Beleid voor Informatieveiligheid (Information Security Policy) Version 2.1
14/03/2003
ISMS (Information Security Management System)
Beleid voor Informatieveiligheid (Information Security Policy)
P1
Beleid voor Informatieveiligheid (Information Security Policy) Version 2.1
14/03/2003
1 Definitie informatieveiligheid Informatie is een bedrijfsmiddel dat, zoals andere belangrijke bedrijfsmiddelen, een belangrijke waarde vertegenwoordigt en dus op geschikte wijze moet beschermd worden. Informatieveiligheid beschermt informatie tegen een brede waaier van bedreigingen om de continuïteit van de instelling te verzekeren, schade te beperken en maximaal bij te dragen tot de resultaten en opportuniteiten. Informatieveiligheid wordt gekenschetst als het verzekeren van vertrouwelijkheid (confidentiality), integriteit (integrity) en beschikbaarheid (availability) met betrekking tot de informatie. Bijkomend zal de informatieveiligheid middelen aanreiken om vervalste informatie te weerleggen en weerlegging van legitieme informatie onmogelijk te maken. In het KB van 1993 inzake de informatieveiligheid bij de Instellingen van de Sociale Zekerheid wordt informatieveiligheid gedefinieerd als het voorkomen en het vlug en doeltreffend herstellen van schade aan sociale gegevens en van onrechtmatige schendingen van de persoonlijke levenssfeer van de betrokkenen.
2 Doelstelling informatieveiligheid bij de Kruispuntbank van de Sociale Zekerheid De informatieveiligheid binnen de Kruispuntbank van de Sociale Zekerheid beoogt de instandhouding en de goede werking van de activiteiten van de Kruispuntbank van de Sociale Zekerheid, primair gericht op het voorkomen van schade, met het oog op de realisatie van de doelstellingen zoals geformuleerd in haar missie. Meer algemeen heeft ze bovendien als doelstelling het voorkomen van schade die kan worden toegebracht aan de goede werking van de informatiesystemen van de sociale zekerheid enerzijds en aan de persoonlijke levenssfeer van de betrokkenen anderzijds. Immers, de informatisering van de instellingen van Sociale Zekerheid en de toenemende samenwerking biedt enorme verbeteringen op het vlak van effectiviteit en efficiëntie maar tegelijkertijd worden nieuwe risico’s gelopen. De afzonderlijke instellingen van Sociale Zekerheid zijn niet langer op zichzelf staande informatieverwerkende eenheden, maar onderdelen van een samenhangende groep. Door de groeiende samenwerkingsverbanden wordt de kans op en omvang van gereflecteerde schade op andere systemen dan waar de basisschade zich voordoet, veel groter. De visie inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer wordt dan ook gemeenschappelijk vastgelegd. Een belangrijke verstoring van de informatieveiligheid bij de Kruispuntbank van de Sociale Zekerheid zal een negatieve impact hebben op de werking van de Sociale Zekerheid. Informatieveiligheid wordt bereikt door de implementatie van een reeks beleidsmaatregelen of controles (hardware en software functies, processen, procedures, organisatie structuren). Deze moeten uitgewerkt worden om de veiligheidsobjectieven van de organisatie in te vullen. Het veiligheidsbeleid moet steunen op een lagenmodel waar verschillende maatregelen complementair zijn. De veiligheid die kan bereikt worden met technische middelen is slechts één van de lagen. Deze middelen moeten aangevuld worden met een doeltreffend managementsysteem en de noodzakelijk processen. Cruciaal voor een goede informatie
P2
Beleid voor Informatieveiligheid (Information Security Policy) Version 2.1
14/03/2003
beveiliging is de deelname vanwege alle medewerkers in het bedrijf. Ook de bijdrage van leveranciers, klanten en bedrijfspartners is belangrijk. Het geïntegreerd systeem om tot een maximale informatie veiligheid te komen is een Information Security Management System (ISMS). De concrete maatregelen om tot een maximale informatieveiligheid te komen noemt men “beleidsmaatregelen” of “controles”.
2.1 Wettelijke verplichtingen en minimale veiligheidsnormen In het kader van de informatieveiligheid van de Sociale Zekerheid moet ook aan een aantal wettelijke verplichtingen en minimale normen voldaan worden. Deze bepalingen worden vermeld in bijlage 1 (eventueel aan te passen aan de instelling).
3 Algemene aanpak informatiebeveiliging bij de Kruispuntbank van de Sociale Zekerheid 3.1 Algemene aanpak informatieveiligheid Het ISMS wordt gebaseerd op de ISO 17799 norm. In dit kader wordt ernaar gestreefd om een gezond evenwicht te vinden tussen een aantal preventieve maatregelen (voorkomen van beveiligingsincidenten) en correctieve maatregelen (beperken van de negatieve gevolgen van incidenten).
P3
Beleid voor Informatieveiligheid (Information Security Policy) Version 2.1
14/03/2003
De algemene aanpak kan als volgt samengevat worden : 1. Herzie regelmatig het “Beleid voor Informatieveiligheid” en verspreid dit in de organisatie. De reikwijdte (scope) van het beleid moet vastgelegd worden in termen van organisatie, locatie en bedrijfsmiddelen .
1. Beleid Informatieveiligheid Definitie van de reikwijdte
2. Pas de beveiligingsorganisatie aan aan de evoluerende noden met duidelijke toewijzing van verantwoordelijkheden, taken en bevoegdheden.
2. Veiligheidsorganisatie
3. Definieer de beveiligingseisen voor de bedrijfsmiddelen binnen de reikwijdte van het beveiligingsbeleid, voer een inventarisatie uit en een risico analyse.
3. Beveiligingseisen - inventarisatie bedrijfsmiddelen – risico analyse
4. Selecteer en implementeer de veiligheidscontroles om de risico’s tegen te gaan. De kosten van beveiligingsmaatregelen moeten in balans zijn zowel met de waarde van het bedrijfsmiddel voor het bedrijf als met de schade die kan ontstaan uit een incident.
4. Selectie en implementatie controles
5. Planning voor continuïteit
5. De continuïteitsplanning richt zich op de voortzetting van de kritieke bedrijfsprocessen.
6 . Training en opleiding
6. Een opleidingsprogramma wordt voorzien om medewerkers te trainen in de veilige en zorgvuldige omgang met informatie en ICT1-systemen.
7. Documentatie en verklaring van toepasselijkheid
7. Het ISMS wordt volledig gedocumenteerd en een motivatie wordt gegeven voor de ISMS werkwijze (“Verklaring van toepasselijkheid”).
8 . Toezicht, audit, evaluatie en verbetering
8. Toezicht op de beveiligingsmaatregelen wordt aangevuld met interne en externe audit. Hieruit worden verbeteringsacties afgeleid.
1
ICT : information and communication technology
P4
Beleid voor Informatieveiligheid (Information Security Policy) Version 2.1
14/03/2003
4 “Beleid voor Informatieveiligheid” van de Kruispuntbank van de Sociale Zekerheid Inleiding Binnen een ISMS is het “Beleid voor Informatieveiligheid “ een belangrijk basisdocument. Hierin geeft de Directie van de Kruispuntbank van de Sociale Zekerheid de grondbeginselen aan van het informatieveiligheidsbeleid die door elke werknemer van het bedrijf moeten gerespecteerd worden. In de volgende paragrafen worden, zonder op de details in te gaan, de voornaamste beleidsmaatregelen vermeld die kaderen in het ISMS van de Kruispuntbank van de Sociale Zekerheid. Het is dan ook belangrijk dat elke werknemer de inhoud van dit document kent. De verschillende aspecten die vermeld worden in dit document zullen in specifieke beleidsdocumenten (“policies”) gedetailleerd worden. Bij de bescherming van een specifiek bedrijfsmiddel (zie voorgaande paragraaf) zal dit beleid ook gedetailleerd worden in functie van de specifieke bescherming die dit bedrijfsmiddel vereist. Dit document zal periodiek herzien worden, onder andere na evaluatie van het beleid naar aanleiding van belangrijke veiligheidsincidenten, nieuwe kwetsbaarheden of wijzigingen in de organisatorische of technische infrastructuur.( document verantwoordelijke : hoofd van de informatieveiligheidsdienst).
Reikwijdte (scope) • Het “Beleid voor Informatieveiligheid” is toepasselijk op alle ontwikkelde, operationeel gebruikte en te ontwikkelen informatiesystemen van alle vestigingen van de Kruispuntbank van de Sociale Zekerheid. • Het is toepasselijk op alle personeelsleden van de Kruispuntbank van de Sociale Zekerheid. • Het is toepasselijk op externe krachten die tijdelijk of voor onbepaalde duur bij de Kruispuntbank van de Sociale Zekerheid tewerkgesteld zijn (vb. onderaannemers, consultants, leveranciers, …). Aanvullende maatregelen kunnen toepasselijk zijn op personeelsleden die op semi-permanente basis afgevaardigd worden naar andere Instellingen van de Sociale Zekerheid
4.1 Beveiligingsorganisatie 4.1.1
Het beleid i.v.m. de beveiligingsorganisatie heeft als doelstelling het beheer van de informatiebeveiliging binnen de organisatie.
4.1.2
Deze beveiligingsorganisatie wordt gekaderd binnen de structuren zoals bepaald in de wetgeving i.v.m. de informatieveiligheid bij de Instellingen van de Sociale Zekerheid. Hierin speelt de informatieveiligheidsdienst een determinerende rol.
4.1.3
Het “Managementforum voor informatiebeveiliging” zorgt voor de sturing van het veiligheidsbeleid : herziening van het beleid, bijstelling van de beveiligingsmaatregelen, opstelling van beveiligingsplannen, de vaststelling van verantwoordelijkheden en het toezicht op veranderende bedreigingen en incidenten.
P5
Beleid voor Informatieveiligheid (Information Security Policy) Version 2.1
14/03/2003
Indien een zulkdanig forum niet bestaat, dient dit opgericht te worden. 4.1.4
Het incident response team (IRT) heeft de verantwoordelijkheid gepast te reageren op veiligheidsincidenten. Dit team draagt zorg voor het minimaliseren van de schade die wordt veroorzaakt door beveiligingsincidenten en storingen, het monitoren van dergelijke incidenten en het invoeren van verbeteringen op grond van de opgedane ervaringen. Indien een zulkdanig team niet bestaat, dient dit opgericht te worden.
4.1.5
In dit kader worden de verantwoordelijkheden voor informatiebeveiliging toegewezen.
4.1.6
Bijzondere aandacht wordt besteed aan de organisatorische aspecten van de samenwerking met derden (bijv. uitbesteding van taken). De veiligheidsaspecten van de samenwerking worden contractueel vastgelegd. Er dient ook gewezen te worden op de verplichting van informatie uitwisseling tussen de organisaties van de Sociale Zekerheid enerzijds en het extranet van de Sociale Zekerheid anderzijds.
4.1.7
In het kader van de fysieke beveiliging en de beveiliging van de omgeving dienen de informatieveiligheidsdienst en de dienst arbeidsveiligheid nauw met elkaar samen te werken.
4.2 Classificatie en beheer van bedrijfsmiddelen2 4.2.1
Het beleid i.v.m. classificatie en beheer van de bedrijfsmiddelen heeft als doelstelling het handhaven van een gepaste bescherming van deze bedrijfsmiddelen.
4.2.2
Rekening wordt gehouden met het feit dat, binnen de context van de Sociale Zekerheid, omgegaan wordt met vertrouwelijke gegevens. De behandeling van deze gegevens is onderworpen aan de wetgeving i.v.m. de persoonlijke levenssfeer met inbegrip van de wetgeving in verband met medische gegevens.
4.2.3
Overeenkomstig het classificatiesysteem worden de bedrijfsmiddelen gelabeld en worden maatregelen genomen om bedrijfsmiddelen in overeenstemming met hun classificatie te behandelen.
4.3 Medewerkers gerelateerde veiligheid (aan te passen specifieke regels instelling !!) 4.3.1
Dit beleid heeft als doelstelling het zo goed mogelijk benutten en op het vereiste niveau houden van de kennis en ervaring van de medewerkers ter bevordering van de beveiliging, alsmede het verminderen van de risico’s van al dan niet opzettelijk menselijk handelen.
4.3.2
Medewerkers moeten zich bewust zijn van de bedreigingen voor en het belang van informatiebeveiliging en moeten daartoe de juiste middelen, kennis en vaardigheden tot hun beschikking hebben.
4.3.3
Rekening wordt gehouden met het feit dat de medewerkers van de Kruispuntbank van de Sociale Zekerheid in verschillende locaties (gebouwen, werven, …) werken. In deze locaties kunnen specifieke veiligheidsmaatregelen van kracht zijn.
2
Bedrijfsmiddelen bestaan in deze context onder andere uit hardware, software en gegevens.
P6
Beleid voor Informatieveiligheid (Information Security Policy) Version 2.1
14/03/2003
4.3.4
Het personeelsbeleid draagt hiertoe bij, bijvoorbeeld door veiligheidsaspecten op te nemen in functiebeschrijvingen, door geheimhoudingsverklaringen, door opname in het arbeidsreglement of het arbeidscontract van de verantwoordelijkheid van de werknemer op het gebied van informatiebeveiliging, of door het beschrijven van gedragscodes.
4.3.5
Voor management functies of functies met toegang tot vertrouwelijke gegevens wordt de kandidaat gescreend op gebied van curriculum vitae en gerechtelijk verleden.
4.3.6
Elke medewerker heeft de plicht beveiligingsrisico’s en beveiligingsincidenten te melden.
4.3.7
Medewerkers worden gewezen op hun verantwoordelijkheid voor het handhaven van een effectieve toegangsbeveiliging, met name met betrekking tot het gebruik van wachtwoorden en beveiliging van gebruikersapparatuur.
4.3.8
Een bijzonder aandachtspunt, vooral bij helpdesk medewerkers (vb. contact center), zijn de “social engineering” technieken die als doel hebben door misleiding essentiële informatie (bijv. paswoorden) te weten te komen.
4.3.9
Medewerkers worden gewezen op de veiligheidsrisico’s die elektronische kantoorsystemen met zich meebrengen (vb. computers, mobiele computers, telefoons, mobiele telefoons, e-mail, post, voicemail, postdiensten, fax, …) : deze systemen houden een risico in voor de vertrouwelijkheid van bedrijfsgegevens.
4.3.10 Het gebruik van ICT bedrijfsmiddelen voor privé-doeleinden moet tot een strikt minimum beperkt blijven. Voorbeelden : • De toegang tot het internet mag niet gebruikt worden voor activiteiten die schade (vb. reputatie, goede werking, overtreding wetgeving, …) aan de Instelling kunnen toebrengen. • Het zenden van persoonlijk e-mails tijdens de werkuren moet tot een strikt minimum beperkt blijven. 4.3.11 Medewerkers worden gewezen op hun verantwoordelijkheid bij het gebruik van email: •
verantwoordelijkheid om de organisatie niet te compromitteren door het verzenden van ongepaste e-mails
•
alertheid bij het openen van e-mails en e-mail bijvoegsels.
4.3.12 Op apparatuur die direct aangesloten wordt op de infrastructuur van de instelling (vb. PCs) mag alleen software geïnstalleerd worden en configuraties ingesteld worden door de door de organisatie aangestelde bevoegde diensten. 4.3.13 Bij het verlaten van de dienst of bij wijziging van functie inhoud worden toegangsrechten en autorisaties zo vlug mogelijk ingetrokken en wordt fysiek materiaal gerecupereerd. 4.3.14 De schending van het beveiligingsbeleid en de beveiligingsprocedures van de organisatie wordt middels een formeel proces afgehandeld.
4.4 Fysieke beveiliging en beveiliging van de omgeving 4.4.1
Dit beleid heeft als doelstelling
P7
Beleid voor Informatieveiligheid (Information Security Policy) Version 2.1
14/03/2003
• het voorkomen van onbevoegde of onnodige fysieke toegang tot informatie en informatiesystemen, dit ter beperking van onbevoegde kennisneming, verminking of diefstal van informatie •
schade aan of hinderlijke storing van informatiesystemen te voorkomen.
4.4.2
Rekening moet gehouden worden met de situering (verspreide ligging, integratie van diensten in andere gebouwen, …) van de gebouwen die de Instellingen van de Sociale Zekerheid herbergen, hetgeen ook het risico op onbevoegde toegang verhoogt.
4.5 Operationeel beheer 4.5.1
Dit beleid heeft als doelstelling het garanderen van een correcte en veilige bediening en werking van ICT voorzieningen.
4.5.2
Er moet rekening gehouden worden met het feit dat, naarmate de zichtbaarheid van de elektronische toepassingen van de Sociale Zekerheid toeneemt, ook het risico op aanvallen op het systeem toeneemt.
4.5.3
Verantwoordelijkheden en procedures worden vastgelegd
•
voor het beheer en bediening van alle ICT voorzieningen
•
voor de controle op alle wijzigingen aan apparatuur, software en procedures
•
voor het behandelen van incidenten.
4.5.4
In die gevallen waar een veiligheidsrisco bestaat, wordt functiescheiding doorgevoerd om het risico te verminderen ten gevolge van nalatigheid of opzettelijk misbruik van systemen.
4.5.5
Voorzieningen voor ontwikkeling, test en productie worden gescheiden.
4.5.6
Voordat ICT voorzieningen de operationele fase ingaan, wordt nagegaan of de eisen (functioneel, beveiliging, …) ten op zichte van deze voorzieningen geïmplementeerd en getest werden.
4.5.7
Bij uitbesteding van ICT activiteiten naar een extern bedrijf, wordt extra aandacht besteed aan beveiligingsrisico’s. De beveiligingsaspecten worden contractueel behandeld.
4.5.8
Door gepaste capaciteitsplanning en acceptatieprocedures voor nieuwe en gewijzigde ICT systemen wordt het risico van systeemstoringen tot een minimum beperkt.
Ook wordt bijzondere aandacht besteed aan het risico op en het vermijden van de gevolgen van “Denial of Service (DoS)” aanvallen. 4.5.9
Met het oog op de bescherming van de integriteit van software en informatie, worden maatregelen genomen om kwaadaardige software te voorkomen, ontdekken en de eventuele gevolgen ervan zo veel mogelijk in te perken.
Met dit oog worden onder andere waarschuwingen door bevoegde instanties i.v.m. nieuwe bedreigingen opgevolgd en de noodzakelijke maatregelen genomen (o.a. software patches). Speciale aandacht wordt ook besteed aan de risico’s van het gebruik van internet en e-mail (bijlagen). 4.5.10 Volgens de betreffende veiligheidsvoorschriften dienen regelmatig back-ups te worden gemaakt van essentiële informatie en software om de integriteit en de beschikbaarheid van de diensten te handhaven.
P8
Beleid voor Informatieveiligheid (Information Security Policy) Version 2.1
14/03/2003
4.5.11 Speciale aandacht wordt besteed aan het handhaven van de beveiliging van informatie in netwerken (vb. Extranet van de Sociale Zekerheid) en de bescherming van de ondersteunende infrastructuur. Maximale maatregelen worden genomen bij het transport van gevoelige gegevens via openbare netwerken (vb. Internet). 4.5.12 Opslagmedia worden beveiligd tegen schade, diefstal en ongeoorloofde toegang. 4.5.13 Met het oog op de naleving van de wettelijke bepalingen op de bewaring en het gebruik van gearchiveerde gegevens, moet bij elke evolutie van de informatica infrastructuur en het informatiesysteem nagegaan worden of de gearchiveerde gegevens, de opslagmedia en de noodzakelijke applicaties nodig voor hun exploitatie, op elkaar afgestemd blijven. 4.5.14 Maatregelen worden genomen om te voorkomen dat informatie die wordt uitgewisseld met andere organisaties ( in het bijzonder met organisaties van de Sociale Zekerheid) verloren gaat, gewijzigd of misbruikt wordt. 4.5.15 Aandacht wordt besteed aan het beschermen van de integriteit van informatie op publiek toegankelijke systemen (zoals webservers) om ongeoorloofde wijzigingen te voorkomen die de reputatie van de Kruispuntbank van de Sociale Zekerheid of één van de organisaties van de Sociale Zekerheid zouden kunnen schaden (vb. “web defacement”).
4.6 Logische toegangsbeveiliging 4.6.1
De doelstelling van dit beleid is het beheersen van toegang tot informatie en bedrijfsprocessen op grond van zakelijke behoeften en beveiligingseisen.
4.6.2
Rekening wordt gehouden met het feit dat, binnen de context van de Sociale Zekerheid, omgegaan wordt met vertrouwelijke gegevens en dat de beperking van toegang tot informatie en bedrijfsprocessen van primordiaal belang is.
4.6.3
Zakelijke eisen voor toegangsbeveiliging worden gedefinieerd en gedocumenteerd.
4.6.4
Formele procedures worden vastgelegd om alle fases in de levenscyclus van een autorisatie te beheren (invoer, controle, afmelden).
4.6.5
De toewijzing en het gebruik van speciale, kritieke bevoegdheden (vb. toegang tot besturingssysteem of database systeem ) worden beperkt en gecontroleerd.
4.6.6
Wachtwoorden worden beheerd aan de hand van een formeel proces.
4.6.7
Wachtwoorden worden nooit in onbeveiligde vorm in een systeem opgeslagen.
4.6.8
Gebruikers worden gewezen op hun verantwoordelijkheid voor het handhaven van een effectieve toegangsbeveiliging, met name met betrekking tot het gebruik van wachtwoorden en beveiliging van gebruikersapparatuur.
4.6.9
Toegang via netwerken tot interne en externe netwerkdiensten wordt op afdoende manier beschermd.
Ook wordt voldoende aandacht besteed aan de beveiliging van technische diagnosepoorten op afstand. 4.6.10 Specifieke maatregelen worden uitgewerkt voor : •
de toegangsbeveiliging voor besturingssystemen
•
de toegangsbeveiliging voor toepassingen.
4.6.11 Toegang tot en gebruik van systemen wordt gemonitord om afwijkingen van het toegangsbeleid of anomalieën te detecteren.
P9
Beleid voor Informatieveiligheid (Information Security Policy) Version 2.1
14/03/2003
4.6.12 Voor het gebruik van mobiele computers en voorzieningen voor telewerken dient een beveiligingsstrategie gedefinieerd te worden in overeenstemming met de risico’s verbonden aan deze manier van werken.
4.7 Ontwikkeling en onderhoud van systemen 4.7.1
De doelstelling van dit beleid is het borgen dat de gebruikte systemen de vereiste beveiliging bieden gedurende de volledige levenscyclus.
4.7.2
In de eisen ten aanzien van nieuwe systemen of uitbreidingen van bestaande systemen dienen tevens de beveiligingseisen gespecifieerd te worden. In samenwerking met de informatieveiligheidsdienst wordt hiervoor een procedure opgesteld.
4.7.3
De ontwikkeling wordt gebaseerd op een proces dat de veiligheidsvereisten oplegt.
4.7.4
Bijzondere aandacht wordt besteed aan de uitwerking van documentatie bij de ontwikkeling van nieuwe en het onderhoud van bestaande systemen.
4.7.5
Bij de ontwikkeling van toepassingssystemen dient bijzondere aandacht besteed te worden aan de validatie van invoergegevens, de beveiliging van interne verwerking en de validatie van uitvoergegevens. Audit trails dienen ingebouwd te worden.
4.7.6
Maximale maatregelen worden genomen om te vermijden dat geheime communicatiekanalen in systemen verborgen worden.
4.7.7
Bij de ontwikkeling van toepassingssystemen wordt rekening gehouden met gekende zwakke punten op gebied van veiligheid, eigen aan programmeertalen.
Het nazicht van software door andere partijen dan de ontwikkelaars is een methode om deze risico’s in te perken. 4.7.8
Het beschermen van de vertrouwelijkheid, de authenticiteit en de integriteit van de informatie steunt op gepaste cryptografische beveiligingsmaatregelen (versleuteling, digitale handtekening, …). Hierbij wordt bijzondere aandacht besteed aan de bescherming van cryptografische sleutels.
Waar nodig ondersteunen deze technieken ook de onweerlegbaarheid van de gegevens. 4.7.9
De integriteit van informaticasystemen wordt gewaarborgd door een goed beheer van de software op operationele systemen en de toegangsbeveiliging voor softwarebibliotheken.
4.7.10 Formele procedures voor het beheer van wijzigingen worden gebruikt om de kans op verminking van informatiesystemen tot een minimum te beperken. In het bijzonder worden nieuwe versies van besturingssystemen met de nodige omzichtigheid benaderd. 4.7.11 Veiligheidsmaatregelen worden genomen bij het uitbesteden van software ontwikkeling. Softwarepakketten geleverd door derden dienen zo veel mogelijk ongewijzigd gebruikt te worden. 4.7.12 De vertrouwelijkheid van testgegevens moet op hetzelfde niveau gegarandeerd worden als operationele gegevens.
P 10
Beleid voor Informatieveiligheid (Information Security Policy) Version 2.1
14/03/2003
4.8 Continuïteitsbeheer 4.8.1
Het beleid i.v.m. continuïteitsbeheer heeft als doelstelling te kunnen reageren op verstoring van bedrijfsactiviteiten en het beschermen van kritieke bedrijfsprocessen in geval van grootschalige incidenten. Een belangrijke verstoring van de operationele activiteiten van de Kruispuntbank van de Sociale Zekerheid zou een negatieve impact hebben op de werking van de Sociale Zekerheid in België.
4.8.2
Continuïteitsbeheer is een gedocumenteerd proces dat, gebaseerd op risico analyses, een combinatie van preventieve en correctieve maatregelen bevat.
4.8.3
Continuïteitsplannen worden ontwikkeld om te waarborgen dat bedrijfsprocessen binnen gestelde tijdslimieten hersteld kunnen worden.
4.8.4
Deze plannen worden periodiek getest, wat aanleiding moet geven tot regelmatige bijsturing van deze plannen. Indien van toepassing, worden deze plannen getest in nauwe samenwerking met het extranet van de Sociale Zekerheid.
4.9 Naleving 4.9.1
De Kruispuntbank van de Sociale Zekerheid zal de wettelijke (bijlage 1) en contractuele beveiligingseisen naleven waaraan de gebruikte informatiesystemen onderworpen zijn.
4.9.2
De toestand van het niveau van de beveiliging van de informatiesystemen (inclusief de herziening en de opvolging van de procedures) wordt regelmatig geëvalueerd op basis van het desbetreffende beleid. Dit zal gebeuren door interne begeleiding, interne controle, interne audit en/of een externe audit.
4.9.3
De controle op de toepassing van het ISMS zal mogelijk worden gemaakt met ICT hulpmiddelen die ter beschikking gesteld worden van interne en externe auditeurs.
5 Afkortingen ICT : information and communication technology IRT : incident response team ISMS : Information Security Management System : het geïntegreerde systeem om tot informatiebeveiliging te komen.
6 Referenties 1. ISO/IEC 17799:2000 Information technology -- Code of practice for information security management
P 11
Beleid voor Informatieveiligheid (Information Security Policy) Version 2.1
14/03/2003
7 Bijlage 1 : wetgeving in verband met informatieveiligheid Deze wetgeving evolueert regelmatig, gelieve voor de laatste status de site van de KSZ te raadplegen (http://ksz-bcss.fgov.be/nl/legislation/legislat_home.htm).
Wetgeving specifiek voor de Sociale Zekerheid
!
Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid
!
Koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid
!
!
Belgisch Staatsblad van 21 augustus 1993
!
Gewijzigd bij het koninklijk besluit van 8 oktober 1998 (Belgisch Staatsblad van 24 december 1998)]
Minimale veiligheidsnormen die moeten nageleefd worden door de Sociale Instellingen met het oog op hun aansluiting op het netwerk van de Kruispuntbank van de Sociale Zekerheid.
Telecommunicatiebeveiliging !
Wet van 30 juni 1994 ter bescherming van de persoonlijke levenssfeer tegen het afluisteren, kennis nemen en openen van privé communicatie en telecommunicatie
Persoonlijke levenssfeer !
Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens
!
Wet van 8 augustus 1983 tot regeling van een rijksregister van de natuurlijke personen
!
Wet van 30 juni 1994 ter bescherming van de persoonlijke levenssfeer tegen het afluisteren, kennis nemen en openen van privé- en telecommunicatie
!
Wet van 31 maart 1991 betreffende de hervorming van sommige economische overheidsbedrijven
!
Koninklijk besluit van 4 februari 1997 tot organisatie van de mededeling van sociale gegevens van persoonlijke aard tussen instellingen van sociale zekerheid
P 12
Beleid voor Informatieveiligheid (Information Security Policy) Version 2.1
14/03/2003
Informaticafraude !
Wet van 28 november 2000 inzake informaticacriminaliteit
Bescherming computerprogramma’s !
Wet van 30 juni 1994 betreffende het auteursrecht en de naburige rechten
!
Wet van 30 juni 1994 houdende omzetting in Belgisch recht van de Europese richtlijn van 14 mei 1991 betreffende de rechtsbescherming van computerprogramma’s
Databanken !
Wet van 31 augustus 1998 houdende omzetting in Belgisch recht van de Europese richtlijn van 11 maart 1996 betreffende de rechtsbescherming van databanken
Elektronische handelscommunicatie !
Richtlijn 2001/29/EG Europees Parlement en de Raad 22 mei 2001 betreffende de harmonisatie van bepaalde aspecten van het auteursrecht en naburige rechten in de informatiemaatschappij
!
Wet van 9 juli 2001 houdende vaststelling van bepaalde regels in verband met het juridisch kader voor elektronische handtekeningen en certificaatdiensten
Bescherming van halfgeleider producten !
Wet van 10 januari 1990 betreffende de rechtsbescherming van topografieën van halfgeleiderprodukten
Sociaal recht • CAO nr. 81 tot bescherming van de persoonlijke levenssfeer van de werknemers tegenover de controle op de elektronische online communicatiegegevens
Wetgeving van komend recht • Wetsontwerp met betrekking tot het statuut van de regulator van de Belgische post en telecommunicatiesector (doc. 50-1937-001)
P 13