de instelling, haar medewerkers of haar studenten of klanten. |
Herstel van de dienst mag niet langer dan 8 uur bedragen. |
Integriteit
Voor de Integriteit gelden de volgende criteria voor de niveaus Laag, Midden en Hoog.
| Integriteit | Omschrijving | Kenmerken |
|---|---|---|
| Laag | Integriteit is minder belangrijk. Blijvende juistheid van informatie is gewenst, maar hoeft niet gegarandeerd te zijn. Indien informatie niet volledig, correct of actueel is, leidt dit tot beperkte schade. |
Bedrijfsproces tolereert enkele fouten. Gegevens zijn volledig. Maximaal toegestaan dataverlies na herstel: enkele dagen. |
| Midden | Integriteit is belangrijk. Blijvende juistheid van informatie is belangrijk, maar sommige toleranties zijn toelaatbaar. Het is niet noodzakelijk dat correctheid onbetwistbaar aangetoond kan worden. Indien informatie niet volledig, correct of actueel is, leidt dit tot substantiële schade. |
Bedrijfsproces tolereert een zeer beperkt aantal fouten. Gegevens zijn volledig, juist en actueel; Maximaal toegestaan dataverlies na herstel: 24 uur. |
| Hoog | Integriteit is noodzakelijk. Blijvende juistheid van informatie is noodzakelijk; er zijn geen toleranties toelaatbaar. Het is noodzakelijk dat correctheid onbetwistbaar aangetoond kan worden. Indien informatie niet volledig, correct of actueel is, leidt dit tot ernstige schade. |
Bedrijfsproces eist foutloze informatie. Gegevens zijn volledig, onbetwistbaar en altijd actueel; Maximaal toegestaan dataverlies na herstel: 4 uur. |
Vertrouwelijkheid
Voor de Vertrouwelijkheid gelden de volgende criteria voor de niveaus Laag, Midden en Hoog.
| Vertrouwelijkheid | Omschrijving | Kenmerken |
|---|---|---|
| Laag | Informatie is voor intern gebruik. Openbaar worden van gegevens leidt tot weinig of geen schade voor een instelling of betrokkene. |
Informatie is openbaar of voor intern gebruik. Openbaar worden van gegevens leidt tot weinig of geen schade voor een instelling of betrokkene. |
| Midden | Informatie is vertrouwelijk. De organisatie, instelling of betrokkene kan substantiële schade lijden indien informatie toegankelijk is voor ongeautoriseerde personen. Informatie mag alleen toegankelijk zijn voor personen die hier vanuit hun functie toegang toe moeten hebben (need-to-know basis). Hieronder vallen onder andere persoonsgegevens. |
Alleen toegankelijk voor direct betrokkenen binnen de organisatie op basis van functie of rol. |
| Hoog | Informatie is geheim. De organisatie, instelling of betrokkene kan ernstige schade lijden indien informatie toegankelijk is voor ongeautoriseerde personen. Informatie mag uitsluitend toegankelijk zijn voor een zeer geselecteerde groep personen. Hieronder vallen onder andere bijzondere persoonsgegevens. |
Toegang is beperkt tot expliciet aangewezen personen binnen de organisatie. Beheerders hebben, waar mogelijk, geen toegang tot de gegevens. Beheerders maken alleen gebruik van persoonlijk herleidbare accounts. |