De Voorzitter van het Stuurorgaan Vlaams Informatie- en ICT-beleid is eindverantwoordelijk en dus aansprakelijk voor de ontwikkeling en het beheer van het ICR. Dit houdt in dat alle elementen van het ICR goedgekeurd zijn door het Stuurorgaan, na validatie en advies door de Werkgroep Informatieveiligheid.

Pas toe of leg uit. Dit principe geldt voor de toepassing van de minimale maatregelen uit het ICR. Dit principe houdt een manier van werken in waarbij de entiteiten de keuze wordt gelaten uit 2 opties: ofwel volgen ze de minimale maatregelen ofwel wijken ze er van af, maar dan moeten ze wel uitleggen waarom én welke gelijkwaardige maatregelen ze dan wel nemen.

Neen, de principes rond classificatie in het ICR zijn bindend en moeten door de entiteiten zoals beschreven in het ICR toegepast worden, of – indien een entiteit een ander classificatiemodel hanteert – moet mapping op het ICR uitgewerkt en gedocumenteerd worden.

Documentatielevel 2. Dit houdt in dat het ICR Vo-breed toepasbaar is. Alle principes en maatregelen beschreven in het ICR zijn toepasbaar op alle entiteiten in scope van het Stuurorgaan Vlaams Informatie- en ICT-beleid.

Documentatielevel 3. Documenten op dit niveau zijn entiteit-specifiek. Dat wil zeggen dat er geen Vo-breed opgelegd document voor bestaat.

Vertrouwelijkheid, integriteit en beschikbaarheid. Andere kwaliteitskenmerken zoals authenticiteit en onweerlegbaarheid worden in het ICR niet uitgewerkt.

Veiligheid is het doel en beveiliging zijn de maatregelen.

Alle handelingen met betrekking tot opslag, transport en bewerking van informatie. Informatie in de context van het ICR omvat alle data, gestructureerd of ongestructureerd, die een entiteit verwerkt. Informatie kan betrekking hebben op bedrijfsinformatie of op persoonsgegevens.

Vanaf informatieklasse 3 is een risicoanalyse verplicht.

Wanneer een risico geïdentificeerd is, wordt behandeling ervan overwogen. Er zijn 4 mogelijke opties: mitigeren, overdragen, accepteren, verwijderen. Mitigatie betekent het verlagen van het risico. Dat kan door verlagen van de waarschijnlijkheid van de bedreiging gekoppeld aan het risico, ofwel door verlagen van de gevolgen (impact) zou de bedreiging gekoppeld aan het risico zich manifesteren. Overdragen houdt in dat de verwerking die een risico met zich meebrengt, uitbesteed wordt aan een andere partij of dat de financiële gevolgen van een risico (deels) worden overgenomen door een andere partij, bijvoorbeeld via het afsluiten van een verzekering. Er kan ook worden gekozen om niets te doen en het risico te accepteren. Verwijderen van het risico houdt dan weer in dat de verwerking waar een risico ontstaat, wordt beëindigd, op een andere manier wordt vorm gegeven of helemaal niet gestart wordt.

In dit geval worden de maatregelen voor de hoogste klasse toegepast, dus klasse 4 in het voorbeeld.

Minimale algemene, minimale specifieke en aanvullende maatregelen. Het ICR heeft de minimale algemene maatregelen uitgewerkt en minimale specifieke maatregelen voor AVG en KSZ. Er zijn geen aanvullende maatregelen gedefinieerd in het ICR, dit is de verantwoordelijkheid van de entiteit. Aanvullende maatregelen kunnen bijvoorbeeld nodig zijn indien een risicoanalyse (die verplicht is vanaf klasse 3) bepaald dat de minimale algemene maatregelen onvoldoende zijn.

Maatregelen van onderliggende klassen zijn ook van toepassing op bovenliggende klassen. Met andere woorden, alle maatregelen voor klasse 1 gelden ook voor klasse 2, 3, 4 en 5; alle maatregelen voor klasse 2 gelden ook voor klasse 3, 4 en 5 enzovoort. In de documentatieset over de minimale maatregelen wordt rekening gehouden met dit principe.