BELEIDSVERKLARING voor INFORMATIEVEILIGHEID binnen de vrije gesubsidieerde Centra voor Leerlingenbegeleiding. (information security policy) 17 december 2008
Beleidsverklaring Informatieveiligheid Vrije Gesubsidieerde CLB – RvB VCLB vzw 17 dec. 2008
Pagina 1
1
Inleiding
Dit document beschrijft het beleid voor informatieveiligheid (doelstellingen en algemene organisatie van de veiligheid ) ter ondersteuning van de Centra voor leerlingenbegeleiding van het gesubsidieerd vrij onderwijs. Het informatieveiligheidsbeleid is van toepassing op de informatiesystemen die rechtstreeks door de betrokken CLB’s beheerd worden en op de systemen die door de leveranciers en hun eventuele onderaannemers worden beheerd. De naleving van de in dit document beschreven principes vormt een voorwaarde om zich toegang tot de informatie te verschaffen (informatica en andere), zowel voor het statutaire en contractuele personeel als voor de werknemers gebonden door een ander statuut (leveranciers, externe partners, consultanten, …). Wanneer het gaat over informatie, is het duidelijk dat tegenwoordig geen enkele organisatie in een vacuüm werkt. Meer nog dan vroeger wordt informatie voortdurend uitgewisseld. De toenemende integratie van de verwerkingen binnen de front-office en back-office applicaties via computernetwerken, en het toenemend gebruik van elektronische hulpmiddelen voor interpersoonlijke samenwerking zorgen voor een constante informatiestroom, waardoor gegevens aan een aantal nieuwe risico’s worden blootgesteld. In de media verschijnen geregeld berichten over vertrouwelijke informatie die verloren is gegaan of die openbaar werd gemaakt. Vooral de toegenomen mobiliteit van data door middel van mobiele dragers als USB memory sticks, PDA’s en laptops brengen grotere risico’s met zich mee. Ook telewerken, van thuis uit of vanuit een andere locatie, vraagt om extra aandacht wat betreft beveiliging. Het is voor de vrije CLB’s dan ook van het grootste belang dat het zijn visie op beveiliging duidelijk omschrijft, zoals o.a. bijvoorbeeld wie toegang heeft tot welke data en welke beveiligingsmaatregelen daarvoor genomen moeten worden. Een informatieveiligheidsbeleid ondersteunt de werking van een organisatie. Omdat informatie meer en meer gedigitaliseerd is, wordt de scope vaak toegespitst op het IT-beleid. De scope van het informatieveiligheidsbeleid binnen de gesubsidieerde vrije CLB’s is breder dan het louter InformatieTechnologische aspect. Het veiligheidsbeleid is onafhankelijk van de toegepaste technologie en de aard van de informatie. We streven naar een geïntegreerde aanpak, met als resultaat dat de risico’s voor informatiebronnen en -systemen geminimaliseerd worden tot een aanvaardbaar niveau, evenredig met het belang van de ondersteunde activiteiten. Eventuele inbreuken moeten steeds gedetecteerd kunnen worden, liefst onmiddellijk zo niet achteraf. Schadebeperkende maatregelen dienen voorts de gevolgen te beperken. Dit alles kan enkel bekomen worden door het implementeren van duidelijke regels, standaarden en procedures. Het informatieveiligheidsbeleid wordt gekenmerkt door het garanderen van de vertrouwelijkheid, de integriteit en de beschikbaarheid van de informatie.
Beleidsverklaring Informatieveiligheid Vrije Gesubsidieerde CLB – RvB VCLB vzw 17 dec. 2008
Pagina 2
Volgende aspecten binnen het informatieveiligheidsbeleid spelen daarbij een belangrijke rol: Veiligheidscultuur: een ICT-veiligheidscultuur is meer dan het implementeren van technische oplossingen. Zij steunt vooral op het bewust maken van alle personeelsleden zodat zij het beleid begrijpen, steunen en toepassen. Risicoverlaging: de kans op incidenten volledig uitsluiten is onmogelijk, maar een significante risicoverlaging tot een aanvaardbaar niveau wordt nagestreefd. Er wordt gestreefd naar een evenwicht tussen de grootte en impact van het risico, de werkbaarheid van de maatregel en de kosten voor beveiliging. Wet- en regelgeving: algemene en specifieke wet- en regelgeving leggen de CLB’s verplichtingen op op het gebied van rechtspositie, deontologie en informatiestromen (inhoud en overdrachten van dossiers). Uniformiteit in beveiliging: binnen de CLB’s zijn informatiesystemen niet langer geïsoleerd. Er wordt gebruik gemaakt van een centrale netoverstijgende applicaties (LARS ) en er zijn connecties naar de buitenwereld en andere systemen (Vaccinnet,…). De verandering in informaticasystemen is daardoor proportioneel toegenomen, terwijl de beschikbare tijd voor ontwikkeling en verandering afneemt. Uniformiteit in beveiliging moet daarom beheer en gebruik vereenvoudigen.
2
Doelstelling, visie, aanpak en scope
2.1. Doelstelling Informatieveiligheid binnen de gesubsidieerde vrije CLB’s beoogt de instandhouding en de goede werking van hun activiteiten, primair gericht op het voorkomen van schade, met het oog op de realisatie van de doelstellingen zoals geformuleerd in het decreet CLB. Om dit te bewerkstelligen dienen de kansen op inbreuken op de authenticiteit, de integriteit, de confidentialiteit en de beschikbaarheid van de informatie(bronnen) en ICT systemen tot een minimum herleid te worden. Meer algemeen beoogt het informatieveiligheidsbeleid ook het voorkomen van schade die enerzijds kan worden toegebracht aan de goede werking van de informatiesystemen die door de gesubsidieerde vrije CLB’s rechtstreeks of door haar dienstleveranciers onrechtstreeks worden beheerd, en aan de persoonlijke levenssfeer van de betrokkenen anderzijds. Concreet wordt dit bereikt door de implementatie van een reeks beleidsmaatregelen of controles (hardware- en softwarefuncties, processen, procedures, organisatiestructuren). Deze moeten uitgewerkt worden om de veiligheidsobjectieven van de respectievelijke CLB’s in te vullen. Bij het realiseren van deze doelstellingen houden we rekening met: Alle wettelijke bepalingen die relevant zijn voor informatieveiligheid, zoals de privacywetgeving, de wettelijke bepalingen van toepassing op de sector CLB en wetgeving op computercriminaliteit. Alle voorschriften en eisen die derden ons opleggen betreffende uitwisseling van informatie, zoals de normen opgelegd door de Commissie voor de bescherming van de persoonlijke levenssfeer.
Beleidsverklaring Informatieveiligheid Vrije Gesubsidieerde CLB – RvB VCLB vzw 17 dec. 2008
Pagina 3
2.2. Visie Het Informatieveiligheidsbeleid moet steunen op een lagenmodel waar verschillende maatregelen complementair zijn. De veiligheid die kan bereikt worden met technische middelen is slechts één van de lagen. Deze middelen moeten aangevuld worden met een doeltreffend managementsysteem en de uitwerking en de formalisering van de noodzakelijke processen en procedures. Cruciaal voor een goede informatiebeveiliging is de deelname vanwege alle personeelsleden. Ook de bijdrage van de leveranciers, consultanten en externe partners mag niet onderschat worden. Aan de medewerkers van de centra wordt niet alleen gevraagd om zelf bijzondere aandacht te schenken aan de privacywetgeving en het beroepsgeheim waardoor ze allen gebonden zijn, maar ook om alle derden actief te motiveren om mee te werken aan de informatieveiligheid van de centra. Anderzijds mogen de centra niet uit het oog verliezen dat zij in de eerste plaats ten dienste staan van leerlingen, ouders en scholen: dit vergt een laagdrempelige werking gepaard met een kwaliteitsvol dienstverleningsaanbod.
2.3. Aanpak Het verwezenlijken van een efficiënte informatiebeveiliging is een steeds evoluerend proces welke constant geëvalueerd en bijgestuurd dient te worden. Het informatieveiligheidsbeleid van de gesubsidieerde vrije centra is gebaseerd op de richtlijnen zoals omschreven in de internationale ISO 27002 norm1. In dit kader wordt gepoogd om een objectief evenwicht te vinden tussen preventieve maatregelen (preventie van veiligheidsincidenten), repressieve maatregelen (beperking van de negatieve gevolgen van incidenten) en correctiemaatregelen. De gesubsidieerde vrije centra beschikken over een centrale consulent inzake veiligheidsbeleid. Deze zal, in overleg met de lokale veiligheidsmedewerker(s), instaan voor ondersteuning van de uitbouw en de opvolging van het lokale veiligheidsbeleid in de gesubsidieerde vrije centra aangesloten bij de koepelorganisatie VCLB vzw. Het document “Concretisering van het informatieveiligheidsbeleid’ vormt de leidraad voor een gedetailleerde beschrijving van de werking van het lokale informatieveiligheidsbeleid.
2.4. Scope Het “Beleid voor Informatieveiligheid” is toepasselijk op alle ontwikkelde, operationeel gebruikte en nog te ontwikkelen informatiesystemen van alle vestigingen van de vrije gesubsidieerde centra voor leerlingenbegeleiding.
1
ISO 27002 is een internationaal erkende standaard (naamsverandering sinds april 2007 – voorheen gekend als ISO 17799) die praktische maatregelen op het vlak van informatiebeveiliging formuleert. De 10 hoofdstukken, 36 doelstellingen, 127 paragrafen en ruim 1.400 concrete maatregelen vormen een nuttige controlelijst die ervoor zorgt dat organisaties geen enkel aspect van IT-beveiliging uit het oog verliezen. ISO 27002 is geen strikt te volgen norm met certificeringsmogelijkheden maar wel een goede richtlijn. Beleidsverklaring Informatieveiligheid Vrije Gesubsidieerde CLB – RvB VCLB vzw 17 dec. 2008
Pagina 4
Het is toepasselijk op alle personeelsleden van de voornoemde centra, ook zij die onbezoldigd en/of op vrijwillige basis meewerken aan de realisatie van de CLB-opdrachten en ook op de leden van het inrichtend bestuur. Het is tevens toepasselijk op externe medewerkers die tijdelijk of voor onbepaalde duur in een CLB tewerkgesteld worden, ongeacht of zij door het CLB bezoldigd worden en of zij al dan niet hiërarchisch ondergeschikt zijn aan het IB van het CLB.
3
Beleid voor informatieveiligheid
In de volgende paragrafen worden de voornaamste beleidsmaatregelen vermeld die toepasselijk zijn in het ISMS (Information Security Management System) van de gesubsidieerde vrije centra. Het betreft de grondbeginselen van de beveiliging van de informatie die nageleefd moeten worden door alle medewerkers. Het is dan ook belangrijk dat elke medewerker de inhoud van dit document kent.
3.1 Organisatie van de veiligheid Het beleid i.v.m. de beveiligingsorganisatie heeft als doelstelling het beheer van de informatiebeveiliging binnen de gesubsidieerde vrije centra aangesloten bij de koepelorganisatie VCLB vzw De beveiligingsorganisatie wordt gekaderd binnen de structuren zoals bepaald in punt 2.4. De gesubsidieerde vrije centra kunnen beroep doen op een centrale veiligheidsconsulent. In samenspraak met de lokale veiligheidsmedewerker(s) op de plaatselijke CLB’s zal hij ondersteuning bieden bij de concretisering van het lokale informatieveiligheidsplan, de opvolging, de systematische evaluatie en de nodige bijsturingen. De hiërarchische verantwoordelijkheid voor de sturing van het lokale veiligheidsbeleid behoort tot de bevoegdheid van de plaatselijke directeur. Hieronder zijn o.a. begrepen : herziening van het beleid, opmaak van beveiligingsplannen, bijstelling van de veiligheidsmaatregelen, het vastleggen van rollen en verantwoordelijkheden en toezicht op veranderde bedreigingen en incidenten. I.f.v. de toegewezen rollen en verantwoordelijkheden dienen de aangestelden op gepaste wijze te reageren op veiligheidsincidenten en storingen en deze ook in een register te noteren. De opgedane ervaringen vormen de grondslag voor het aanbrengen van verbeteringen. Er wordt bijzondere aandacht besteed aan de organisatorische aspecten van de samenwerking met derden (bijv. uitbesteding van softwareontwikkeling, onderzoek…). De veiligheidsaspecten van de samenwerking worden contractueel vastgelegd.
3.2 Classificatie en beheer van de resources De resources bestaan in deze context hoofdzakelijk uit hardware, software en gegevens. Het beleid betreffende de classificatie en het beheer van de resources is bedoeld om blijvend een adequate bescherming van deze resources te verzekeren. Er wordt rekening gehouden met het feit dat binnen de gesubsidieerde vrije centra wordt omgegaan met vertrouwelijke gegevens. De verwerking van deze gegevens is onderworpen aan de wetgeving i.v.m. de bescherming van de persoonlijke levenssfeer en aan de vigerende specifieke sectorale regelgeving. Beleidsverklaring Informatieveiligheid Vrije Gesubsidieerde CLB – RvB VCLB vzw 17 dec. 2008
Pagina 5
De classificatie van de bedrijfsmiddelen volgens hun gevoeligheid vereenvoudigt de omschrijving van de gepaste veiligheidsmaatregelen. De informaticabedrijfsmiddelen worden geïnventariseerd en de ‘functionele eigenaars’ worden aangeduid. Deze zijn verantwoordelijk voor de bescherming van ‘hun’ bedrijfsmiddelen.
3.3 Medewerkers gerelateerde veiligheid Dit beleid is bedoeld om de kennis en de ervaring van de medewerkers zo goed mogelijk te benuttten en deze ook op het vereiste niveau te behouden ter bevordering van de veiligheid en ter minimalisering van de risico’s te wijten aan een al dan niet opzettelijk menselijk falen. Medewerkers moeten zich bewust zijn van de bedreigingen en het belang van informatiebeveiliging en moeten daartoe de juiste middelen, kennis en vaardigheden tot hun beschikking hebben. Er wordt rekening gehouden met het feit dat medewerkers van de gesubsidieerde vrije CLB’s op verschillende locaties werken. (Op elk van deze locaties kunnen specifieke veiligheidsmaatregelen van kracht zijn). Het personeelsbeleid draagt actief bij aan de verhoging van het bewustzijn van de noodzaak van informatieveiligheid. Dit kan gerealiseerd worden door bijvoorbeeld het opnemen van veiligheidsaspecten in functiebeschrijvingen en in het arbeidsreglement en/of arbeidscontract, door de medewerkers op regelmatige wijze te onderrichten over de geldende veiligheidsmaatregelen en hen te wijzen op hun verantwoordelijkheid. Meer specifiek worden alle gebruikers geïnformeerd over hun beveiligingsplichten: de verplichtingen inzake omgang met vertrouwelijke gegevens, de na te leven procedures bij vaststelling van een veiligheidsprobleem, en over de eventuele disciplinaire sancties en procedures die bij tekortkomingen worden toegepast. Elke medewerker heeft de plicht beveiligingsrisico’s en beveiligingsincidenten te melden. Medewerkers worden gewezen op hun verantwoordelijkheid voor het handhaven van een effectieve toegangsbeveiliging, met name met betrekking tot het gebruik van wachtwoorden en beveiliging van gebruikersapparatuur. Een bijzonder aandachtspunt betreft het bewust maken van de medewerkers voor “social engineering” technieken die tot doel hebben door misleiding essentiële informatie (bijv. paswoorden) te weten te komen. Medewerkers worden gewezen op de veiligheidsrisico’s die mobiele communicatiemiddelen met zich meebrengen (bijv. laptops, externe gegevensopslagmedia, smart- en andere mobiele telefoons of pda’s, …). Deze systemen houden een risico in voor de vertrouwelijkheid van bedrijfsgegevens. Het gebruik van ICT bedrijfsmiddelen voor privé-doeleinden moet tot een strikt minimum beperkt blijven. Hiertoe worden de nodige gedragscodes binnen het personeelsbeleid voorzien. Toegang tot het internet mag niet gebruikt worden voor activiteiten die schade (bijv. reputatie, goede werking,…) kunnen toebrengen aan de gesubsidieerde vrije centra. Bepalingen omtrent het gebruik van internet en e-mail wordt opgenomen in het arbeidsreglement. Bijkomende software op apparatuur van de gesubsidieerde vrije centra (bijv. pc’s) kan enkel geïnstalleerd worden door aangestelde verantwoordelijken. Beleidsverklaring Informatieveiligheid Vrije Gesubsidieerde CLB – RvB VCLB vzw 17 dec. 2008
Pagina 6
Bij het verlaten van de dienst of bij wijziging van functie worden toegangsrechten en autorisaties zo vlug mogelijk ingetrokken en wordt fysiek materiaal gerecupereerd. De schending van het beveiligingsbeleid en de beveiligingsprocedures wordt middels een formeel proces afgehandeld.
3.4 Fysieke beveiliging en beveiliging van de omgeving -
Dit beleid is bedoeld om onbevoegde of onnodige fysieke toegang tot de informatie en informatiesystemen te voorkomen. Het voorkomen of alleszins beperken van onbevoegde kennisname, verminking of diefstal van informatie, schade aan of storing van informatiesystemen is hierbij de drijfveer.
-
Bij de opmaak van richtlijnen aangaande fysieke beveiliging wordt rekening gehouden met de situering (verspreide ligging, integratie diensten in andere gebouwen,…) en de indeling van de gebouwen, hetgeen de risico’s op onbevoegde toegang verhoogt.. De gevoelige systemen worden in beschermde zones opgesteld: veiligheidsperimeter, toegangscontrole, bescherming tegen fysieke risico’s (bijv. brand, waterschade, stof, straling, …). De ondersteunende voorzieningen (elektrische voeding, bekabeling, …) en afstandsvoorzieningen zullen op gepaste wijze worden beveiligd. Er worden procedures getroffen om het verlies of de diefstal van uitrustingen of van informatiedragers te verhinderen. De lokale veiligheidsmedewerker en de verantwoordelijke voor arbeidsveiligheid (bij TBE: de lokale preventiemedewerker) werken nauw samen in het kader van de fysieke beveiliging en de beveiliging van de omgeving.
3.5 Logische toegangsbeveiliging Dit beleid beoogt de toegang tot de informatie en de bedrijfsprocessen beheersbaar te maken en ongeoorloofde toegang tot vertrouwelijke of instellingskritische gegevens te vermijden. Het beleid houdt rekening met het feit dat, binnen de werking van de gesubsidieerde vrije centra, wordt omgegaan met vertrouwelijke gegevens en dat de beperking van toegang tot informatie en processen van primordiaal belang is. De toegangsbeveiliging worden geconcretiseerd op basis van de vigerende regelgeving die van toepassing is op de sector CLB. Er worden formele procedures bepaald voor de beheersing van alle fases van de levenscyclus van een machtiging (invoering, controle, annulering). Bij functiewijziging of vertrek van een gebruiker worden zijn toegangsrechten aangepast of opgeheven. -
De toewijzing en het gebruik van speciale, kritieke bevoegdheden (bijv. toegang tot besturingssysteem of database systeem) worden beperkt en gecontroleerd.
-
Wachtwoorden worden beheerd op basis van een formeel proces.
-
Wachtwoorden worden nooit in onbeveiligde vorm opgeslagen in het systeem.
Beleidsverklaring Informatieveiligheid Vrije Gesubsidieerde CLB – RvB VCLB vzw 17 dec. 2008
Pagina 7
Toegang tot en gebruik van informatiesystemen worden gemonitord om afwijkingen van het toegangsbeleid of anomalieën te detecteren. Voor het gebruik van draagbare computers en de organisatie van telewerk moet een beveiligingsstrategie bepaald worden die rekening houdt met de risico’s die gepaard gaan met deze manier van werken. Het geheel van toegangsrechten wordt opgenomen in een gebruikersprofiel dat toegewezen wordt door een formele procedure.
3.6 Operationeel beheer (exploitatie) Dit beleid beoogt het garanderen een correcte en veilige bediening en werking van de geëxploiteerde ICT services. Er moet rekening gehouden worden met het feit dat, naarmate de zichtbaarheid van de elektronische e-government toepassingen toeneemt, ook de kans op aanvallen op het systeem toeneemt. Er worden verantwoordelijkheden en procedures bepaald: o
voor het beheer en de bediening van alle ICT voorzieningen;
o
voor de controle van alle wijzigingen aan apparatuur, software en procedures;
o
voor het behandelen van incidenten.
In die gevallen waar een veiligheidsrisico bestaat, wordt een functiescheiding doorgevoerd om het risico van een tekortkoming of een opzettelijk misbruik van systemen te verminderen. Vooraleer ICT-middelen in de operationale fase treden, wordt nagegaan of de eisen (functionaliteit, beveiliging, …) ten opzichte van deze middelen geïmplementeerd en getest werden. Bij uitbesteding van ICT activiteiten naar een extern bedrijf, wordt extra aandacht besteed aan de beveiligingsrisico’s. De beveiligingsaspecten worden contractueel vastgelegd. De systemen voor ontwikkeling, test en operationele exploitatie/productie worden gescheiden. De installatie van nieuwe systemen (of van nieuwe versies van systemen) wordt onderworpen aan acceptatiecriteria (met betrekking tot de performantie, de continuïteit, de dekking van de test, de opleiding, de veiligheid, …). Door een gepaste capaciteitsplanning en adequate acceptatieprocedures voor nieuwe en gewijzigde ICT systemen, wordt het risico van systeemstoringen tot een minimum beperkt. Met het oog op de bescherming van de integriteit van software en informatie, worden maatregelen genomen om kwaadaardige software te voorkomen én op te sporen, met het oog op een optimale inperking van de mogelijke gevolgen. Waarschuwingen door bevoegde instanties i.v.m. nieuwe bedreigingen worden opgevolgd en de noodzakelijke maatregelen worden getroffen (o.a. softwarepatches). Speciale aandacht wordt ook besteed aan de risico’s van het gebruik van internet en e-mail (bijlagen). Volgens de betreffende veiligheidsvoorschriften dienen regelmatig back-ups te worden gemaakt van essentiële informatie en software om de integriteit en de beschikbaarheid van de diensten te handhaven. Beleidsverklaring Informatieveiligheid Vrije Gesubsidieerde CLB – RvB VCLB vzw 17 dec. 2008
Pagina 8
Er wordt bijzondere aandacht besteed aan het handhaven van de beveiliging van de informatie in netwerken en aan de bescherming van de onderliggende infrastructuur. Maximale maatregelen worden genomen bij het transporteren van gevoelige gegevens via openbare netwerken. Opslagmedia worden beveiligd tegen schade, diefstal en ongeoorloofde toegang. Overeenkomstig de wettelijke bepalingen voor de bewaring en het gebruik van gearchiveerde gegevens, vereist elke evolutie van de informatica-infrastructuur en het informatiesysteem een verificatie van de afstemming van de gearchiveerde gegevens, de opslagmedia en de noodzakelijke applicaties nodig voor hun exploitatie. Er worden maatregelen getroffen om het verlies, de wijziging of de diefstal te vermijden van informatie die wordt uitgewisseld met andere organisaties. De vigerende wettelijke bepalingen en expliciete akkoorden worden opgevolgd. Fysieke dragers die eventueel tussen de organisaties worden uitgewisseld, worden beschermd. Er wordt aandacht besteed aan de bescherming van de integriteit van de informatie op de systemen die toegankelijk zijn voor het grote publiek (bijv. website), om te vermijden dat nietgemachtigde personen zich toegang zouden verschaffen tot de informatie en ten onrechte wijzigingen zouden aanbrengen die schade zouden toebrengen aan de reputatie van de gesubsidieerde vrije centra. Het algemeen gebruik van kantoorsystemen (e-mail, voicemail, fax, mobilofoons, draagbare systemen, navigatie op het internet, …) wordt vastgelegd in het huishoudelijk reglement van het centrum of in een gebruikersreglement. Defecte fysieke dragers worden gewist of vernietigd voor ze de centra verlaten. Er dient waakzaam opgetreden ten aanzien van de juridische gevolgen van de publicatie en de verzameling van informatie.
3.7 Ontwikkeling en onderhoud van systemen Dit beleid beoogt het garanderen dat de gebruikte systemen de vereiste beveiliging bieden gedurende de volledige levenscyclus. In de eisen ten aanzien van nieuwe systemen of uitbreidingen van bestaande systemen dienen tevens de beveiligingseisen gespecificeerd te worden. In dit verband kan de centrale veiligheidsconsulent geraadpleegd worden. Bijzondere aandacht wordt besteed aan de uitwerking van documentatie bij de ontwikkeling van nieuwe systemen en het onderhoud van bestaande systemen. De ontwikkeling wordt gebaseerd op een proces dat de veiligheidsvereisten oplegt. Bij de ontwikkeling van toepassingssystemen dient bijzondere aandacht besteed te worden aan de validatie van invoergegevens, de beveiliging van de interne verwerking en de validatie van outputgegevens. Audit trials dienen ingebouwd te worden. Er dient rekening gehouden te worden met de gekende zwakke punten op gebied van veiligheid, eigen aan programmeertalen. (Het nazicht van software door andere partijen dan de ontwikkelaars is een methode om deze risico’s in te perken.)
Beleidsverklaring Informatieveiligheid Vrije Gesubsidieerde CLB – RvB VCLB vzw 17 dec. 2008
Pagina 9
Het beschermen van de vertrouwelijkheid, de authenticiteit en de integriteit van de informatie steunt op gepaste cryptografische beveiligingsmaatregelen (versleuteling, digitale handtekening, ...). Hierbij wordt bijzondere aandacht besteed aan de bescherming van cryptografische sleutels. De integriteit van informaticasystemen wordt gewaarborgd door een goed beheer van de software op operationele systemen en de toegangsbeveiliging voor softwarebibliotheken. Formele procedures voor het beheer van wijzigingen worden gebruikt om de kans op verminking van informatiesystemen tot een minimum te beperken. In het bijzonder worden nieuwe versies van besturingssystemen met de nodige omzichtigheid benaderd. Veiligheidsmaatregelen worden getroffen worden voor alle (software)ontwikkelingen die in “outsourcing” gegeven worden. Softwarepakketten geleverd door derden dienen zo veel mogelijk ongewijzigd gebruikt te worden. De vertrouwelijkheid van testgegevens moet op hetzelfde niveau gegarandeerd worden als operationele gegevens. De behoeften op het vlak van beveiliging worden bij de initiële specificatie van het systeem geïdentificeerd. De veiligheidsmaatregelen maken deel uit van de normale ontwikkeling. De lokale veiligheidsmedewerker(s) en informaticaverantwoordelijken van de gesubsidieerde vrije centra werken nauw samen met de centrale veiligheidsconsulent voor de ontwikkeling en het onderhoud van systemen.
3.8 Continuïteitsbeheer (Noodplannen) Het beleid voor het beheer van de continuïteit heeft tot doel om te kunnen reageren op een verstoring van de bedrijfsactiviteiten en om de kritische bedrijfsprocessen te vrijwaren in geval van grootschalige incidenten. Het continuïteitsbeheer is een gedocumenteerd proces dat, gebaseerd op de analyse van de risico’s, een combinatie omvat van preventieve en correctieve maatregelen. Continuïteitsplannen (of zogenaamde noodplannen) worden ontwikkeld om te waarborgen dat bedrijfsprocessen of de kritieke processen binnen gestelde tijdslimieten hersteld kunnen worden. Deze plannen worden periodiek getest, wat aanleiding moet geven tot regelmatige bijsturing van deze plannen. De oorzaken en gevolgen van serviceonderbrekingen worden geanalyseerd. De noodprocedures worden gedocumenteerd, de verantwoordelijkheden duidelijk toegewezen en de crisisstructuren gedefinieerd.
3.9 Naleving van wetten en richtlijnen De gesubsidieerde vrije centra eerbiedigen de wettelijke vereisten en zullen de contractuele beveiligingseisen naleven waaraan de gebruikte informatiesystemen onderworpen zijn. De gesubsidieerde vrije centra hechten specifiek aandacht aan de eerbiediging van de persoonlijke levenssfeer, conform de deontologische code van de CLB-medewerker en de missie van de gesubsidieerde vrije centra voor leerlingenbegeleiding. Beleidsverklaring Informatieveiligheid Vrije Gesubsidieerde CLB – RvB VCLB vzw 17 dec. 2008
Pagina 10
Iedere verantwoordelijke waakt over de naleving van de regels binnen zijn bevoegdheidsdomein. De eindverantwoordelijkheid inzake de naleving van de toepasselijke regelgeving, de richtlijnen, de procedures, … berust bij de directeur van het lokale centrum.
Referenties: -
Beleid voor Informatieveiligheid (Information Security Policy): document d.d. 15 april 2008 van de Federale Overheidsdienst Informatie- en Communicatietechnologie (FEDict)
-
Beleid voor Informatieveiligheid (Information Security Policy): document d.d. 14 maart 2003 opgemaakt door de Kruispuntbank Sociale Zekerheid
-
Beleid voor Informatieveiligheid (Information Security Policy): document opgemaakt ten behoeve van het Beleidsdomein Onderwijs en Vorming
Beleidsverklaring Informatieveiligheid Vrije Gesubsidieerde CLB – RvB VCLB vzw 17 dec. 2008
Pagina 11
BIJLAGE: Toepasselijke wetgeving: 1. De wetgeving die specifiek van toepassing is op de CLB-sector. I.f.v. de regelmatige wijziging van deze toepasselijke regelgeving verwijzen wij naar de website van het departement onderwijs, afdeling CLB, onderafdeling regelgeving. Op deze site kan steeds de meest recente versie van de wetteksten en omzendbrieven geraadpleegd worden. http://www.ond.vlaanderen.be/clb/regelgeving/default.htm 2. Wetgeving inzake de privacy-bescherming -
-
Wet van 08.12.1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens; Koninklijk besluit van 13.02.2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens; Wet van 08.08.1983 tot regeling van een Rijksregister van de natuurlijke personen; Wet van 30.06.1994 ter bescherming van de persoonlijke levenssfeer tegen het afluisteren, kennisnemen en openen van privé-communicatie en telecommunicatie.
3. Wetgeving inzake informaticafraude -
Wet van 28.11.2000 van 28 november 2000 inzake informaticacriminaliteit.
4. Wetgeving ter bescherming van computerprogramma’s -
Wet van 30.06.1994 betreffende het auteursrecht en de naburige rechten; Wet van 30.06.1994 houdende omzetting in Belgisch recht van de Europese richtlijn van 14 mei 1991 betreffende de rechtsbescherming van computerprogramma's.
5. Wetgeving ter bescherming van databanken -
Wet van 31.08.1998 houdende omzetting in Belgisch recht van de Europese richtlijn van 11 maart 1996 betreffende de rechtsbescherming van databanken.
6. Sociaal recht -
Collectieve arbeidsovereenkomst nr. 81 van 26 april 2002, gesloten in de Nationale Arbeidsraad, tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op de elektronische online-communicatiegegevens.
Beleidsverklaring Informatieveiligheid Vrije Gesubsidieerde CLB – RvB VCLB vzw 17 dec. 2008
Pagina 12