FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
1
Information security officer: Where to start ? The information security policy process is a continuous and cyclic process
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
2
1. PLAN: establish ISMS
CREATE Information Security Policy (ISP)
Inventarise existing processes and procedures and build on it
PERFORM Risk Analysis
CREATE Information Security Plan for 3 years
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
3
1.1 CREATE Information Security Policy START from the chapters of the ISO 27001: 1 Vision, Mission, Strategy 2 Terms and definitions 3 Structure of the Information Security Policy document 4 Risk assessment and treatment 5 Security policy 6 Organization of information security … 15 Compliance
TIP !: To write the chapters, use the competencies that you definitely have in your hospital
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
4
1.2 PERFORM Risk Analysis • • •
Define risk method Inventarise critical systems Organize a brainstorm session with maximum 5 participants ID Bedrijfs middel
5 Systemen
31 Ruimtes 32 Kabels
46 Reputatie
Kwaliteitsaspect
Beschikbaarheid
Vertrouwelijkheid Vertrouwelijkheid
Vertrouwelijkheid
Vereiste Kwetsbaarheden m.b.t. beveiligingsni beveiliging van de veau patiëntengegevens
Schade die kan veroorzaakt worden door lager beveiligingsniveau dan vereist
Kans Impact Beoordeling
Zeer Hoog
Binnensluipen van virussen of malware op alle fysieke bedrijsmiddelen
Beschadiging van applicaties en/of gegevens
1
4
4
Zeer Hoog
Het is mogelijk dat ruimtes met medische dossiers betreden worden door onbevoegden
Niet voldoen aan het verplicht fysiek afsluiten van medische dossiers
3
3
9
Zeer Hoog
Het is mogelijk dat kabels afgetapt worden
Afgetapte gegevens kunnen misbruikt worden
1
4
4
Hoog
Mogelijkheid dat attackers de restricties van een beoogde applicatie omzeilen via een mobiel device
vertrouwelijke gegevens worden publiek gemaakt
3
3
9
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
5
1.3 CREATE Information Security Plan • •
Choose a multi-annual plan, f.e. 3 years Start from the Statement of Applicability of ISO 27001, select the controls for your hospital, define priorities and define actions to be taken to achieve appliance to the ISMS ID nr
Omschrijving
Controles
Nr Gerelateerd Timing e risico's jaar
Timing dd/mm
Wie
Te ondernemen acties
Status
A.5. Veiligheidsbeleid A.5.1 Informatieveiligheidsbeleid Doelstelling: Directie en ondersteuningsupport voorzien van informatiebeveiliging in overeenstemming met bedrijfseisen, relevante wetten en regelgeving A.5.1.1
Informatieveiligheidsbeleid document Een informatieveiligheidsbeleid document zal door de directie goedgekeurd, gepubliceerd en gecommuniceerd worden naar alle medewerkers en 1 relevante externe partijen
1
2012
Opstellen beleid + goedkeuring directie 1/jan AVE verkrijgen
23
2012
Uitwerken procedure "Meenemen of verzenden 2/jan AVE van bedrijfseigendommen"
A.9. Fysieke beveiliging en beveiliging van de omgeving A.9.2 Beveiliging van apparatuur Doelstelling: Voorkomen van verlies, schade, diefstal van middelen en onderbreking van de activiteiten van de organisatie A.9.2.7
Meenemen van bedrijfseigendommen apparatuur, informatie of software worden niet buiten de gebouwen meegenomen zonder voorafgaande toestemming
40
A.11. Toegangsbeveiliging A.11.2 Beheer gebruikerstoegang Doelstelling: Waarborgen van gemachtigde gebruikerstoegang en het voorkomen van onbevoegde toegang tot informatiesystemen
A.11.2.1
Registratie van gebruikers
Er zal een formele gebruikersregistratie en afmeldingsprocedure gelden voor het verlenen en intrekken van toegang tot alle informatiesystemen en diensten
Verder omzetten van afdelingen naar SSO. 74 14, 15, 16
2014
1/dec GKO
busy
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
6
2. DO
CREATE Information Security Comité
DELEGATE actions
DEFINE in the comité the deadlines for implementation of the actions
RUN the Information Security Plan
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
7
3. CHECK
Define who will measure process performance against ISMS policy
Perform the controls at IT, on the workfloor , …
Report the results
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
8
4. ACT
EVALUATE & UPDATE the Information Security Plan to achieve continual improvement of the ISMS
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
9
