Gedragscode - Informatiebeheerders
ISMS (Information Security Management System)
Gedragscode voor de informatiebeheerders binnen het netwerk van de sociale zekerheid. (1) Version control – please always check if you’re using the latest version Release
Date
Author’s
Reason for change
Approved by
1.0
29/06/2005
Sous groupe Policy
Draft
2.0
6/07/2005
Sous groupe Policy
Fin lecture complète
3.0
21/07/2005
Sous groupe Policy
Relecture
4.0
26/07/2005
Sous groupe Policy
Relecture
4.1
07/09/2005
Sous groupe Policy
Lecture version FR + NL
Sous / Groupe
5.0
12/09/2005
Sous groupe Policy
Validation
Werkgroep Informatieveiligheid
(1) Dit document is gebaseerd op de ADM Gegragscode voor Informatiebeheerders
Opmerking: dit document bevat de opmerkingen van de werkgroep waaraan mevrouw Minnaert (RSVZ), de heren Bollen (RSZ), Bouamor (Cimire), Costrop (SMALS-MvM), De Ronne (RJV), Gossiaux (KSZ), Goumet (KSZ), Laridon (FAO), Petit (FBZ), Symons (RVA), Van Cutsem (RSZPPO), Van Der Goten (RIZIV) hebben deelgenomen.
Dit document is eigendom van de Kruispuntbank van de Sociale Zekerheid. De publicatie ervan doet geen enkele afbreuk aan de rechten die de Kruispuntbank van de Sociale Zekerheid ten opzichte van dit document bezit. De inhoud van dit document mag vrij worden verspreid voor niet-commerciële doeleinden mits vermelding van de bron (Kruispuntbank van de Sociale Zekerheid, http://www.ksz.fgov.be). Eventuele verspreiding voor commerciële doeleinden dient het voorwerp uit te maken van de voorafgaande en schriftelijke toestemming vanwege de Kruispuntbank van de Sociale Zekerheid.
P1
Gedragscode - Informatiebeheerders
1 Inleiding en draagwijdte Het doel van deze gedragscode is de regels vast te leggen die in acht moeten worden genomen door de informatiebeheerders die werkzaam zijn binnen de instellingen die deel uitmaken van het netwerk van de sociale zekerheid. Deze gedragscode past in de veiligheidsbeleidstrategie van het netwerk van de sociale zekerheid zoals uiteengezet in het document ‘Information Security Management System’ dat door het Algemeen Coördinatiecomité van de Kruispuntbank van de Sociale Zekerheid werd goedgekeurd.
2 Toepassingsgebied Niemand twijfelt er vandaag de dag aan dat de informatie- en communicatietechnologie (ICT) een belangrijke rol speelt in het economisch leven. Het behoorlijk functioneren van de computernetwerken en –systemen en van de software is van groot belang voor talloze overheden, organisaties en particulieren die in grote mate afhankelijk zijn van hun ICTinfrastructuur en bijgevolg van hun informatiebeheerders. Alvorens de rollen en de verantwoordelijkheden van de informatiebeheerders verder toe te lichten blijkt het nuttig om nogmaals de opdrachten van de informatieveiligheidsconsulent binnen het netwerk van de sociale zekerheid in herinnering te brengen. De informatieveiligheidsconsulent is immers ertoe gehouden de wetten met betrekking tot de bescherming van het privéleven te doen naleven. Hij heeft tevens een adviserende, stimulerende, documenterende, controlerende en bevorderende opdracht inzake naleving van de veiligheidsregels die door een wettelijke of reglementaire bepaling of krachtens dergelijke bepaling zijn opgelegd. Hij moet er ook voor zorgen dat de personen die binnen de organisatie werken een veiligheidsbevorderende houding aannemen. In dat opzicht is hij vanzelfsprekend een bevoorrechte partner van de informatiebeheerders. De informatieveiligheidsconsulent is ertoe gehouden een ethische gedragscode, waarin zijn opdracht wordt afgebakend, na te leven.
De informatiebeheerder is eenieder die in het kader van zijn verantwoordelijkheden met betrekking tot een ICT-systeem over toegangsrechten beschikt die ruimer zijn dan het louter functioneel gebruik van de gegevens. Het gaat onder meer om ontwikkelaars, systeembeheerders, gegevensbeheerders, software-ontwikkelaars en –beheerders, netwerkbeheerders, consultants en onderaannemers.
Deze code heeft niet de ambitie om de precieze taak van de informatiebeheeerder te omschrijven of om een technische handleiding te zijn voor informatiebeheerders. Dat is immers al gebeurd in andere documenten zoals de I(nformation) S(ecurity) P(olicy), de policy’s, andere gedragscodes of de arbeidsreglementen. Deze gedragscode biedt evenmin een concrete oplossing voor elk etisch of beleidsprobleem waarmee een informatiebeheerder bij de uitvoering van zijn functie geconfronteerd kan worden.
P2
Gedragscode - Informatiebeheerders
Wel wil deze code de informatiebeheerders bewust maken van het belang om hun bevoegdheden op een etisch verantwoorde manier uit te oefenen: de integriteit van een informatiebeheerder maakt deel uit van zijn professionaliteit. De informatiebeheerders kunnen deze code dus gebruiken als richtsnoer voor hun dagelijkse werkzaamheden. Bovendien kan de informatiebeheerder deze code zien als een voortdurende uitnodiging om zijn professioneel handelen ethisch te toetsen en waar nodig aan te passen.
Voor de overige werknemers van de organisatie is het nuttig te weten dat de uitoefening van de bevoegdheden van informatiebeheerder ingebed is in regels. Voor de werkgever is het nuttig om te preciseren hoe de informatiebeheerder gebruik moet maken van zijn bevoegdheden in het belang van de organisatie.
3 Vereisten 3.1. De ethische integriteit van de informatiebeheerder 3.1.1. De informatiebeheerder stelt zich objectief en onpartijdig op tijdens de uitoefening van zijn functie.
Toelichting: dit is een algemene richtlijn die de houding van de informatiebeheerder omschrijft. De informatiebeheerder vervult zijn functie op een kritische en verantwoorde manier. Hij tracht zoveel mogelijk rekening te houden met de verschillende in het spel zijnde belangen en baseert zijn beslissingen op een rationele beoordeling van alle relevante informatie.
3.1.2. De informatiebeheerder streeft ernaar persoonlijke belangenconflicten te vermijden. Wanneer deze zich toch voordoen, zal hij zijn oversten daarover inlichten.
Toelichting: het gaat hier om persoonlijke belangen die onverenigbaar zijn met het belang van de organisatie, bijvoorbeeld zijn positie binnen de organisatie veilig stellen via praktijken en gedragingen die niet correct zijn.
3.1.3. De informatiebeheerder stelt zijn vaardigheden op gepaste wijze ten dienste van de organisatie en van de gebruikers van de ICT-systemen.
Toelichting: een informatiebeheerder beschikt over een zeer waardevolle kennis, maar hij moet ervoor zorgen dat deze kennis op gepaste wijze wordt gebruikt in het belang van de organisatie.
P3
Gedragscode - Informatiebeheerders
3.1.4. De informatiebeheerder streeft ernaar in de best mogelijke verstandhouding samen te werken met het personeel van de organisatie.
Toelichting: dit artikel streeft ernaar te vermijden dat de informatiebeheerder een soort buitenstaander wordt ten opzichte van de eigen organisatie of een dergelijke houding gaat aannemen ten koste van de belangen van de organisatie. Voor de toepassing van dit artikel worden de externe consultants beschouwd als zijnde werkzaam binnen de organisatie.
3.1.5. De informatiebeheerder vermijdt zijn technische vaardigheden foutief voor te stellen en doet indien nodig een beroep op een technische bijstand.
3.1.6. De informatiebeheerder levert inspanningen om op de hoogte te blijven van de evoluties binnen zijn activiteitsdomein.
3.2. De integriteit en de beschikbaarheid van de informatie 3.2.1. De informatiebeheerder waakt over het behoorlijk functioneren van het systeem en stelt de handelingen die nodig zijn om de integriteit en de beschikbaarheid van het computersysteem of –netwerk te garanderen.
Toelichting: de informatiebeheerder verricht namelijk geen enkele handeling voor enig ander doel dan het garanderen van de goede werking van het computersysteem in het belang van de organisatie .
3.2.2. Hij waakt erover dat deze handelingen niet het verlies, de onbeschikbaarheid of de vernietiging van de gegevens of van de toepassingen tot gevolg hebben.
3.2.3. Aangezien bepaalde handelingen van gebruikers schade kunnen berokkenen aan de integriteit of de beschikbaarheid van het computersysteem of –netwerk, of de gegevens, moet de informatiebeheerder in het kader van zijn verantwoordelijkheden toezien op de naleving van het beleid van toepassing in de organisatie en indien nodig zijn hiërarchische meerderen op de hoogte brengen. Indien hij vaststelt dat bepaalde van deze acties niet onder het toepassingsgebied van de bestaande policy's vallen, brengt hij de informatieveiligheidsconsulent hiervan op de hoogte. De informatieveiligheidsconsulent zal dan de nodige maatregelen treffen in het belang van de instelling.
3.2.4. De informatiebeheerder zorgt ervoor dat de toegang tot het systeem gegarandeerd wordt aan de personen die dergelijke toegang nodig hebben in het kader van hun functie en dat de toegang tot die personen beperkt blijft.
P4
Gedragscode - Informatiebeheerders
3.3. Informatiebescherming Naleving van de privacywetgeving en bescherming van de persoonsgegevens 3.3.1. De informatiebeheerders hebben toegang tot grote hoeveelheden persoonsgegevens waarop de bepalingen inzake bescherming van het privéleven en van de persoonsgegevens van toepassing zijn.
Toelichting: onder “persoonsgegeven” wordt verstaan iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna genaamd “betrokken persoon”. Als identificeerbare persoon wordt beschouwd een persoon die rechtstreeks of onrechtstreeks geïdentificeerd kan worden, met name aan de hand van een identificatienummer of van één of meerdere specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.
3.3.2. De informatiebeheerder is zich bewust van het feit dat de persoonsgegevens moeten worden beschermd.
3.3.3. De informatiebeheerder wijst op de risico’s eigen aan zijn activiteitsdomein, dringt er bij de hiërarische meerderen op aan om gepaste richtlijnen te krijgen met betrekking tot die risico’s en past technische en organisatorische maatregelen toe waardoor de persoonsgegevens tegen elke niet toegelaten verwerking van die gegevens beveiligd en beschermd zijn.
Toelichting : om te bepalen wat « passende » richtlijnen zijn, wordt rekening gehouden met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen enerzijds en met de aard van de te beveiligen gegevens en de potentiële risico’s anderzijds.
3.3.4. De informatiebeheerder waakt erover dat ook derden de bepalingen met betrekking tot de bescherming van het privéleven naleven. Toelichting: bijvoorbeeld bij onderhoud of herstelling van het computersysteem door derden. Ook zij moeten op de hoogte zijn van de relevante verplichtingen inzake de bescherming van de persoonsgegevens .
P5
Gedragscode - Informatiebeheerders
Controle van de on-linecommunicatie en toegang tot de bestanden 3.3.5. De informatiebeheerder mag de elektronische on-linecommunicatie en de toegangen tot de bestanden controleren binnen het kader van zijn bevoegdheden en mits de naleving van de wettelijke en reglementaire bepalingen.
Vertrouwelijke gegevens 3.3.6. De informatiebeheerder gaat ervan uit dat alle informatie van de organisatie vertrouwelijk is en als dusdanig behandeld moet worden. Toelichting: het gaat bijvoorbeeld niet alleen om persoonsgegevens (o.a. medische gegevens), maar ook over beroepsgeheimen, know-how of andere gevoelige gegevens. De informatiebeheerder mag geen misbruik maken van deze gegevens.
3.4. Informatie- en documentatieplicht 3.4.1 De informatiebeheerder licht de gebruikers duidelijk in over het toegelaten gebruik van het informatiesysteem. 3.4.2. De informatiebeheerder licht naar aanleiding van een interventie zijn handelingen toe opdat de betrokken gebruiker voldoende geïnformeerd zou zijn over de gevolgen hiervan op het gebruik van het systeem. Deze informatie moet tijdig en op een begrijpelijke manier worden meegedeeld. Toelichting: het gaat om de interventies van de informatiebeheerder, bijvoorbeeld in het kader van de aanpassing van een systeem. 3.4.3. De informatiebeheerder waakt erover dat er steeds een geactualiseerde documentatie voorhanden is waarin het systeem (bijv. ontwikkeling, hard- en software, infrastructuur) op zodanige wijze wordt beschreven dat elke betrokken persoon zich een totaalbeeld zou kunnen vormen van dit systeem. De bedoeling ervan is een continu beheer van het systeem te garanderen. Toelichting: het gaat om het geval waarin de informatiebeheerder om de een of andere reden zijn functie niet meer kan uitoefenen. Een andere informatiebeheerder moet het systeem dan verder doeltreffend kunnen beheren. Hiervoor is een goede inventaris van de infrastructuur vereist.
4 Reglementering De niet-naleving van deze gedragscode kan aanleiding geven tot een sanctie overeenkomstig de binnen de organisatie van kracht zijnde wetgeving. De binnen de organisatie van kracht zijnde wetgeving moet eventueel worden aangepast om de niet-naleving van deze gedragscode te kunnen bestraffen.
P6
Gedragscode - Informatiebeheerders
5 Onderhoud, opvolging en herziening Het onderhoud, de opvolging en de herziening van deze gedragscode zijn de verantwoordelijkheid van de werkgroep Informatieveiligheid.
P7
