Version control please always check if you re using the latest version Doc. Ref. : isms xxx pol-sécu info nl v1.1_final

Transcriptie

1 ISMS (Information Security Management System) Informatieveiligheidsbeleid (Information Security Policy) 2015 Version control please always check if you re using the latest version Doc. Ref. : isms xxx pol-sécu info nl v1.1_final Release Status Date Written by Approved by NL_1.1 herziening 24/3/2015 Alain Houbaille Opmerking: in dit document zijn de opmerkingen verwerkt van een werkgroep met deelname van mevrouw Glorieux (FAMIFED) en de heren Bochart (KSZ), Houbaille (KSZ), Costrop (Smals), Vandergoten (RIZIV), De Vuyst (KSZ), Petit (FBZ), Quewet (FOD Volksgezondheid), Symons (RVA), Van Cutsem (ONSSPPO), Alain Perot (ONSS) P 1

2 Inhoudsopgave 1 INLEIDING INFORMATIEVEILIGHEIDSBELEID CONTEXT DOELSTELLINGEN VAN HET BELEID NALEVING VAN HET BELEID REIKWIJDTE RICHTLIJNEN ROLLEN EN OPDRACHTEN VANKRACHTWORDING, EVALUATIE EN WIJZIGING REFERENTIES BIJLAGE A:HARMONISEREN VAN DE FUNCTIES INZAKE DE VEILIGHEID VAN DE INFORMATIE... 9 P 2

3 1 Inleiding Informatie is een bedrijfsmiddel dat, zoals andere belangrijke bedrijfsmiddelen, een enorme waarde vertegenwoordigt en dus op adequate wijze moet beschermd worden. Informatieveiligheid beschermt informatie tegen een brede waaier van bedreigingen. De organisaties, hun informatiesystemen en netwerken krijgen immers steeds vaker te maken met allerlei risico s uit verschillende bronnen waarvan het aantal ook toeneemt. Denk bijvoorbeeld aan computervirussen, computerhacking, verhinderen van de dienstverlening (denial-of-service), computerfraude, maar ook aan verlies, diefstal (vb. van laptop), openbaar maken van vertrouwelijke gegevens, brand, enz. Het onderhouden en verbeteren van de informatieveiligheid is van essentieel belang voor het verzekeren van de continuïteit van de werking van de organisatie, de naleving van de wet, maar ook voor het imago van de organisatie. Algemeen wordt informatieveiligheid gekenmerkt als het verzekeren van de vertrouwelijkheid, de integriteit en de beschikbaarheid van de informatie. Bijkomend reikt het middelen aan om vervalste informatie te weerleggen en weerlegging van legitieme informatie onmogelijk te maken. Specifiek binnen de sociale zekerheid wordt informatieveiligheid gedefinieerd als de strategie, de regels, de procedures en de middelen voor het beschermen van alle soorten informatie zowel in de transmissiesystemen als in de verwerkingssystemen om de vertrouwelijkheid, de beschikbaarheid, de integriteit, de betrouwbaarheid, de authenticiteit en de onweerlegbaarheid ervan te garanderen (cf. koninklijk besluit van 17 maart 2013 betreffende de veiligheidsadviseurs ingevoerd door de wet van 15 augustus 2012 houdende oprichting en organisatie van een federale dienstenintegrator). P 3

4 2 Informatieveiligheidsbeleid 2.1 Context De informatisering van de organisaties van sociale zekerheid en hun nauwe onderlinge samenwerking leiden tot een grote verbetering op het vlak van efficiëntie en doeltreffendheid maar brengen ook nieuwe risico's met zich mee. De verschillende organisaties van sociale zekerheid zijn geen geïsoleerde entiteiten meer die informatie verwerken, maar ze maken deel uit van een coherent geheel. De nauwe samenwerkingsverbanden verhogen aanzienlijk het risico en de omvang van collaterale schade. Daarom wordt de strategie inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer in een gemeenschappelijke policy vastgelegd. 2.2 Doelstellingen van het beleid Het informatieveiligheidsbeleid is gericht op de naleving van de geldende wetgeving op het vlak van de verwerking en de uitwisseling van gegevens. Hierbij wordt het volgende nagestreefd: 1. de bescherming van de persoonlijke levenssfeer en de naleving van de wettelijke verplichtingen met betrekking tot de verwerking van (sociale) persoonsgegevens, 2. de conformiteit met de minimale normen opgelegd door het sectoraal comité van de sociale zekerheid en van de gezondheid in het kader van de verwerking van de hierboven vermelde gegevens, 3. het opstellen van een inventaris van de bedrijfsmiddelen en het afstemmen van de beveiliging van deze bedrijfsmiddelen op de classificatie van de gegevens, 4. de implementatie van een proces van risicobeheer voor alle kritieke processen volgens een gedocumenteerde methode, 5. de beschikbaarheid, de integriteit en de vertrouwelijkheid van de informatie, 6. een permanente verbetering van de informatieveiligheid, 7. de opname van de veiligheidsvereisten in een overeenkomst wanneer er een beroep wordt gedaan op onderaannemers of leveranciers. Dit beleid wordt omgezet in normen en richtlijnen die de verplichtingen die uit dit beleid voortvloeien verduidelijken. 2.3 Naleving van het beleid De verantwoordelijke voor het dagelijks bestuur is verantwoordelijk voor de toepassing van dit beleid. De directie van de organisatie benadrukt het belang van de informatieveiligheid binnen de organisatie en de verplichting van alle leden van de organisatie om de voorwaarden van dit beleid na te leven. P 4

5 De organisatie eist bijgevolg dat iedere persoon die haar bedrijfsmiddelen 1 (bv. informatiesysteem) gebruikt of die toegang heeft of zal hebben tot haar informatie, de bepalingen van dit beleid en de richtlijnen, procedures en standaarden die erop betrekking hebben, naleeft. 2.4 Reikwijdte Dit beleid geldt voor: alle personeelsleden van de organisatie, zowel interne als externe medewerkers, met inbegrip van het personeel dat ter beschikking gesteld wordt, zowel voor onbepaalde als bepaalde duur (bv. consultants, leveranciers,...), alle natuurlijke personen of rechtspersonen die gebruik maken van of toegang krijgen tot al dan niet vertrouwelijke informatie, al dan niet voor rekening van de organisatie, alle bedrijfsmiddelen en het gebruik ervan binnen de organisatie, zoals elektronische databanken, informatie ongeacht de drager ervan, netwerken, informatiesystemen, software, verwerkingscentra, alle verwerkingsactiviteiten. 2.5 Richtlijnen Elke organisatie van sociale zekerheid moet de veiligheid van haar informatiegegevens garanderen overeenkomstig de hierna vermelde richtlijnen teneinde de realisatie van haar opdracht te garanderen. I. Binnen de sociale zekerheid maken de minimale normen, die gebaseerd zijn op de ISO-reeks (ISO en ISO 27002) van de internationale normalisatieorganisatie, deel uit van het beleidskader voor de implementatie van het informatieveiligheidsbeleid van de organisatie. In deze normen worden de minimale (te behalen) objectieven bepaald op het vlak van informatieveiligheid. II. III. IV. Er wordt tevens rekening gehouden met de specifieke behoeften, de vereisten inzake veiligheid, de grootte en de structuur van de organisatie. Binnen de organisaties van sociale zekerheid worden de beheersmaatregelen bijvoorbeeld aangevuld door relevante specifieke maatregelen op het vlak van sociale zekerheid en de bescherming van het privéleven. Rekening houdende met de complexiteit en de kosten verbonden met de uitwerking van deze richtlijnen, voert de organisatie een beleidskader in voor de informatieveiligheid dat op de identificatie en de periodieke evaluatie van de risico s is gebaseerd. Aangezien deze risico s een bedreiging vormen voor de beschikbaarheid, de integriteit en de vertrouwelijkheid van de informatie wordt ernaar gestreefd de draagwijdte ervan te verminderen en ze op een aanvaardbaar niveau voor de organisatie te houden. Het kader voor het vastleggen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd managementsysteem voor informatieveiligheid wordt door de norm ISO27001 gegeven. V. De maatregelen inzake beveiliging, preventie, opsporing, kwaliteitsbewaking en - verbetering moeten het mogelijk maken om de vertrouwelijkheid, de integriteit en de 1 Een bedrijfsmiddel is elk waardevol onderdeel van de organisatie dat dientengevolge beschermd moet worden (ISO norm) P 5

6 beschikbaarheid van de bedrijfsmiddelen en de continuïteit van de activiteiten te garanderen. VI. De veiligheidsmaatregelen moeten evenredig zijn met de te beschermen informatiewaarde. Ze worden opgesteld in functie van de risico s en de impact ervan. Ze hebben als doel om: VII. VIII. IX. de beschikbaarheid van de informatie van de organisatie te waarborgen zodat de informatie op het vereiste moment en op de vereiste manier toegankelijk is voor de gemachtigde persoon; de integriteit van de informatie te garanderen zodat de informatie op geen enkele wijze zonder toestemming vernietigd of vervalst wordt en zodat de drager van deze informatie haar de nodige stabiliteit en duurzaamheid oplevert; de toegang tot de informatie te beperken tot de personen die er kennis van mogen nemen waardoor een strikte vertrouwelijkheid kan worden gewaarborgd; de identiteit van een persoon of de identificatie van een document of een voorziening te bevestigen; zich te wapenen tegen de weigering van een persoon om zijn verantwoordelijkheid te erkennen ten aanzien van een document of ander object. Voor een doeltreffende informatieveiligheid is vereist dat de verantwoordelijkheden duidelijk worden toegekend op alle niveaus van de organisatie en dat een intern veiligheidsbeheerproces wordt geïmplementeerd waardoor verificatie, validatie, opvolging en rapportering mogelijk worden. De directie moet, als voornaamste drijvende kracht, het informatieveiligheidsbeheer ondersteunen om de doeltreffendheid ervan te garanderen, Het veiligheidsbeheer moet tijdens het hele proces toegepast worden, vanaf de aankoop tot de ontwikkeling inclusief het gebruik, de vervanging of de vernietiging van de bedrijfsmiddelen. X. De praktijk en de oplossingen inzake informatieveiligheid moeten periodiek worden geëvalueerd, teneinde rekening te houden met de juridische, organisatorische en technologische wijzigingen en met de evolutie van de bedreigingen en risico s. XI. XII. Het niveau van de informatieveiligheid moet op een aanvaardbaar niveau worden gehouden; dit niveau kan worden gemeten aan de hand van een referentiemodel voor het begrijpen, evalueren en verbeteren van processen zoals het C(apability) M(aturity) M(odel) In de overeenkomsten die tussen de organisatie en derden worden afgesloten, moeten de schriftelijke bepalingen worden opgenomen met betrekking tot de naleving van de veiligheidsvereisten en de bescherming van het privéleven door alle partijen. 2.6 Rollen en opdrachten De belangrijkste rollen voor een goede beheersing van de informatieveiligheid zijn de volgende: De informatieveiligheidsconsultent (IVC) De informatieveiligheidsconsulent heeft een adviserende, stimulerende, documenterende en controlerende opdracht in het kader van de informatieveiligheid (koninklijk besluit van 12 augustus 1993) De informatieveiligheidsconsulent stimuleert en coördineert onder het rechtstreeks gezag van de verantwoordelijke voor het dagelijks bestuur de informatieveiligheid P 6

7 binnen de organisatie. Hij moet dus de acties van de verschillende actoren bij de uitwerking, de implementatie, de opvolging en de evaluatie van de informatieveiligheid op elkaar afstemmen (zien bijlage A: harmoniseren van de functies inzake de veiligheid van de informatie). De informatieveiligheidsconsulent zorgt voor de uitwerking en de toepassing van het informatieveiligheidsbeleid. Hiertoe werkt hij met alle verantwoordelijken samen en in het bijzonder met de verantwoordelijke van de dienst Informatietechnologie. De informatieveiligheidsconsulent doet meer bepaald het volgende: werkt het informatieveiligheidsbeleid uit en stelt het voor; is de drijvende kracht achter het Comité 2 Informatieveiligheid; coördineert met de betrokken diensten de implementatie van het informatieveiligheidsbeleid en volgt die op; identificeert de eigenaars van bedrijfsmiddelen in hun respectievelijke domeinen; doet onderzoek naar de behoeften inzake informatieveiligheid, stelt oplossingen voor en coördineert de implementatie ervan; maakt de medewerkers bewust van het belang van de informatieveiligheid; is betrokken bij het proces van continuïteitsbeheer van de organisatie (uitwerking, inwerkingstelling en opvolging); staat in voor de opvolging en/of de coördinatie van de grote projecten inzake informatieveiligheid; beheerst de elementen die kunnen leiden tot een escalatie van informatieveiligheidsincidenten en evalueert de situatie op het vlak van de informatieveiligheid; volgt de uitvoering op van elke aanbeveling die voortvloeit uit een nazicht of een audit; brengt verslag uit over de stand van zaken van de dossiers inzake informatieveiligheid; maakt periodiek een verslag over aan de verantwoordelijke van het dagelijks bestuur over de maturiteit van het informatieveiligheidsbeleid; maakt jaarlijks de balansen en verslagen op met betrekking tot de informatieveiligheid binnen de organisatie De verantwoordelijke voor het dagelijks bestuur De verantwoordelijke voor het dagelijks bestuur is verantwoordelijk voor de informatieveiligheid binnen de organisatie. Hij zorgt ervoor dat de waarden en de koers van de informatieveiligheid niet enkel stroken met de strategische doelstellingen van de organisatie maar ook gedeeld worden door alle dienstverantwoordelijken en het personeel van de organisatie. Hiertoe vergewist hij zich van de toepassing van de policy binnen de organisatie; 2 Referentie minimale norm Beslissingsplatform P 7

8 verleent hij de nodige logistieke en financiële steun voor de implementatie en toepassing van deze policy; zorgt hij ervoor dat de organisatorische structuur die noodzakelijk is voor een goed beheer van de informatieveiligheid wordt geïmplementeerd en de dat de nodige medewerkers worden aangeworven; krijgt hij periodiek een verslag van de informatieveiligheidsconsulent over de toepassing van de policy De medewerkers Elke medewerker moet de richtlijnen en procedures die van kracht zijn op het vlak van de informatieveiligheid en die uit deze policy voortvloeien, naleven. Hij moet bovendien de informatieveiligheidsconsulent op de hoogte brengen van iedere schending van de veiligheidsmaatregelen waarvan hij getuige zou zijn en van iedere onregelmatigheid die de beveiliging van de bedrijfsmiddelen zou kunnen tenietdoen. Hiertoe neemt hij kennis van het informatieveiligheidsbeleid en van de regels die specifiek van toepassing zijn op zijn functie en stemt hij ermee in; gebruikt hij de bedrijfsmiddelen enkel voor de doeleinden waarvoor ze zijn bestemd en enkel in het kader van de toegangen die hem werden verleend; schikt hij zich naar de instructies en richtlijnen die werden afgesproken in het kader van de bepalingen van deze policy. 2.7 Vankrachtwording, evaluatie en wijziging Dit beleid wordt van kracht op de dag van zijn goedkeuring door het directiecomité van de organisatie. Het beleid wordt periodiek geëvalueerd, teneinde rekening te houden met de nieuwe behoeften, de nieuwe praktijken en technieken, de nieuwe bedreigingen en gelopen risico s. Elke wijziging van dit beleid moet door het directiecomité van de organisatie worden goedgekeurd. 2.8 Referenties De gebruikte referenties zijn: - de minimale veiligheidsnormen 2015 van de KSZ - de ISO-normen 27001, 27002:2013 en Harmoniseren van de functies inzake de veiligheid van de informatie voorstel van het BELNIS-Comité P 8

9 3 Bijlage A:Harmoniseren van de functies inzake de veiligheid van de informatie 3 Toewijzen van de veiligheidsbelangen aan de rollen (informatief voorstel) 3 Bron: werkgroep BELNIS P 9