ISMS (Information Security Management System)



Vergelijkbare documenten
Gebruikerspolicy voor mobiele toestellen

ISMS. (Information Security Management System) Toegang tot het netwerk van de Kruispuntbank via het internet Versie 3.2.

informatieveiligheidsbeleid (Doc. Ref. : isms.004.hierar. ; Doc. Ref.(BCSS) : V hierarch.v5.ivn)

Beleid voor toegang op afstand tot het interne netwerk van een instelling via de Smals VPNoplossing

Gebruikershandleiding User Management Scenario 2

Handleiding sftp. External Classification 1

Gebruikershandleiding User Management Scenario 4

ISMS. Minimale Normen. Versie 2015 (ISO 27002:2013) (Information Security Management System)

Beleidslijn informatieveiligheid en privacy , online communicatie en internet gebruik

Verantwoordelijkheid van de eindgebruiker voor Clean desk en Clear Screen beleid

Validatieprocedure van de security logs en inproductiestelling van de toepassingen op het socialezekerheidsportaal.

Minimale normen informatieveiligheid en privacy Overzicht

Minimale normen informatieveiligheid en privacy , online communicatie en internet gebruik

1 Inleiding en draagwijdte. 2 Toepassingsgebied. Gedragscode - Informatiebeheerders

Gebruikershandleiding User Management Scenario 5

Beleidslijn informatieveiligheid en privacy Draadloze netwerken

HRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie

Release Status Date Written by Edited by Approved by NL_1.00 Final 19/03/2014

Veiligheidsbeleid Draagbare PC

Verzending van gestructureerde berichten via SFTP Veel gestelde vragen (FAQ)

Thema-audit Informatiebeveiliging bij lokale besturen

Methodologie informatieveiligheid en privacy Overzicht

ISMS. Minimale Normen. Versie (Information Security Management System)

Privacy beleid. Algemeen

DB2P. Gebruikershandleiding User Management. Scenario 3

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Informatieveiligheidsconsulent. 23 sept 2014 Gent

Gebruikershandleiding User Management Scenario 1

B2BE Data Processing Overeenkomst 1. DEFINITIES

ISMS. Minimale Normen. Versie (Information Security Management System)

Beveiligingsbeleid Stichting Kennisnet

Policy Datasecurity Versie /10/2007

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

en alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting &

Dataprotectie op school

Sectoraal comité van het Rijksregister en sectoraal comité van de sociale zekerheid en van de gezondheid

BIJLAGE 2: VRAGENLIJST PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT

PRIVACY POLICY MENUEZ INTERNATIONAL B.V.

Informatiebeveiligingsbeleid

VLAAMS AGENTSCHAP VOOR PERSONEN MET EEN HANDICAP

Privacyreglement. Inhoudsopgave. Melius Zorg Privacyreglement

Informatieveiligheid, de praktische aanpak

Informatieveiligheidscomité Kamer sociale zekerheid en gezondheid

CBPL Commissie voor de bescherming van de persoonlijke levenssfeer Drukpersstraat Brussel Formulier Codering Persoonsgegevens.

Verwerkingsovereenkomst

Check-list informatieveiligheid bij projektontwikkeling

Interne beheersing: Aan assurance verwante opdrachten Inleiding. Het kwaliteitsonderzoek. Regelgeving. Vragenlijst.

Informatie over logging gebruik Suwinet-Inkijk

Welke gegevens we verzamelen en waarom we die verzamelen. Hoe we die gegevens gebruiken.

Registratie in het User Management (UMAN) van de Belgische Sociale Zekerheid. Bijzonder formulier DB2P voor buitenlandse entiteiten: registratie UMAN

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Vragenlijst van de minimale normen: Hulp bij de evaluatie.

Doel van de opleiding informatieveiligheid

ISO 27001:2013 INFORMATIE VOOR KLANTEN

VRAGENLIJST VOOR EEN DERDE PARTIJ DIE INFORMATIE VAN DE OPENBARE INSTELLING SOCIALE ZEKERHEID

Privacy Verklaring Definities Toegang tot Innerview

BEWERKERSOVEREENKOMST

Fysieke beveiliging en beveiliging van de omgeving

Transcriptie:

ISMS (Information Security Management System) File transfer policy: richtlijnen voor uitwisseling van bestanden en documenten tussen openbare instellingen van de sociale zekerheid (OISZ) en geautoriseerde partners. Version control : Doc. Ref. : 2014.0012 Release Status Date Written by Edited by Approved by NL_1.00 Final 14/12/2013 Frank Souffriau Staff Extranet

INHOUDSOPGAVE 1. INLEIDING... 3 2. SCOPE... 3 3. DOELGROEP... 3 4. GEBRUIKSVOORWAARDEN... 4 5. RICHTLIJNEN... 4 5.1. ALGEMEEN... 4 5.2. ORGANISATIE... 5 5.3. VEILIGHEIDSPOLICY... 5 6. SANCTIES... 5 7. EIGENAAR VAN HET DOCUMENT... 5 8. REFERENTIES... 5 9. BIJLAGES... 6 9.1. LINK MET DE NORM ISO 27002... 6 9.2. OVERZICHTSTABEL MET MOGELIJKE OPLOSSINGEN VOOR DE UITWISSELING VAN DOCUMENTEN TUSSEN INSTELLINGEN VAN DE SOCIALE ZEKERHEID EN GEAUTORISEERDE PARTNERS... 6 P 2

1. Inleiding Het uitwisselen van documenten voor beroepsdoeleinden is onderworpen aan een reeks veiligheidsmaatregelen. Volgens de minimale veiligheidsnormen van de Kruispuntbank van de Sociale Zekerheid dient elke instelling immers de gepaste veiligheidsmaatregelen te treffen om zich te beschermen tegen de risico's die verbonden zijn aan het uitwisselen van professionele documenten, waarbij onder uitwisselen wordt verstaan: Het versturen van documenten aan instellingen van sociale zekerheid en aan geautoriseerde partners Het ontvangen van documenten afkomstig van instellingen van sociale zekerheid en geautoriseerde partners Het raadplegen van de lijst van documenten die uitgewisseld zijn 2. Scope Deze policy omvat de gebruiksvoorwaarden en richtlijnen voor het gebruik van een beveiligde elektronisch doorgeefluik voor het uitwisselen van professionele (elektronische) documenten tussen de verschillende doelgroepen. Deze policy is van toepassing op alle instellingen van sociale zekerheid. Het gebruik van een elektronisch doorgeefluik (waarbij wordt verwezen naar één van de toepassingen vermeld in bijlage 9.2) wordt eerder uitzonderlijk toegestaan en dient niet ter vervanging van de klassieke uitwisselingsstromen via de KSZ. 3. Doelgroep (DG) Deze policy is van toepassing op alle OISZ en hun geautoriseerde partners, zijnde entiteiten die enerzijds identificeerbaar zijn aan de hand van een KBO-nummer en anderzijds deel uitmaken van een hoedanigheid professionals (cfr UAM KSZ). - (DG-1) De onderlinge uitwisseling van documenten tussen actoren uit het primaire netwerk is toegestaan mits er aan de gebruiksvoorwaarden (zie pt. 4) is voldaan. - (DG-2) De onderlinge uitwisseling van documenten tussen actoren uit het primaire netwerk en hun eigen secundaire netwerk zullen case per case worden bekeken (met een mogelijke beperking in tijd). - (DG-3) De onderlinge uitwisseling van documenten tussen actoren uit het primaire netwerk en instellingen (zoals de FOD en gemeenschappen) die niet deel uitmaken van het netwerk van de sociale zekerheid, maar wel verbonden zijn met het extranet (van de sociale zekerheid), is toegestaan mits er aan de gebruiksvoorwaarden (zie pt 4) is voldaan - (DG-4) De onderlinge uitwisseling van documenten tussen actoren van het secundaire netwerk zullen eveneens case per case worden bekeken (met een mogelijke beperking in tijd). - (DG-5) De onderlinge uitwisseling van documenten tussen actoren uit het primaire netwerk en een privéonderneming is toegestaan mits er aan de gebruiksvoorwaarden (zie pt. 4) is voldaan. - (DG-6) De onderlinge uitwisseling van documenten tussen actoren uit het secundaire netwerk en een privé-onderneming zullen "case per case" bekeken worden. - (DG-7) De onderlinge uitwisseling van documenten tussen 2 privé-ondernemingen is niet toegestaan. - (DG-8) De onderlinge uitwisseling van documenten binnen 2 verschillende diensten binnen één en dezelfde entiteit wordt niet ondersteund. M.a.w. het is de verantwoordelijkheid van de entiteit om de uitwisseling van documenten tussen de diensten onderling te organiseren. P 3

4. Gebruiksvoorwaarden Alle aanvragen met betrekking tot het gebruik van de toepassing FILEEXCHANGE (ref. overzichtstabel 9.2, p 6) dienen te worden goedgekeurd door de KSZ. Hiervoor dient het formulier Aanvraag van een machtiging voor een documentenuitwisselingsstroom te worden ingevuld en ondertekend. Dit document kan bekomen worden door een e-mail te sturen naar security@ksz-bcss.fgov.be. De grootte (Mb) van de uit te wisselen bestanden wordt beperkt in overeenstemming met de gebruikte oplossing en zoals aangegeven in tabel 9.2. Er dient gebruik te worden gemaakt van het identificatie- en authenticatiemechanisme eigen aan de gebruikte oplossing zoals aangegeven in tabel 9.2. Indien er gebruik wordt gemaakt van het UAM-systeem onder het beheer van de KSZ, dient men gebruik te maken van de hoedanigheden die deel uitmaken van de categorie professionals. De uitgewisselde documenten worden 3 maanden na de datum van uitwisseling verwijderd. 5. Richtlijnen Hieronder volgen de richtlijnen die in acht moeten worden genomen om de informatieveiligheid te waarborgen bij de uitwisseling van professionele documenten tussen instellingen en geautoriseerde partners. Deze policy is gekoppeld aan de minimale normen en dient effectief door de instelling te worden geformaliseerd. Er dient tevens een bewustzijn te worden gecreëerd bij de eindegebruiker omtrent de risico s verbonden aan het uitwisselen van (gevoelige) professionele documenten. Het is de verantwoordelijkheid van de instellingen van sociale zekerheid om het veiligheidsbeleid aan te passen aan hun specifieke situatie en aan de omvang van de te beveiligen werkingsmiddelen. 5.1. Algemeen 1. Het beleid van de instelling op het vlak van informatieveiligheid blijft onverkort van toepassing in deze context. 2. Deze policy geldt voor alle gebruikers die betrokken zijn bij het uitwisselen van professionele documenten. 3. Het gebruik van de file transfer -oplossing moet beperkt worden tot professionele doeleinden in het kader van de functie die door de gebruiker wordt uitgeoefend. Deze oplossing mag niet voor privédoeleinden worden gebruikt. 4. Het vereiste veiligheidsniveau voor het uitwisselen van documenten zal afhangen van de aard en de gevoeligheid van de gegevens/informatie waartoe potentieel toegang kan worden verkregen. 5. Het veiligheidsniveau van de verwerking en de opslag van de documenten dient steeds evenredig zijn aan de aard en de gevoeligheid van de gegevens. 6. De instelling heeft voldoende garanties dat de geautoriseerde partners over een gelijkaardig beveiligingsniveau beschikken als de instelling. 7. De instelling verbindt zich ertoe om de gebruikers te sensibiliseren omtrent de goede praktijken inzake gebruik en hun verantwoordelijkheden bij het uitwisselen van professionele documenten. 8. De instelling verbindt zich ertoe de privacy van de gebruiker te respecteren. 9. Elke bij de verzending betrokken partij, zowel de bestemmeling/ontvanger als de tussenpersoon of de verzender, moet zo snel mogelijk de gepaste maatregelen nemen bij de verwerking van de opvolgingsberichten. 10. Elke anomalie of lacune in de elektronische verzending van de documenten moet zo spoedig mogelijk worden gemeld aan de betrokken partijen, of ze nu ontvanger, tussenpersoon of verzender zijn. P 4

11. De uitwisseling van de professionele documenten, nodig voor de toepassing en de uitvoering binnen de context van de sociale zekerheid, dient beveiligd te worden door middel van een identificatie-, authenticatieen autorisatiesysteem. 12. De gepaste maatregelen dienen te worden genomen indien persoonsgegevens worden opgeslagen op media die de beveiligingsperimeter van de instelling kunnen verlaten. 5.2. Organisatie 1. De bevoegde dienst van de instelling is verantwoordelijk voor de correcte implementatie van de veiligheidspolicy inzake uitwisseling van professionele documenten. 2. De ondersteuning door de instelling betreft enkel de middelen die door de instelling ter beschikking gesteld worden. Deze ondersteuning kan worden uitbesteed. 3. De instelling zal steeds de mogelijkheid hebben om de toegang tot de documenten van de instelling (gegevens aanwezig op de bedrijfssystemen en/of resources) te blokkeren en de gegevens te wissen. 5.3. Veiligheidspolicy 1. Zoals beschreven in de algemene paragraaf 5.1, is het vereiste veiligheidsniveau, afhankelijk van de aard en de gevoeligheid van de documenten. Elke betrokken partij, zowel de bestemmeling/ontvanger als de tussenpersoon of de verzender, moet de gepaste maatregelen nemen bij de uitwisseling van de documenten. 2. De uitwisseling van documenten tussen de instellingen van de sociale zekerheid en hun geautoriseerde partners dient beschermd te worden door adequate beheersmaatregelen. 3. De veiligheidspolicy s binnen de sociale zekerheid dienen te worden gerespecteerd onder meer behorende tot de volgende domeinen, en overeenkomstig de reeks ISO 27002-normen: de organisatie van de veiligheid, de classificatie en het beheer van de resources, de fysieke veiligheid en de veiligheid van de omgeving, het operationeel beheer, de logische toegangsveiligheid, de ontwikkeling en het onderhoud van de systemen, het continuïteitsbeheer, de naleving van de policy's. 6. Sancties De niet-naleving van deze policy zal aanleiding geven tot een sanctie volgens de geldende reglementering binnen de instelling. 7. Eigenaar van het document De handhaving, opvolging en herziening van deze policy behoren tot de verantwoordelijkheid van de dienst Informatieveiligheid van de KSZ. 8. Referenties De gebruikte referenties zijn: - de minimale veiligheidsnormen 2011 van de KSZ - de ISO-norm 27002: 2005 P 5

9. Bijlages 9.1. Link met de norm ISO 27002 Hieronder vermelden we de belangrijkste bepalingen van de norm ISO 27002 die verband houden met deze policy ISO-norm 27002:2005 Veiligheidspolicy Organisatie van de informatieveiligheid Beheer van de bedrijfsresources Veiligheidsvereisten ten aanzien van het personeel Operationele veiligheid Logische toegangsbeveiliging Onderhoud en ontwikkeling van informatiesystemen Beheersing van veiligheidsincidenten Beveiliging van de informatie in het kader van de continuïteit van het bedrijf 9.2. Overzichtstabel van de aanbevolen oplossingen voor de uitwisseling van documenten tussen de OISZ en geautoriseerde partners. Naam van de toepassing Doelgroepen (DG) (zie Hoofdstuk 3 van dit document) Secure FTP ISSFTP ELARA FILEEXCHANGE DG-3,DG-4,DG-5 en DG-6 DG-1 en DG-2 DG-3 en DG-2 Protocol SFTP FTP FTP HTTPS DG-2,DG-4,DG-5 en DG-6 Identificatie Publieke / private sleutel + User ID/Password User ID/Password User ID/Password WebApp beveiligd door UserManagement Veiligheidslaag 1.2 2.1 2.1 1 Capaciteit - Kan tot 1.000.000 bestanden bevatten (indicatief aantal) - 80 GB - Kan tot 1.000.000 bestanden bevatten (indicatief aantal) - 80GB - Kan tot 700.000 bestanden bevatten (indicatief aantal) - 40GB SLA NEE NEE NEE NEE Doeleinde Uitwisseling van gegevens-bestanden Uitwisseling van gegevens-bestanden Uitwisseling van gegevens-bestanden - 10 MB per verzending Ad hoc uitwisseling van documenten en gegevens P 6

P 7

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback