Versie Copyright 2005 VCCV

Transcriptie

1 Versie Copyright 2005 VCCV

2 Dit veiligheidsplan werd tot stand gebracht met als doel de veiligheidsconsulent verder te helpen om een basisplan samen te stellen. De documenten zijn voorbeelddocumenten en dienen nog aangepast te worden aan de eigen normen van het ocmw. Het veiligheidplan bestaat uit volgende documenten: 1. Veiligheidplanning: geeft een overzicht van welke normen dienen gehanteerd te worden en hoe deze kunnen aangepakt worden. Het ocmw vult hier in wanneer zij gecontroleerd werden, welke stappen zij gaan ondernemen tegen wanneer, wie verantwoordelijk is enz. 2. Veiligheidsbeleid: Op het ocmw moet er een officieel veiligheidsbeleid zijn goedgekeurd door de raad. Hierin staan enkele engagementen die het ocmw kan nemen. 3. Veiligheidsbudget: Overzicht van de beschikbaren veiligheidsbudgetten die op het ocmw aanwezig zijn. Enkel indien het ocmw geen apart budget gecreëerd heeft. 4. Akkoordverklaring werken met KSZ en persoonsgegevens: herhaling van de KSZ wetgeving waaraan elk persoon die met de ksz werkt gehouden is. 5. Back-upbeleid: Schema en uitleg hoe de back-upprocedure op het ocmw gebeurd. 6. Paswoordbeleid: enkele aanbevelingen die een ocmw kan treffen op gebeid van paswoorden voor computers en toepassingsprogramma s. Met dank aan VCCV (VeiligheidsConsulenten Coördinatie Vergadering): - Chris Boens (VVSG) - Kris van de Water (Welzijnszorg Kempen Turnhout) - Wim Goris (KINA p.v. Malle) - Carl Possemiers (VERA Leuven) - Sandra Claeys (Welzijnsband Meetjesland) - Jan Heyrman (OCMW Antwerpen)

3

4 OCMW... MINIMUMNORM CONTROLE ACTIEPUNTEN PRIORITEIT VERANTWOORDELIJKE UITVOERINGS 4.1. Informatieveiligheidsbeleid Elke instelling moet over een informatieveiligheidsbeleid beschikken. zie veiligheidsbeleid van de ksz of vvsg 4.2. Veiligheidsorganisatie een veiligheidsconsulent hebben. zie raadsbeslissing: de identiteit van haar veiligheidsconsulent meedelen aan het Toezichtscomité faxen naar het toezichtscomite: fax verzonden op: in het bezit zijn van een veiligheidsplan Midden over de nodige goedgekeurde werkkredieten beschikken, die in een afzonderlijk gedefinieerd veiligheidsbudget zijn opgenomen. 2. Opstellen overzicht van de beschikbare budgetten van 2005.vb. brand, inbraak, computers, enz. + waar zit dit in de boekhouding het aantal uren meedelen van veiligheidsconsulent melding via de jaarlijkse vragenlijst van de pod de betrokken veiligheidsconsulenten waken, over het veilige gebruik van de beroepskaart communicatie procedures hebben om informatie door te geven naar de VC. NVT: ocmw beschikt niet over een siskaartlezer aanleggen van een incidentenregister: wat gebeurde er op welke datum, plaats, schade, oplossingen enz NVT communicatieprocedure uitwerken: VC verwittigen binnen de x-dagen van incident, VC betrekken bij besprekingen aangaande veiligheid of beslissingen aangaande veiligheid over procedures beschikken om overleg te organiseren tussen de verschillende betrokken partijen teneinde op deze manier de veiligheidsconsulenten nauwer te betrekken bij de werkzaamheden van de instelling. overlegprocedure uitwerken: wanneer zijn er besprekingen, op welke manier gebeurt de communicatie van belangrijke info, Wie wordt er betrokken in het overleg, enz. 28/07/2005 1

5 OCMW... MINIMUMNORM CONTROLE ACTIEPUNTEN PRIORITEIT VERANTWOORDELIJKE UITVOERINGS Elke beheersinstelling van een secundair netwerk één keer per semester een vergadering van de subwerkgroep "Informatieveiligheid" te organiseren. Niet van Toepassing 4.3. Fysieke beveiliging en beveiliging van de omgeving de toegang tot de gebouwen en lokalen beperken en een controle erop verrichten zowel tijdens als buiten de werkuren. inventaris: gebruikers van het alarm procedure/handboek controle alarmlog sleutelplan: ontvangstbewijs, nummering, procedure vervangen slot na diefstal sleutels, tikklok registratie van afwezigheden (huisbezoeken, opleidingen enz) Uitwerken van een onthaalprocedure voor clienten en exerne personen. (vb. eerst aanbellen, aanmelden aan de balie, ) Personeel bewustmaken om personen niet eigen aan de dienst zijn aan te spreken. Hierdoor wordt een sociale controle opgebouwd binnen het ocmw. Midden maatregelen treffen m.b.t. de preventie, de bescherming, de detectie, het blussen en de interventie ingeval van brand, inbraak of waterschade. controle verslag brandweer controle verslag politie (inbraak) brandalarm 28/07/2005 2

6 OCMW... MINIMUMNORM CONTROLE ACTIEPUNTEN PRIORITEIT VERANTWOORDELIJKE UITVOERINGS inbraakalarm iedereen aparte code? compartimentering mogelijk op alarm? wanneer laatste praktijk test van brand en inbraak alarm over een alternatieve stroomvoorziening beschikken. (UPS) noodbatterij aanwezig? aparte elektriciteitskring voorzien voor het computernetwerk noodgenerator aanwezig? noodbatterijk is enkel voor server of ook voor andere toestellen? jaarlijks getest? Midden 4.4. Logische toegangsbeveiliging de toegang tot de gegevens beveiligen door middel van een identificatie-, authentificatie- en autorisatiesysteem. 1. Paswoordprocedures opstellen: zie paswoordbeleid in bijlage 2.Controle op serverinstellingen 3. Auditcontrole van de paswoorden uitvoeren (bv. Met LC4 of 5 zie aandachtpunten veiligheid 28/07/2005 3

7 OCMW... MINIMUMNORM CONTROLE ACTIEPUNTEN PRIORITEIT VERANTWOORDELIJKE UITVOERINGS 4. Overzicht opstellen gebruikersnamen en welke programmatoegangen zij hebben Midden 5. procedure opstellen voor aanvraag toegangsmachtigingen van programma's. bv. Indien er een nieuw personeelslid begint kunnen de verantwoordelijken via deze procedure hun goedkeuring geven regelmatig te controleren back-ups invoeren Backupverantwoordelijke aanduiden: ok verantwoordelijk 1: verantwoordelijke 2:. Veilige bewaarplaats kiezen voor backups die bescherming geeft tegen brand en inbraak op het OCMW, deze bewaarplaats dient een ander niet aanpalend gebouw te zijn, dan waar de server ruimte is.: backupbeleid zie bijlage procedure aanwezig hoe backups te controleren: een loggingsysteem implementeren voor de toepassing van de sociale zekerheid. 1. controle auditlijst (loglijst) op de server 2. Activeer de standaard auditmogelijkheden op de windows server. Alle in en uitloggen en veranderingen in de veiligheidsacties worden gelogd ( logs te bekijken in de eventviewer) 3. Al de handelingen in de KSZ module worden gelogd. 28/07/2005 4

8 OCMW... MINIMUMNORM CONTROLE ACTIEPUNTEN PRIORITEIT VERANTWOORDELIJKE UITVOERINGS Bewaartijd van de logs: instellen op 10 jaar procedures en systemen installeren die toelaten om veiligheidsinbreuken te detecteren, op te volgen en te herstellen. toegangsregistratie en toegangsrechten de instelling moet zelf de relatie leggen tussen het programmanummer dat ze overneemt en de identiteit van de persoon die het bericht verstuurt. op te vragen in de logs van de ksz module hoog 4.5. Ontwikkeling, productie en onderhoud van toepassingen over procedures beschikken voor het in productie stellen van nieuwe toepassingen en het aanpassen van bestaande toepassingen om te voorkomen dat één persoon de controle zou verwerven over dit proces. aanmaken van een tweede reserve admin gebruiker. Met een apart paswoord dat wordt bewaard onder een verzegelde enveloppe in de kluis. Indien de huidige account geblokkeerd wordt, kan deze reserve account steeds geactiveerd worden. Midden over procedures beschikken voor de uitwerking van documentatie van toepassingen en systemen handleidingen worden in één ruimte en of kast bewaard. Contracten nakijken van de informaticaleverancier. Ocmw dient de broncodes te hebben van hun programma's indien er iets zou gebeuren met de firma. Vb. faillissement z Afspraken maken met de informaticaleverancier dat zij van alle installaties en programma's een handboek leveren 28/07/2005 5

9 OCMW... MINIMUMNORM CONTROLE ACTIEPUNTEN PRIORITEIT VERANTWOORDELIJKE UITVOERINGS 4.6. Netwerkbeveiliging de toegang tot het informaticasysteem beperken zie paswoordbeleid een systeem en procedures installeren die toelaten om veiligheidsinbreuken te detecteren, op te volgen en te herstellen De instellingen van het primaire net moeten van de externe TCP/IPverbindingen gebruik maken van het Extranet van de sociale zekerheid De instellingen van het secundaire net kunnen van de externe TCP/IPverbindingen gebruik maken van het Extranet van de sociale zekerheid. Voor de rechtstreekse verbindingen. toegangsregistratie en toegangsrechten NVT NVT 4.7. Continuïteitsplan een risico-analyse uitvoeren om een continuïteitsplan te kunnen opstellen een continuïteitsplan uitwerken, testen en onderhouden. wat zijn de mogelijke rampen die kunnen voorvallen (bv. Brand, inbraak of beschadiging, virus, stroompanne, blikseminslag, waterproblemen, enz welke stappen moeten ondernomen worden bij welke soort schade. Midden wie moet op de hoogte gebracht worden: stel een lijst op van alle contactpersonen met naam adres enz. neem ook de nummers van de onderhoudscontracten, polisnummers enz. mee op in de lijst. Op deze manier wordt er heel wat onnodig opzoekingswerk bespaart bij een ramp en zullen de nodige instantie sneller het recoveryplan kunnen opstarten. 28/07/2005 6

10 OCMW... MINIMUMNORM CONTROLE ACTIEPUNTEN PRIORITEIT VERANTWOORDELIJKE UITVOERINGS Een informatica-uitwijkcentrum voorzien ingeval van beperkte of totale ramp. Bekijk de mogelijkheden eens van een mogelijk uitwijkcentrum. Indien het gebouw compleet onbruikbaar zou worden, wat gaat het ocmw dan doen om toch een basis dienstverlening te kunnen verder zetten. Vb we kunnen in een gebouw van de gemeente zitten, we huren bureaucontainers en we gaan die op de parking zetten enz. bv. Afspraken maken met de ocmw's in de buurgemeenten Inventaris Elke instelling moet over een permanent bijgewerkte inventaris beschikken van het informaticamateriaal en software. inventaris van software aanwezig? inventaris van hardware aanwezig? 4.9. Bescherming tegen virusinfecties over een handleiding beschikken m.b.t. het voorkomen van virusbesmettingen, aandachtspunten van virussen en preventie en de te treffen acties ingeval van infectie. wat te doen bij besmetting het gebruik van de geïnstalleerde antivirussoftware versie van antivirus een geactualiseerde antivirussoftware installeren. hoe wordt deze geupdate? Hoeveel tijd zit er tussen de updates 4.10.Toezicht/audit 28/07/2005 7

11 OCMW... MINIMUMNORM CONTROLE ACTIEPUNTEN PRIORITEIT VERANTWOORDELIJKE UITVOERINGS Minstens één keer om de vier jaar een audit organiseren mbt de logische en fysieke veiligheid. controle van logische en fysieke beveiligingen bv. Zo kunnen veiligheidsconsulenten bij elkaar controles gaan doen. Midden Prioriteiten Midden 28/07/2005 8

12

13 Veiligheidsbeleid van het OCMW XXXXX met betrekking tot de aansluiting op de KSZ Inleiding Alle instellingen van de Sociale Zekerheid die aansluiten op het netwerk van de Kruispuntbank zijn onderworpen aan de geldende wetgeving: de wet van 15 januari 1990 betreffende de Kruispuntbank (BS ) het koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van Sociale Zekerheid (BS ) legt de organisatorische structuur vast op basis waarvan alle instellingen van Sociale Zekerheid een "veiligheidscultuur" dienen te ontwikkelen. de regels en de richtlijnen die worden opgelegd door de Kruispuntbank 1. Belangrijk hierbij zijn artikels die voorzien in bepaalde verplichtingen voor de verantwoordelijken van de instelling, in bepaalde rechten voor de personen over wie persoonsgegevens worden verwerkt, in een controle door de veiligheidsconsulent en in strafsancties door het Toezichtscomité 2, bij schending van de principes. de minimale veiligheidsnormen die moeten worden nageleefd door de sociale instellingen met het oog op hun aansluiting op het netwerk van de kruispuntbank van de sociale zekerheid. 3 De instellingen van Sociale Zekerheid dienen de beveiliging van de persoonsgegevens steeds voor ogen te houden wanneer zij in contact treden met het netwerk. Bovenop de constante bekommernis om een veilige en verantwoorde omgang met vertrouwelijke gegevens, waaraan alle medewerkers van de sociale zekerheidsinstellingen reeds toe gebonden zijn, betekent dit dat iedere sociale zekerheidsinstelling voortdurend inspanningen dient te leveren op het vlak van de integriteit, vertrouwelijkheid en beschikbaarheid van de gegevens en dit steeds op de meest adequate manier mogelijk. Aldus is iedere instelling van Sociale Zekerheid eraan gehouden technische en organisatorische veiligheidsmaatregelen uit te werken, zowel van fysieke als van logische aard, en deze dienen regelmatig bijgewerkt en aangepast te worden 4. Teneinde te voldoen aan de richtlijnen en aan de minimale veiligheidsnormen wordt door het OCMW een veiligheidsbeleid opgesteld. In dit document verwoordt het OCMW een duidelijk engagement om aan de wettelijk opgelegde voorwaarden te voldoen. Het veiligheidsbeleid van het OCMW werd goedgekeurd in zitting van 1 Het document Richtlijnen inzake veiligheid ten behoeve van de instellingen van sociale zekerheid opgemaakt door de werkgroep informatieveiligheid van het Algemeen Coördinatiecomité van de Kruispuntbank legt de door iedere instelling van Sociale Zekerheid na te streven veiligheidsdoeleinden vast, zonder te verwijzen naar de middelen die daartoe moeten aangewend worden. Aangezien de risico's van instelling tot instelling verschillen, behoort het immers tot de verantwoordelijkheid van elke instelling om, in functie van haar specifieke risico's, de meest gepaste middelen in te zetten. (V3/P2/94/143.NL) 2 Indien het Toezichtscomité vaststelt dat een socialezekerheidsinstelling tekortschiet wat de naleving van deze normen betreft, kan het Comité de Kruispuntbank verzoeken om geen gevolg meer te verlenen aan de door die instelling verstuurde voorleggingen. 3 Het document Minimale veiligheidsnormen die moeten worden nageleefd door de sociale instellingen met het oog op hun aansluiting op het netwerk van de kruispuntbank van de sociale zekerheid bevat de normen die verplicht na te leven zijn door de sociale zekerheidsinstellingen indien zij een toegang willen bekomen en behouden tot het netwerk van de Kruispuntbank. Deze minimumnormen hebben dus een bindende waarde en zijn jaarlijks voor herziening vatbaar door de werkgroep informatieveiligheid van het Algemeen Coördinatiecomité van de Kruispuntbank. (V2/ normen.infoveiligheid) 4 Minimaal 2x/jaar en steeds wanneer een nieuwe technologie in gebruik wordt genomen of een belangrijke wijziging wordt doorgevoerd. pagina 1/3

14 Ontwerp van Raadsbeslissing houdende goedkeuring van het veiligheidsbeleid DE RAAD VOOR MAATSCHAPPELIJK WELZIJN, gelet op de wet van 15 januari 1990 betreffende de Kruispuntbank (BS ) gelet op het koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van Sociale Zekerheid (BS ) gelet op de Minimale veiligheidsnormen die moeten worden nageleefd door de sociale instellingen met het oog op hun aansluiting op het netwerk van de kruispuntbank van de sociale zekerheid en de Richtlijnen inzake veiligheid ten behoeve van de instellingen van sociale zekerheid die worden opgelegd door de Kruispuntbank, houdende de verplichtingen voor de verantwoordelijken van de instelling, de rechten voor de personen over wie persoonsgegevens worden verwerkt, en houdende de controle door de veiligheidsconsulent en de controle door het Toezichtscomité; overwegende voor de aansluiting op de Kruispuntbank, het OCMW als instelling voor Sociale Zekerheid inspanningen moet leveren teneinde te voldoen aan de geldende regelgeving. Gelet op de organieke OCMW-wet van 8 juli 1976 BESLIST : art. 1 : Om aan de eisen van de Kruispuntbank te voldoen en omdat het bestuur van het OCMW zich ten volle bewust is van de noodzaak van een gedegen beveiliging op alle niveaus en in het bijzonder m.b.t. gegevens van persoonlijke aard, wenst het bestuur van het OCMW de nodige inspanningen te leveren. Op verschillende niveaus zullen concrete maatregelen worden genomen om de beschikbaarheid, betrouwbaarheid, vertrouwelijkheid, integriteit, identificatie, autorisatie, authenticatie en daar waar nodig ook de onweerlegbaarheid van de door haar verwerkte persoonsgegevens op een efficiënte manier te verzekeren. Dit gebeurd ondermeer op het vlak van : - de fysieke beveiliging; - de logische beveiliging (toegangscontrole tot de gegevens en de systemen); - de logging van de uitgevoerde transacties; - opleiding en controle van het personeel en, indien nodig, externe medewerkers; - IT-apparatuur en meer bepaald het computernetwerk; - de continuïteit van de gegevensverwerking; - de uitwisseling van informatie tussen de instellingen van sociale zekerheid. art. 2 : De systeembeheerder en de veiligheidsconsulent, die zijn aangesteld om dit proces van aansluiting tot de KSZ in goede banen te leiden, krijgen voor hun functie de nodige tijd en middelen. art. 3 : Gelet op het feit dat het uitwerken van een veiligheidsbeleid een continu proces is, waarbij het OCMW zich engageert dit veiligheidsbeleid bijtijds te evalueren en bij te sturen, en de verantwoordelijkheid is van alle medewerkers van het OCMW, wil het bestuur dat zijn personeelsleden zich engageren en geeft ze hen de tijd en opleidingen ter beschikking om in coördinatie met de veiligheidsconsulent dit uit te werken. pagina 2/3

15 art. 4 : Het bestuur geeft aan de veiligheidsconsulent de opdracht om een veiligheidsplan op te stellen waarin volgens de richtlijnen van de KSZ een gedetailleerd plan van aanpak wordt beschreven. Het bestuur zal op de raad de voorstellen die worden geformuleerd in overweging nemen en beslissen welke concrete realisaties worden uitgevoerd. Om deze investeringen te kunnen verwezenlijken, zullen de nodige budgetten vrij worden gemaakt. pagina 3/3

16

17 Plan- en budgetvoorstel voor het jaar. BUDGET Art. Omschrijving Bedrag Opmerkingen Motivatie Personeelsvakopleiding Dit bedrag omvat volgende opleidingen (1) Onderhoud en herstel van de lokalen Liften/verwarmingstoestellen Groot onderhoud gebouw Onderhoud elektrische installatie, kabels * liften: * verwarmingstoestellen: * controle erkend orgaan: * etc. * hoogspanningscabine: * netwerkonderbreking: * laagspanning: * onderhoud noodverlichting: * etc. (2) (2) (-) (2) (2) (2) (2) (-) Onderhoudskosten air-conditioning burelen Onderhoud air-conditioning: * verdieping * tape bibliotheek (back ups) * etc. (2) (2) (-) Verzekering stoffelijke schade * brand: * safe: * voertuigen: * herstellingen: *.. etc. (3) (3) (3) (3) (-)

18 Onderhoud informaticamateriaal Instandhouding informaticalokaal.. etc. (2) (-) Onderhoud aanwezige programmatuur Beta92 systems Beheer software controle etc. (5) (-) Uitgaven voor de veiligheidswerking van de informaticaverwerking Investeringskosten voor de veiligheid van de informatieverwerking * toezicht van de gebouwen door.. * blusapparaten en brandblusoefening * firma X * firma Y * rampsituatie * handhaven van benodigdheden ABV * abonnement antivirusvergunning * onderhoud blikseminstallatie *. etc systeem X.. etc. (6) (2) (2) (2) (2) (7) (8) (9) (-) (11) (-) MOTIVATIE (1).. (2)..

19

20 Akkoordverklaring Consultatie, mededeling en aanpassen van persoonsgegevens in de KSZ Consultatie, mededeling en aanpassen van persoonsgegevens Het OCMW en het personeelslid treft alle maatregelen die nodig zijn om een perfecte bewaring van de persoonsgegevens te verzekeren (artikel 22 Kruispuntbankwet). De personen die gebruik maken van de KSZ toepassing mogen enkel de persoonsgegevens inzamelen die ze nodig hebben (artikel 23, eerste lid, Kruispuntbankwet). Zij zijn ertoe gehouden maatregelen te treffen om het vertrouwelijk karakter van de gegevens te verzekeren en om ervoor te zorgen dat ze uitsluitend worden aangewend voor professionele doeleinden en voor het vervullen van hun wettelijke verplichtingen. (artikel 23, tweede lid, Kruispuntbankwet). Beroepsgeheim Er wordt uitdrukkelijk bevestigd dat elke persoon die betrokken is bij de inzameling, de verwerking of de uitwisseling van persoonsgegevens in het kader van de sociale zekerheid gebonden is door het beroepsgeheim (artikel 28 Kruispuntbankwet). Schending: Personen die met een bedrieglijk opzet of teneinde schade te berokkenen, toegang hebben, of zich verschaft hebben in de geautomatiseerde verwerking van sociale gegevens. Indien zij gegevens ingevoerd, beschadigd, uitgewist of gewijzigd hebben. Indien zij de verwerking belemmerd of aangetast hebben. Strafbepalingen Wordt geregeld in afdeling 2 : artikel 60 tot 71 van Kruispuntbankwet (inbreuken en strafbepalingen) Verklaring Ik verklaar bij de ondertekening, dit document gelezen te hebben en bevestig dat de inhoud mij duidelijk is. Ik bevestig mij te zullen verbinden aan het beroepsgeheim dat verbonden is met de consultatie en de gegevensverwerking van de kruispuntbank van sociale zekerheid. Ik zal mij gedragen volgens de richtlijnen, zoals beschreven in dit beleid. Ik besef dat de uitgevaardigde regels een algemeen hulpmiddel willen vormen om de onrechtmatige toegang tot en het onrechtmatig gebruik van het KSZ netwerk te voorkomen en te verhinderen. Ik zal daarnaast de nodige maatregelen nemen die in mijn specifieke werkomgeving kunnen bijdragen tot de bescherming van de persoonsgegevens en het KSZ netwerk. Datum: Plaats: Naam:../../2005 OCMW. Handtekening:

21

22 PC PW Policy.doc l.a Backup Beleid Doelstelling art. 1. Het periodiek maken van de backup (veiligheidskopieën), zodat men steeds, zowel ingeval van beperkte als totale ramp, elk onherstelbaar verlies van gegevens kan voorkomen en de continuïteit van de werking kan garanderen. De recente reservekopie moet het mogelijk maken om, bij een eventuele systeemcrash en/of verlies van gegevens, binnen afzienbare tijd de dagelijkse werking voort te zetten. Indien nodig, moet er op basis van de backup een snelle hervatting van de organisatie-werkzaamheden mogelijk zijn, desnoods op een andere locatie, met andere hardware. Toepassingsgebied art. 2. Alle cruciale gegevens binnen de organisatie. Dit omvat zowel gegevens nodig voor de toepassing en uitvoering van de sociale zekerheid alsook bestanden met betrekking tot de toepassingen en het besturingssysteem zelf. Algemene bepalingen art. 3. De systeembeheerder controleert dagelijks1 bij het wisselen van de tapes of de backups weldegelijk gelukt zijn. Bij enige aanwijzingen op mislukking, contacteert hij/zij de informaticapartner. De systeembeheerder staat ook in om het initiatief voor de aankoop van nieuwe backupmedia te nemen. art. 4. Elke medewerker is zelf verantwoordelijk ervoor te zorgen dat de eigen aangemaakte gegevens steeds opgeslagen worden op de netwerklocatie waarvan op regelmatige tijdstippen een backup wordt genomen. Gegevens die men op een andere locatie bewaard, worden immers niet opgenomen in de algemene backup-procedure. art. 5. De volgende documenten en hulpmiddelen zijn ter beschikking van de systeembeheerder en/of zijn vervanger: Handleiding gebruik Hardware Tape-streamer/ CD-Rom Writer Handleiding Software programma ARC-Serve (voor Windows-server) Handleiding Software programma. (Unix-server ) Gebruikershandleiding maken van Back-ups 1 Indien de systeembeheerder afwezig is, neemt..... van het OCMW deze taak over. Indien ook deze niet aanwezig is neemt.. deze taak over. pagina 1 / 4

23 PC PW Policy.doc l.a Extra dienst van Software-leverancier (voor het controleren of de Backups werkelijk gelukt zijn) Onderhoudscontract systeembeheerder van de software-leverancier art. 6. De te volgen werkwijze wordt hierna verduidelijkt: a)aanmaak Backup: Windows-server: De backup van de Windows-server gebeurd automatisch via het programma ARC-Serve. Als de backup goed verlopen is, wordt de tape automatisch uitgeworpen. De verantwoordelijke van dienst dient, nadat de backup gemaakt is, enkel de tape te wisselen met de volgende tape in volgorde en de zopas aangemaakte tape veilig op te bergen. Er zijn 9 tapes in omloop. Maandag, dinsdag, woensdag en donderdag wordt op de daarvoor bestemde tape een dagelijkse backup genomen en vrijdags maakt men een volledige backup van de ganse week. D.w.z. dat de 4 tapes (maandag, dinsdag, woensdag en donderdag) elke week opnieuw gebruikt worden, maar dat er iedere vrijdag van de maand een andere tape wordt gebruikt (5 tapes), die dan elke maand opnieuw gebruikt wordt. De dagelijkse backup gaat enkel de documenten opslaan die gewijzigd werden sinds de laatste wekelijkse backup (differentieel). Dit betekent dat de tape van dinsdag ook de bestanden die maandag reeds werden opgeslagen opnieuw opslaat. Hetzelfde geldt voor de tapes van woensdag en donderdag en dit gaat verder tot er opnieuw een wekelijkse backup is genomen. De wekelijkse backup is telkens een volledige backup van alle bestanden op schijf. Unix-server: Van de unix-server wordt maandelijks manueel een backup gemaakt. Mocht de systeembeheerder of zijn vervanger niet aanwezig zijn, dan is er nog een derde vervanger aangewezen die deze taak op zich neemt. b). Bewaring backup: Al de backups worden bewaard in een kluis in een goed afgesloten lokaal van een niet aanpalend gebouw. De backups worden in geen geval mee naar huis genomen. Plaats van bewaring : c).controle backup: Na het maken van een backup wordt de tape automatisch uitgeworpen. Als dit niet het geval is, is dit mogelijk al een eerste indicatie dat er iets misgelopen is met de aanmaak van de backup. Om zeker te zijn dat alles goed verlopen is, moet natuurlijk ook de jobstatus gecontroleerd worden. Na elke backup-procedure wordt een controle uitgevoerd op de opgeslagen bestanden. Voor een dagelijkse backup betekent dit dat er gecontroleerd wordt of alle bestandsnamen op de tape staan, voor de wekelijkse backup betekent dit dat de informatie op tape bit voor bit wordt gecontroleerd met de informatie op de harde schijf. pagina 2 / 4

24 PC PW Policy.doc l.a Bij enige onregelmatigheden, gaat de systeembeheerder over tot verdere controle en tracht deze de eventuele problemen te verhelpen. Als dit niet mogelijk is, verwittigd hij de verantwoordelijke en wordt er contact opgenomen met de informaticapartner. d). Aankoop nieuwe backup-media: Met regelmaat wordt systematisch de helft van de gebruikte tapes door nieuwe exemplaren vervangen. De systeembeheerder onderneemt hiervoor de nodige stappen. e). Informeren van nieuwe medewerkers Nieuwe gebruikers in het netwerk worden erop gewezen dat enkel de gegevens die ze bewaren op de hun toegewezen netwerklocatie mee in de algemen backup worden bewaard. Voor documenten bewaard op de C-schijf, diskette s, zijn ze zelf verantwoordelijk voor het maken van een reservekopie. Art 7. Norm en evaluatie: Minimaal 1 keer per kwartaal gaat de systeembeheerder na of alle in gebruikzijnde backup-media weldegelijk functioneren en ook werkelijk de gewenste gegevens bevatten door effectief een restore te maken van enkele bestanden. Sommige informaticaleveranciers bieden ter controle van de backups een extra dienst aan. Als één van de tapes niet de gewenste gegevens bevat, wordt nagekeken in hoeverre dit te wijten is aan een soft/hardware probleem, of wordt veroorzaakt door een foutief gebruik. pagina 3 / 4

25 PC PW Policy.doc l.a Verklaring Ik heb bovenvermeld wachtwoordbeleid gelezen. De inhoud is mij duidelijk en ik bevestig ontvangst hiervan. Ik bevestig mij te zullen gedragen volgens de richtlijnen, zoals beschreven in dit beleid en weet dat, indien ik dit niet doe, disciplinaire maatregelen en/of zelfs wettelijke vervolging het gevolg kunnen zijn. Naam Systeembeheerder: Naam Vervanger: Handtekening: Handtekening: Datum: Plaats: pagina 4 / 4

26

27 Doelstelling PC Wachtwoordbeleid 1. Het opleggen van regels betreffende het veilig en efficiënt gebruik van user/id en wachtwoord ter identificatie, authentisatie en autorisatie (wie mag wat) van een computergebruiker, om ongeoorloofde toegang tot cruciale gegevens en/of het netwerk te vermijden. Toepassingsgebied 2. Elke gebruiker van een computer die tot het OCMW behoort of aan het netwerk van het OCMW verbonden is, zowel tijdelijk als permanent. Dit wachtwoordbeleid omvat niet alleen het aanmeldingswachtwoord van een gebruiker aan een pc en/of netwerk, maar ook de wachtwoorden voor toegang tot volgende beveiligde programma s : opsomming applicaties: Algemene bepalingen 3. Elke gebruiker moet een eigen, niet voor de hand liggend, wachtwoord opstellen en dit geheim houden. Een wachtwoord moet, indien de toepassing dit toelaat, minimaal 8 karakters bevatten en bestaat uit een combinatie van letters en cijfers. Een aantal aanbevelingen: pagina 1 / 3 Grote en kleine letters die elkaar afwisselen is ideaal. Een symbool ertussen geeft dat extraatje meer. Gebruik geen bekende of voor de handliggende namen, woorden of getallen. Woorden die in het woordenboek staan zijn uitgesloten. Schrijf nergens je wachtwoord op en hang het zeker niet op je scherm ter herinnering (indien u het toch zou opschrijven, verberg het papier dan op een degelijke plaats niet in de buurt van je pc en verzin een truc om het wachtwoord versleuteld op te schrijven) Zorg dat er niemand op je vingers kijkt bij het intikken van je wachtwoord. Een degelijk wachtwoord hoeft niet moeilijk te zijn. Vb. Ikweddatjeditnooitkanvindenin2005 of Hoeradelentevan2005isinhetland zijn zeer degelijke wachtwoorden en makkelijk te onthouden. 4. De gebruiker heeft de mogelijkheid om op eender welk tijdstip zelf zijn wachtwoord te wijzigen. Het periodiek (halfjaarlijks) wijzigen van een wachtwoord is een minimum vereiste. 5. Bij het minste vermoeden dat het wachtwoord ontvreemd werd of ter kennis is van een medewerker of derde, moet de gebruiker onmiddellijk zijn wachtwoord vervangen EN de systeembeheerder en/of veiligheidsconsulent over het eventuele misbruik inlichten. 6. Bij een vermoeden of vaststelling dat een gebruiker toegang heeft tot bestanden of netwerken waartoe hij niet geautoriseerd is, moet hij dit melden aan de systeembeheerder en/of veiligheidsconsulent. Kortom, als een gebruiker meer toegang

28 heeft dan nodig voor de goede uitvoering van zijn taken, valt dit onder deze meldingsplicht. 7. Als de gebruiker zijn/haar wachtwoord vergeten is, moet hij/zij contact met de systeembeheerder opnemen om er een nieuw aan te maken. Dit nieuwe wachtwoord moet meteen gewijzigd worden door de gebruiker zelf. De systeembeheerder hoeft immers nooit het wachtwoord van een gebruiker te weten. 8. Een pc mag nooit zonder toezicht gelaten worden, aangezien om het even wie dan kan handelen in naam van de aangemelde gebruiker. Wanneer een gebruiker dus het lokaal verlaat, moet de gebruiker steeds ofwel de pc vergrendelen, ofwel zich afmelden door uit te loggen op de pc. Dit kan op een snelle manier door gebruik te maken van sneltoetsen. Bv. in Windows XP kan dit door op de windowstoets te drukken samen met de letter L, in Windows 2000 kan dit door Ctrl Alt Del te samen in te drukken en te kiezen voor PC vergrendelen. Sommige toetsenborden hebben hier ook een aparte toets voor. 9. De schermbeveiliging 1 moet met wachtwoord beveiligd zijn en moet ook steeds ingesteld staan zodat deze automatisch in werking treedt binnen de 5 à max. 10 minuten 2. Deze schermbeveiliging met wachtwoord volstaat echter niet om aan artikel 8 van dit beleid te voldoen. Ze fungeert enkel als noodoplossing voor het geval een gebruiker zelf manueel zijn pc is vergeten te vergrendelen. 10. a) Het is verboden een wachtwoord in te typen wanneer een andere persoon meekijkt. b) Het is verboden te kijken wanneer iemand zijn wachtwoord intypt. c) Uiteraard is het verboden andermans wachtwoorden proberen te weten te komen op welke manier dan ook. En het is zeker uit den boze deze te gebruiken. Het kraken van wachtwoorden of inbreken in computers is uiteraard niet toegestaan. 11. Bij het herhaald (3x) ingeven van een foutief wachtwoord zal de gebruiker tijdelijk geblokkeerd worden. 12. Wanneer de computer de vraag stelt om het wachtwoord te bewaren op het scherm, moet er steeds NEGATIEF op worden geantwoord. 1 Algemeen bekend als screensaver 2 Hoe korter hoe beter, doch hoe minder gebruiksvriendelijk; deze tijdsspanne mag echter nooit meer zijn dan het door dit beleid opgegeven maximum. pagina 2 / 3

29 Verklaring Ik heb bovenvermeld wachtwoordbeleid gelezen. De inhoud ervan is mij duidelijk en ik verklaar mij akkoord om deze veiligheidsinstructies nauwkeurig na te leven. 3 Ik besef dat de uitgevaardigde regels een algemeen hulpmiddel willen vormen om de onrechtmatige toegang tot en het onrechtmatig gebruik van het netwerk te voorkomen en te verhinderen. Ik zal daarnaast de nodige maatregelen nemen die in mijn specifieke werkomgeving kunnen bijdragen tot het realiseren van het vermelde doel. Ik ben mij ervan bewust dat ik door ondertekening van deze verklaring, onderworpen ben aan dit beleid en dat schending of niet naleving van de vermelde instructies, eventuele disciplinaire maatregelen tot gevolg kan hebben. (zie tuchtreglement). Datum: Naam: Plaats: Handtekening: 3 Voor meer informatie of bij eventuele vragen hieromtrent mag u altijd de systeembeheerder en/of veiligheidsconsulent van het OCMW contacteren. pagina 3 / 3