Informatieveiligheidsbeleid. Gemeenteraad van 31 maart 2016

Transcriptie

1 Gemeenteraad van 31 maart 2016

2 Inhoud 1. Inleiding Informatieveiligheidsbeleid Interne organisatie Medewerkers Bedrijfsmiddelen Logische toegangsbeveiliging Transparantie Cryptografie of versleuteling Fysieke beveiliging en omgeving IT-beheer Bedrijfscontinuïteit Audit... 6 p. 2 / 6

3 1. Inleiding Een lokaal bestuur krijgt heel wat privacygevoelige informatie te verwerken. De burger of cliënt verwacht van de overheden dat zij hier zeer zorgvuldig mee omspringen. Door de razendsnelle evolutie van digitale informatiesystemen, is de bescherming van persoonsgegevens een complexe zaak geworden en kunnen we dit niet enkel overlaten aan de goede wil van de medewerkers: er is nood aan een voortdurend bijgestuurd, systematisch beleid voor informatieveiligheid. 2. Informatieveiligheidsbeleid Het bestuur erkent dat er een welomschreven beleid moet zijn inzake informatieveiligheid. Dit beleid moet gericht zijn. Dit beleid moet regelmatig herbekeken en geactualiseerd worden. Het beleid steunt op 3 basispijlers: - Vertrouwelijkheid: informatie mag enkel beschikbaar zijn voor personen die hiertoe geautoriseerd zijn. - Integriteit: informatie moet correct, actueel en betrouwbaar zijn - Beschikbaarheid: informatie moet te allen tijde opvraagbaar zijn, ook na incidenten of schade aan apparatuur. 3. Interne organisatie Het bestuur stelt een veiligheidsconsulent aan. Het is de taak van de consulent om adviezen te geven om de informatieveiligheid te verbeteren. De consulent rapporteert aan de gemeentesecretaris en zal een schriftelijke motivatie vragen indien er beslist wordt om een advies niet op te volgen. De consulent zal ook een veiligheidsplan opstellen en dit plan regelmatig actualiseren. Het plan bevat werkpunten, een tijdschema en duidt ook de verantwoordelijken aan om de werkpunten te realiseren. Hiervoor is het noodzakelijk dat de veiligheidsconsulent voldoende informatie krijgt over de gebruikte systemen en procedures. De consulent moet ook betrokken worden in projecten waar informatieveiligheid een rol kan spelen. 4. Medewerkers Het is essentieel dat elke medewerker die persoonsgegevens verwerkt, zich bewust is van de mogelijke problemen rond informatieveiligheid. Er moet actief worden ingezet op bewustmaking door middel van campagnes en opleidingen. Elke medewerker dient zich te engageren om bij te dragen tot de informatieveiligheid door het onderschrijven van richtlijnen. Dit kan door clausules in het arbeidsreglement, een deontologische code of afzonderlijke reglementen. 5. Bedrijfsmiddelen Er dient steeds een actuele inventaris te zijn van informaticamateriaal en software. Er moet vermeden worden dat de toegang tot een informatiebron zich beperkt tot één persoon. p. 3 / 6

4 Informatiesystemen en dragers van persoonsgegevens dienen voldoende fysiek afgeschermd te zijn, door ze bijvoorbeeld te plaatsen in afgesloten lokalen, kasten of kluizen. Dit geld evenzeer voor informatie op papier, zoals archieven en dossiermappen. 6. Logische toegangsbeveiliging Elke logische toegang tot persoonsgegevens moet afgeschermd worden door een beveiliging, die enkel geautoriseerde personen toelaat om de informatiebron te raadplegen. Er moet steeds vermeden worden dat verschillende personen dezelfde aanmeldgegevens gebruiken. Informatiebeheerders (netwerkbeheerders, domain administrators) hebben per definitie veel toegangsrechten. Het aantal informatiebeheerders moet zoveel mogelijk beperkt worden en personen die informatiebeheerder zijn, mogen enkel aanmelden als informatiebeheerder om taken uit te voeren die beheerdersrechten vereisen. Zij dienen te beschikken over een netwerkaccount met gewone toegangsrechten voor hun gewone taken. 7. Transparantie Telkens er systematisch persoonsgegevens worden doorgegeven aan externe partijen (AGB, vzw, andere besturen of overheden, ) dan wordt dit gemeld aan de veiligheidsconsulent. Deze zal nagaan of er een machtiging nodig is van de privacy commissie (CPBL) of de Toezichtcommissie (VTC). De personen van wie er persoonsgegevens worden verwerkt, moeten hiervan op een transparante manier van op de hoogte worden gebracht. Dit kan o.a. door een melding op invulformulieren waarin duidelijk wordt gemaakt voor welke doelen de gegevens zullen gebruikt worden, of door een te ondertekenen document waarin de persoon in kwestie expliciet toestemming geeft om zijn persoonsgegevens te verwerken in functie van een duidelijk doel. p. 4 / 6

5 8. Cryptografie of versleuteling Zodra privacygevoelige informatie wordt gekopieerd op publiek toegankelijke media, apparaten of diensten, dient de informatie voldoende versleuteld te worden, zodat bij verlies, diefstal of hacking de gegevens onleesbaar zijn voor externen. Dit geldt onder ander voor: - Usb-sticks en usb-disks - Geheugenkaarten - Internetdiensten (cloud diensten) zoals dropbox, google drive of wetransfer - Tablets en laptops 9. Fysieke beveiliging en omgeving De toegang tot gebouwen en lokalen moeten in de mate van het mogelijke worden beperkt tot geautoriseerde personen. Er moeten voldoende maatregelen worden genomen om de informatiesystemen te beschermen tegen inbraak, waterschade of brandschade. Er moeten voldoende maatregelen worden voorzien om schade en informatieverlies te vermijden bij plotse stroomstoringen Er moet een vaste procedure zijn om informatiedragers te wissen of te vernietigen, wanneer ze uit dienst worden genomen. 10. IT-beheer Er moeten geactualiseerde systemen aanwezig zijn om bescherming te bieden tegen malware, zoals virussen, spyware, trojans, Er moeten regelmatig backups genomen worden van alle informatie die nodig is om het bestuur te laten werken. De gegevens moeten aanwezig zijn om verschillende sites, zodat bij een ramp de gegevens kunnen gerecupereerd worden vanop een andere locatie. Alles IT-systemen dienen voldoende gedocumenteerd te zijn, zodat de kennis zich niet beperkt tot bepaalde personen. Het netwerk en de systemen dienen actief beheerd te worden, om nieuwe bedreigingen en potentiële problemen proactief aan te pakken. Indien externe leveranciers persoonsgegevens verwerken, worden er contracten opgesteld zodat deze leveranciers verplicht worden om even zorgvuldig met deze gegevens om te gaan. Er wordt bijzondere aandacht besteed aan redundantie, om in de mate van het mogelijke SPOF s (= Single Point Of Failure) te vermijden. 11. Bedrijfscontinuïteit Er moet een continuïteitsplan zijn, dat gebaseerd is op een risico-analyse om de opdracht van het bestuur te kunnen voortzetten bij ernstige incidenten of rampen. Er moet een uitwijk-centrum worden voorzien, zodat de basis informaticastructuur zo snel mogelijk weer operationeel kan zijn. p. 5 / 6

6 12. Audit Er wordt minstens éénmaal per 4 jaar een audit uitgevoerd om de actuele veiligheidssituatie af te toetsen aan de minimale normen. p. 6 / 6