Last update: 29/03/2024

1. Algemeen

Ter ondersteuning van het ‘CyberFundamentals Framework’ heeft het Centrum voor Cybersecurity België (CCB) een tool ontwikkeld in MS© Excel.

De zelfevaluatietool houdt rekening met de eisen voor zekerheidsniveau 'Basic', zekerheidsniveau 'Important' en zekerheidsniveau 'Essential' van een specifieke versie van het raamwerk en met de eisen die zijn geïdentificeerd in het conformiteitsbeoordelingschema (CAS). De versies van het CyberFundamentals-raamwerk en het CAS waarop de tool is afgestemd, worden in de tool geïdentificeerd. Daarom mag de tool niet worden gewijzigd als onderdeel van een verificatie- of certificeringsactiviteit.

De zelfevaluatietool is elektronisch beschikbaar in het Engels in de CyFun-toolbox (www.cyfun.be

2. Tool layout

De zelfevaluatietool in MS© Excel bevat verschillende tabbladen, elk met een eigen functie. Naast de inleiding, maturiteitsniveaus en referenties zijn er de tabbladen met de controles voor zekerheidsniveau 'Basic', 'Important' en 'Essential' ("details" tabblad) en voor elk zekerheidsniveau een samenvatting ("summary" tabblad).

De controles worden beoordeeld vanuit twee invalshoeken:

Policy Maturity:De ‘Policy Maturity’-evaluatie meet hoe goed de geschreven regels en procedures voldoen aan de controles van het CyberFundamentals Framework.
Implementation Maturity:De evaluatie van de implementatiematuriteit beoordeelt hoe matuur de huidige operationele praktijken zijn in relatie tot het CyberFundamentals Framework.

De tabel hieronder toont de verschillende maturiteitsniveaus en de definities die worden gebruikt om de maturiteit vanuit beide perspectieven te beoordelen:

The image contains a table titled “Maturity Level” with four columns: “Maturity Level”, “Policy Maturity”, “Documentation Maturity”, and “Implementation Maturity”. The rows are titled “Repeatable”, “Defined”, and “Managed”.

 

Het  aangehecht document  geeft een holistische beschrijving van de verschillende CyberFundamentals maturiteitsniveaus en is bedoeld als leidraad tijdens assessments.


3. Berekeningsmethode

Een subcategorie kan uit meerdere controles bestaan en elk van deze controles moet worden beoordeeld op documentatie en implementatie volgens bovenstaande maturiteitstabel. Per controle moet een waarde van 1 tot 5 worden ingevoerd op het tabblad ‘details’ van het toepasselijke zekerheidsniveau. De tool berekent een rekenkundig gemiddelde voor documentatie en implementatie per subcategorie (bijv. ID.AM-1) om vervolgens een ander rekenkundig gemiddelde te berekenen voor documentatie en implementatie per categorie (bijv. ID.AM).

Deze berekende waarden zijn zichtbaar op het tabblad ‘details’ van het van toepassing zijnde zekerheidsniveau.

4. Samenvattend verslag

Het tabblad "summary" voor de respectieve CyberFundamentals-zekerheidsniveaus bevat:

  1. Een algemeen maturiteitsniveau ("Total Maturity Level") berekend als rekenkundig gemiddelde van de maturiteitsniveaus van de categorieën.
  2. Een samenvatting van de verschillende maturiteitsniveaus voor elke categorie met behulp van de respectieve waarden van de rekenkundige gemiddelden van wat werd berekend op het tabblad ‘details’.
  3. Een lijst van de belangrijkste maatregelen waaraan moet worden voldaan, waarvan de gegevens worden ontleend aan de waarden die zijn ingevoerd op het tabblad ‘details’.
  4. Er wordt ook een radardiagram (spindiagram) weergegeven op basis van de gegevens uit de samenvatting van categorieën.

Vaststellen van conformiteit met het conformiteitsbeoordelingschema (CAS)

Het overzicht bevat de doelscores zoals bepaald voor de specifieke zekerheidsniveaus zoals beschreven in het CAS. De waarden van de zelfevaluatie worden getoetst aan deze streefscores.

Als de waarden rood zijn, voldoet men niet aan het vereiste maturiteitsniveau, groen toont conformiteit.

Het conformiteitsbeoordelingschema (CAS) wordt momenteel besproken met de nationale accreditatie-instantie BELAC.

Feedback m.b.t. de tool kan worden gestuurd naar certification@ccb.belgium.be

5. Gebruiksaanwijzing

Een duidelijke gebruiksaanwijzing is beschikbaar via de link onderaan.