Vragenlijst van de minimale normen: Hulp bij de evaluatie Information Security Guidelines Versie: 1.00
20 januari 2015
ISMS (Information Security Management System)
Vragenlijst van de minimale normen: Hulp bij de evaluatie.
Version control – please always check if you are using the latest version. Doc. Ref. :v2015.005.vragenlijst - hulp bij de evaluatie.nl.v1.0 Release
Status
Date
Written by
NL_1.0
Final
15/01/2015
Alain Houbaille
Edited by
Approved by
Opmerking: In dit document werd rekening gehouden met de opmerkingen die geformuleerd werden door een werkgroep waaraan de volgende personen hebben deelgenomen: de heer Houbaille (KSZ), De Vuyts (KSZ), Petit (FBZ), Perot (RSZ), Quewet (FOD Volksgezondheid), Symons (RVA), Slaets (Smals) en mevrouw Glorieux (FAMIFED).
Vragenlijst van de minimale normen: Hulp bij de evaluatie Information Security Guidelines Versie: 1.00
20 januari 2015
INHOUDSOPGAVE 1.
INLEIDING ........................................................................................................................................................... 3
2.
HULP BIJ EVALUATIE ........................................................................................................................................... 3
3.
EIGENAAR VAN HET DOCUMENT .......................................................................................................................12
4.
REFERENTIES ......................................................................................................................................................12
P2
Vragenlijst van de minimale normen: Hulp bij de evaluatie Information Security Guidelines Versie: 1.00
1.
20 januari 2015
Inleiding
Dit document is een hulp bij de evaluatie van de vragenlijst met betrekking tot de minimale veiligheidsnormen. Aangezien de bedoeling van de vragenlijst is om te evalueren en te bepalen of de getroffen veiligheidsmaatregelen beantwoorden aan de doelstellingen van de minimale veiligheidsnormen, kan het voor de instelling moeilijk zijn om bepaalde vragen adequaat te evalueren. Sommige vragen zijn immers vatbaar voor interpretatie doordat: • de vraag met betrekking tot de betrokken norm zeer algemeen is; • het toepassingsgebied van de norm zeer ruim is; • de doelstelling van de norm moeilijk te evalueren is. De bedoeling van dit document is om mogelijke interpretaties tot een minimum te beperken en een objectieve evaluatie toe te laten. Voor een beter begrip van de vraag wordt de uitleg ervan opgesplitst in 5 richtlijnen met betrekking de norm. De instelling kan “ja” antwoorden op de vraag indien ze aan drie van de vijf richtlijnen voldoet. Het is echter mogelijk dat er onder een norm slechts twee of drie richtlijnen opgesomd worden. In dat geval zal "ja" als antwoord kunnen gegeven worden indien aan deze richtlijnen voldaan wordt. Bij normen die zeer vanzelfsprekend zijn, werden uiteraard geen evaluatievragen toegevoegd.
2.
Hulp bij de evaluatie
Norm 5.1
FAQ
Beschikt de organisatie over een formeel, geactualiseerd en door de verantwoordelijke voor het dagelijks bestuur goedgekeurd beleid voor informatieveiligheid? Onder de norm 5.1 wordt verstaan dat de organisatie een “information security policy” (ISP) heeft opgesteld en goedgekeurd, dat minstens de volgende elementen bevat • een definitie van informatieveiligheid binnen de organisatie, de voornaamste doelstellingen en de globale scope, • een verklaring van de betrokkenheid van de directie van de organisatie, • de algemene en specifieke verantwoordelijkheden inzake informatieveiligheidsbeheer (wie doet wat), • een synthese van de veiligheidsprincipes, -normen en conformiteitsvereisten die van belang zijn voor de organisatie, • verwijzingen naar de documentatie ter ondersteuning van deze policy.
6.1
Binnen de organisatie: • is er een veiligheidsdienst onder leiding van een veiligheidsconsulent? • is er een dienst belast met de informatieveiligheid die onder de directe, functionele leiding staat van de verantwoordelijke voor het dagelijks bestuur van de organisatie? • heeft de organisatie de informatieveiligheid toegekend aan een erkende gespecialiseerde veiligheidsdienst belast met de veiligheid? Nihil –norm voldoende expliciet
6.1a-6.1f a. Heeft de organisatie de identiteit van haar veiligheidsconsulent en diens eventuele adjuncten meegedeeld aan het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid of, wat de instellingen van het secundaire netwerk betreft, aan de verantwoordelijke instelling voor dit netwerk? b. Beschikt de organisatie over een door de verantwoordelijke voor het dagelijks bestuur goedgekeurd informatieveiligheidsplan? c. Beschikt de organisatie die aangesloten is op het netwerk van de Kruispuntbank over de nodige P3
Vragenlijst van de minimale normen: Hulp bij de evaluatie Information Security Guidelines Versie: 1.00 Norm
20 januari 2015
FAQ
werkingskredieten die door de verantwoordelijke van de betrokken organisatie werden goedgekeurd, teneinde te kunnen voorzien in de uitvoering van haar veiligheidsplan en de uitvoering door de veiligheidsdienst van de haar opgedragen taken. d. Hoeveel uren kent de organisatie toe aan de veiligheidsconsulent en aan diens eventuele adjunct(en) voor de uitvoering van hun veiligheidstaken? • Veiligheidsconsulent • adjunct-veiligheidsconsulent(en) e. Beschikt de organisatie over procedures voor de mededeling van informatie aan de veiligheidsconsulent, zodat deze laatste over de nodige gegevens beschikt voor de uitvoering van zijn opdracht die hem toevertrouwd werd? f. Beschikt de organisatie over procedures voor de organisatie van het overleg tussen de verschillende betrokken partijen, zodat de veiligheidsconsulent meer bij de werkzaamheden van de organisatie betrokken wordt? uwd werd? Nihil –norm voldoende expliciet 6.2
Beschikt de organisatie over een beslissingsplatform voor de validatie en de goedkeuring van de veiligheidsmaatregelen? Onder de norm 6.2 wordt verstaan dat: • het management actief deelneemt aan dit platform, • het beslissingsplatform kan worden gestructureerd in verschillende niveaus in functie van de bedrijfscultuur en de grootte van de organisatie, • dit platform regelmatig samenkomt en hieruit acties voortvloeien.
6.3
Wisselt de beheersorganisatie van een « secundair netwerk » minstens één keer per semester relevante informatie uit met haar secundair netwerk door een vergadering van de subwerkgroep "Informatieveiligheid" te organiseren voor de organisaties die deel uitmaken van haar netwerk? Indien ja, gelieve onder « Opmerkingen » de data van de vergaderingen te vermelden die georganiseerd werden tijdens het geauditeerde jaar. Nihil – norm voldoende expliciet
6.4
Waken de betrokken veiligheidsconsulenten over het veilige gebruik van de beroepskaart voor geneeskundige verzorging zoals vastgelegd in de artikelen 42 tot en met 50 van het Koninklijk Besluit van 22 februari 1998? Nihil – norm voldoende expliciet
7.1
Vergewist de organisatie zich ervan dat de dragers van de persoonsgegevens en de informaticasystemen die deze gegevens verwerken in geïdentificeerde en beveiligde lokalen geplaatst worden, overeenkomstig hun indeling en zijn deze lokalen enkel toegankelijk voor de gemachtigde personen tijdens de uren die voor hun functie gerechtvaardigd zijn? Onder de norm 7.1 wordt verstaan dat: • er lokalen bestaan voor de opslag van de dragers en de systemen van gegevensverwerking, • er fysieke maatregelen zijn om deze lokalen te beschermen tegen ongewenste toegang, • deze maatregelen worden beheerd en gecontroleerd overeenkomstig een procedure.
P4
Vragenlijst van de minimale normen: Hulp bij de evaluatie Information Security Guidelines Versie: 1.00 Norm 7.2
20 januari 2015
FAQ
Beschikt de organisatie over een voortdurend bijgewerkte inventaris • wat betreft het informaticamateriaal? • wat betreft de software? Nihil – norm voldoende expliciet
8.1
Beschikt de organisatie over een gedragscode (of iets gelijkaardigs) voor internet- en e-mailgebruik? Onder de norm 8.1 wordt verstaan dat: • er een gedragscode voor internet- en e-mailgebruik bestaat binnen de organisatie, • elke medewerker hierover werd geïnformeerd, • deze gedragscode minstens de volgende domeinen dekt: o de toepassing van de regels inzake bescherming van gevoelige gegevens, o ongepaste of illegale handelingen, o het downloaden en installeren van toepassingen zonder toelating. • deze gedragscode bij voorkeur ook de volgende domeinen dekt: o het onderscheid tussen gebruik voor beroepsdoeleinden en voor privé-doeleinden o het naleven van de regels inzake gebruik van de communicatiemiddelen • de instelling maatregelen heeft getroffen om het risico van misbruik of ongepaste handelingen tot een voor haar aanvaardbaar niveau te beperken.
8.2
Stelt de organisatie de interne en externe medewerkers die betrokken zijn bij de verwerking van persoonsgegevens op de hoogte van de vertrouwelijkheids- en veiligheidsplichten t.a.v. deze gegevens? Onder de norm 8.2 wordt verstaan dat: • elke nieuwe medewerker zich er bij de aanwerving toe verbindt de gedragscode inzake het gebruik van ICT-diensten na te leven, • naargelang de vereisten van de functie wordt er een vertrouwelijkheidsovereenkomst (“nondisclosure agreement”) tussen de instelling en de werknemer aangegaan, • de organisatie aan de medewerkers de policy’s en interne procedures inzake informatieveiligheid ter beschikking stelt, • de organisatie haar medewerkers informeert over de hoofdlijnen van de privacywet, • de functiebeschrijving de verantwoordelijkheden op het vlak van informatieveiligheid omvat voor bepaalde specifieke functies.
9.1
Beperkt de organisatie de toegang tot haar gebouwen en lokalen tot gemachtigde personen ? Oefent de organisatie hiervoor een controle uit zowel tijdens als buiten de werkuren? Onder de norm 9.1 wordt verstaan dat: • de fysieke toegang tot het gebouw beveiligd is, • het gebouw ingedeeld is in zones met een verschillend veiligheidsniveau naargelang het belang van de resources die zich erin bevinden, • de toegang tot de informaticazalen en de technische lokalen strikt beperkt is tot de bevoegde personen, • er een beheer van de fysieke toegangen bestaat, inclusief een bezoekersbeheer, • er registraties worden gemaakt en bewaard van de toegangen en dat die registraties enkel toegankelijk zijn voor de bevoegde personen.
9.2
Heeft de organisatie maatregelen genomen voor de preventie, de veiligheid, de detectie, het blussen en de interventie in geval van brand, inbraak of waterschade? P5
Vragenlijst van de minimale normen: Hulp bij de evaluatie Information Security Guidelines Versie: 1.00 Norm
20 januari 2015
FAQ
Nihil- norm voldoende expliciet. 9.3
Beschikt de organisatie over een alternateve stroomvoorziening om de verwachte dienstverlening te waarborgen? Nihil- norm voldoende expliciet.
10.1
Beperkt de organisatie de toegang tot de informaticasystemen tot de informatiebeheerders door middel van een identificatie-, authentificatie- en autorisatiesysteem? Onder de norm 10.1 wordt verstaan dat: • het gebruik van standaard gecreëerde, generieke accounts uitzonderlijk is, • het paswoord van deze standaard gecreëerde accounts gewijzigd moet worden, • deze bevoorrechte generieke accounts permanent opgevolgd moeten worden, • er steeds voorkeur dient gegeven te worden aan een sterke authenticatie, • de bevoorrechte accounts getraceerd worden en de toegangen ertoe regelmatig gecontroleerd worden.
10.2
Beschikt de organisatie over een systeem en formele, geactualiseerde procedures die toelaten om veiligheidsinbreuken te detecteren, op te volgen en te herstellen in verhouding met het technische/operationele risico? Onder de norm 10.2 wordt verstaan dat: • de monitoring van veiligheidsgebeurtenissen werd gedefinieerd en geactiveerd voor de kritieke systemen, • het systeem elke anomalie die niet aan de vastgestelde veiligheidscriteria beantwoordt, registreert en deze registraties gedurende de noodzakelijke termijn bewaart, • deze registraties beveiligd zijn tegen wijziging en niet-geautoriseerde toegang, • de klokken van de kritieke systemen op de seconde gesynchroniseerd worden met een gemeenschappelijke tijdsbron teneinde de chronologie van de verschillende gebeurtenissen te waarborgen, • er een systeem van correlatie van de gebeurtenissen bestaat op basis waarvan alarmen volgens vooraf gedefinieerde schema’s kunnen worden gegenereerd.
10.3
Gebruikt de organisatie van het primaire netwerk die aangesloten is op het netwerk van de Kruispuntbank het extranet van de sociale zekerheid voor haar externe TCP/IP-verbindingen met de sociale zekerheid? Indien neen, heeft de organisatie een afwijking van deze norm verkregen van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid? Nihil- norm voldoende expliciet.
10.4
Gebruikt de organisatie van het secundaire netwerk het Extranet van de sociale zekerheid voor haar externe TCP/IP-verbindingen met de sociale zekerheid? Indien neen: • voert de organisatie de veiligheidsmaatregelen in die in overeenstemming zijn en blijven met de getroffen maatregelen op het niveau van het extranet van de sociale zekerheid? • treft de beheersinstelling de veiligheidsvoorzieningen die in overeenstemming zijn en blijven met de getroffen voorzieningen op het niveau van het Extranet van de sociale zekerheid?
P6
Vragenlijst van de minimale normen: Hulp bij de evaluatie Information Security Guidelines Versie: 1.00 Norm
20 januari 2015
FAQ
Onder de norm 10.4 wordt verstaan dat: • als alle connecties van de instelling van het secundaire netwerk met de buitenwereld via het Extranet passeren, het antwoord “ja” is; • als de instelling van het secundaire netwerk connecties naar buiten heeft die niet via het Extranet verlopen, ze ervoor moet zorgen dat de getroffen veiligheidsmaatregelen gelijkwaardig zijn aan die van het Extranet (antwoord geleverd door de instelling van het secundaire netwerk), • als de beheerinstelling van het secundaire netwerk aan dit secundaire netwerk connecties ter beschikking stelt buiten het Extranet, dan moet die beheerinstelling ervoor zorgen dat het veiligheidsniveau gelijkwaardig is aan dat van het Extranet (antwoord geleverd door de beheerinstelling van het secundaire netwerk). 10.5
Beschikt de organisatie over geactualiseerde systemen ter bescherming (voorkoming, detectie en herstel) tegen malware? Onder de norm 10.5 wordt verstaan dat: • de systemen van beveiliging tegen malware op de volledige ICT-infrastructuur van de organisatie werden geïmplementeerd, • de systemen van beveiliging tegen malware op het niveau van het netwerk, de werkstations en de servers gesitueerd zijn, • deze anti-malwaresystemen actief zijn en regelmatig geüpdatet worden, • het beheer van deze beveiligingssystemen gecentraliseerd is zodat een monitoring en rapportering mogelijk is, • er een formeel beleid bestaat waarbij het verboden is om niet-geautoriseerde software te implementeren, te installeren en te gebruiken.
10.6
Waakt de organisatie erover dat, vooraleer nieuwe of belangrijke evoluties van bestaande systemen in 1 productie genomen worden, de projectverantwoordelijke nagaat of aan de veiligheidsvereisten voldaan werd die aan het begin van de ontwikkelingsfase of aankoopprocedure vastgesteld werden? Onder de norm 10.6 wordt verstaan dat • de projectverantwoordelijke op de hoogte is van de inhoud van de minimale normen; • de projectverantwoordelijke de veiligheidsmaatregelen voor elk project evalueert op het vlak van conformiteit, veiligheidscriteria (CIA) of business requirements; • de projectverantwoordelijke nagaat of de voorgestelde oplossing (beproefde en betrouwbare) 2 veiligheidscomponenten bevat in overeenstemming met de bestaande veiligheidsarchitectuur ; • de veiligheidsmaatregelen worden getest en gevalideerd vóór de inproductiestelling; • de resultaten van de testen worden meegedeeld aan de informatieveiligheidsconsulent.
10.7
Controleert de organisatie dat de netwerken gepast beheerd en gecontroleerd worden zodanig dat ze beveiligd zijn tegen bedreigingen en de beveiliging afdoende garanderen van de systemen en toepassingen die het netwerk gebruiken? Onder de norm 10.7 wordt verstaan dat: • er een netwerkarchitectuur omschreven, periodiek bijgewerkt en gedocumenteerd wordt rekening houdend met de veiligheidsaspecten, • er een toegangspolicy voor het netwerk bestaat en het netwerk gesegmenteerd is volgens de
1
Cfr deel 12 Verwerving, ontwikkeling en onderhoud van systemen
2
De veiligheidsarchitectuur bevat met name de volgende elementen: back-upsystemen, systemen voor toegangsbeheer en toegang op afstand, anti-virussystemen, ... ; P7
Vragenlijst van de minimale normen: Hulp bij de evaluatie Information Security Guidelines Versie: 1.00 Norm
FAQ
• • •
10.8a
20 januari 2015
risicozones, de toegestane stromen tussen de segmenten omschreven en gevalideerd zijn, er een onafhankelijk controleproces is naast de ICT-dienst om de veiligheidscomponenten van het netwerk te controleren, er functiescheiding wordt toegepast tussen het netwerkbeheer en het computer- en opslagbeheer.
Houdt de organisatie de lijst van de openstaande stromen op het extranet van de sociale zekerheid upto-date? Onder norm 10.8 wordt verstaan dat: • de stromen op technisch vlak geïnventariseerd worden, • de inventarisatie van de stromen de volgende elementen bevat: de bron, de bestemming en de betrokken dienst, • de gerelateerde businessdoelstellingen voor elke open stroom gekend en gedocumenteerd zijn.
10.8b
Verwerkt de organisatie elke overdracht van sociale gegevens binnen het netwerk van de sociale zekerheid zo snel mogelijk door met name elke afwijking of lacune in de elektronische overdracht te melden? Onderneemt de organisatie zo snel mogelijk de gepaste en aangewezen acties na de verwerking van de opvolgingsberichten? Nihil- norm voldoende expliciet.
10.9
Beschikt de organisatie over een systeem van veiligheidskopieën (back-up) die ze regelmatig controleert om, in geval van beperkte of totale ramp, onherstelbaar verlies van gegevens te voorkomen (gegevens nodig voor de toepassing en de uitvoering van de sociale zekerheid alsook de gegevens m.b.t. de toepassingen en het besturingssysteem)? Onder de norm 10.9 wordt verstaan dat: • de gegevens en toepassingen die nodig zijn voor de uitvoering van de sociale zekerheid geïnventariseerd en gelokaliseerd zijn, • de te nemen back-ups gedefinieerd zijn en indien nodig herzien worden, • de nodige back-ups voorzien zijn in het werkschema en de uitvoering ervan systematisch gecontroleerd wordt, • de media van de back-ups zich bevinden op of overgebracht worden naar een beveiligde en afgelegen plaats volgens een welbepaald rotatieplan, • het herstel en de kwaliteit van de back-ups gecontroleerd wordt tijdens tests.
10.10
Heeft de organisatie een loggingsysteem geïmplementeerd voor de persoonsgegevens die nodig zijn voor de toepassing en uitvoering van de sociale zekerheid? Onder de norm 10.10 wordt verstaan dat: • de organisatie een logging-strategie heeft gedefinieerd, • de elementen van de logging toelaten te bepalen wie wat wanneer en hoe heeft gedaan, • de loggings worden bewaard gedurende een adequate termijn, • de loggings worden beveiligd tegen ongeoorloofde toegang, • de raadpleging ervan slechts toegelaten is voor goedgekeurde doeleinden.
P8
Vragenlijst van de minimale normen: Hulp bij de evaluatie Information Security Guidelines Versie: 1.00 Norm
20 januari 2015
FAQ
10.11
Als de organisatie die aangesloten is op het netwerk van de Kruispuntbank een programmanummer overneemt in de zone « USERID » van het prefixgedeelte van een bericht aan de Kruispuntbank, maar als een natuurlijke persoon aan de oorsprong van het bericht ligt, is ze dan in staat om zelf het verband te leggen tussen dit programmanummer en de identiteit van de natuurlijke persoon die het bericht verstuurd heeft? Nihil- norm voldoende expliciet.
10.12
Beschikt de organisatie die aangesloten is op het netwerk van de Kruispuntbank over procedures voor de inproductiestelling van nieuwe toepassingen en voor het doorvoeren van wijzigingen aan de bestaande toepassingen om te vermijden dat eenzelfde persoon de controle van dit proces uitvoert? Onder de norm 10.12 wordt verstaan dat er een formele procedure wordt uitgevoerd voor elke inproductiestelling bestaande uit: • een beheer van de softwareversies en de broncodes; • de validatie van de testresultaten; • de terbeschikkingstelling van de vereiste documentatie (operationeel dossier en gebruikershandleiding); • de geteste roll-backprocedure in geval van problemen tijdens de inproductiestelling; 3 • de formele beslissing voor de inproductiestelling met inachtname van het vier-ogenprincipe.
11.1
Beveiligt de organisatie die aangesloten is op het netwerk van de Kruispuntbank de toegang tot de gegevens nodig voor de toepassing en de uitvoering van de sociale zekerheid door middel van een identificatie-, authentificatie- en autorisatiesysteem? Onder de norm 11.1 wordt verstaan dat: • er een beleid van beheer van de toegangen tot de toepassingen en tot de gegevens bestaat waarbij de volgende regel wordt toegepast: “de gebruiker heeft slechts toegang tot de informatie die hij nodig heeft in het kader van zijn functie”, • er een procedure van gebruikersbeheer bestaat alsook van beheer van hun rechten, • adequate mechanismen deze toegangs- en controleprincipes integreren, • er een periodieke herziening van de toegangsrechten van de gebruikers plaatsvindt, • de sessie afgesloten wordt na een vastgestelde periode van inactiviteit.
11.2
Vergewist de organisatie die aangesloten is op het netwerk van de Kruispuntbank zich van het bestaan van de nodige machtigingen van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid voor de toegang tot sociale gegevens die beheerd worden door een andere organisatie? Nihil –norm voldoende expliciet.
11.3
Neemt de organisatie die aangesloten is op het netwerk van de Kruispuntbank de gepaste maatregelen, in functie van het toegangsmedium, voor de beveiliging van de onlinetoegang van buiten de instelling tot de persoonsgegevens van de instelling? Ter informatie, deze norm geldt voor elk type van toegang op afstand: telewerk, remote support door een externe firma, …
3
In deze context, bestaat het vierogenprincipe erin een akkoord te bereiken tussen de entiteit die de inproductiestelling (ontwikkeling) voorbereidt en de entiteit die deze uitvoert (handeling). P9
Vragenlijst van de minimale normen: Hulp bij de evaluatie Information Security Guidelines Versie: 1.00 Norm
20 januari 2015
FAQ
Onder de norm 11.3 wordt verstaan dat: • de veiligheidsvereisten opgenomen worden in een veiligheidsbeleid op basis van een risicoanalyse, • de infrastructuur ter ondersteuning van de toegang op afstand beantwoordt aan de veiligheidsvereisten van dit beleid, • de procedures inzake toegangsbeheer voor de toegang op afstand gestandaardiseerd en geïmplementeerd zijn, • elke toegang op afstand getraceerd wordt en elke netwerkanomalie gedetecteerd wordt, 4 • de gedragscode ook de aspecten met betrekking tot de toegang op afstand omvat. 11.4
Neemt de organisatie die aangesloten is op het netwerk van de Kruispuntbank de gepaste maatregelen indien persoonsgegevens worden opgeslagen op mobiele dragers die de beveiligingsperimeter van de instelling kunnen verlaten? Onder norm 11.4 wordt verstaan dat: • de organisatie een strikt beleid heeft opgesteld m.b.t. de overdracht van persoonsgegevens op mobiele dragers; en de gebruikers hierover heeft ingelicht. Bovendien dient de organisatie de gepaste veiligheidsmiddelen toe te passen bij de overdracht van persoonsgegevens op passieve mobiele dragers (CD, USB-stick,…); • de organisatie een centraal veiligheidsbeheer geïmplementeerd heeft voor alle actieve mobiele dragers die ze levert in overeenstemming met het veiligheidsbeleid met betrekking tot het gebruik van mobiele devices dat van kracht is in de sociale zekerheid.
12.1
Beschikt de organisatie die aangesloten is op het netwerk van de Kruispuntbank over procedures voor de ontwikkeling van nieuwe systemen of belangrijke evoluties van bestaande systemen, zodat de projectverantwoordelijke rekening kan houden met de veiligheidsvereisten die in de minimale veiligheidsnormen beschreven worden? Ter informatie, deze norm veronderstelt dat de projectleider de impact van de minimale normen in het kader van zijn project onderzoekt.
12.2
Beschikt de organisatie die aangesloten is op het netwerk van de Kruispuntbank over procedures voor de uitwerking van documentatie bij de ontwikkeling van nieuwe systemen en voor het onderhoud van bestaande toepassingen en systemen? Onder de norm 12.2 wordt verstaan dat er een procedure bestaat voor het opstellen van documenten in het kader van de ontwikkeling. Deze documenten zijn in de eerste plaats bedoeld voor de operationele teams, de eindgebruiker en de ontwikkelaar.
12.3
Hanteert de organisatie die aangesloten is op het netwerk van de Kruispuntbank een gestructureerde aanpak om de veilige ontwikkeling van systemen na te streven? Onder de norm 12.3 wordt verstaan dat: • de ontwikkelaars over de nodige kennis inzake veiligheid in toepassingsontwikkeling beschikken, • er met de functionele en technische veiligheidsvereisten wordt rekening gehouden vanaf de conceptuele fase, • tussen elke fase van de ontwikkeling conformiteitstoetsen met de veiligheidsvereisten worden uitgevoerd,
4
Gebruik van ICT-diensten(Internet,…) P 10
Vragenlijst van de minimale normen: Hulp bij de evaluatie Information Security Guidelines Versie: 1.00 Norm
FAQ
• • 13.1
20 januari 2015
programmatierichtlijnen rekening houden met veiligheid, de broncodes op een veilige manier beheerd worden.
Waakt de organisatie die aangesloten is op het netwerk van de Kruispuntbank erover dat de dienst Informatieveiligheid door de verantwoordelijke dienst op de hoogte wordt gesteld van belangrijke incidenten die de informatieveiligheid in het gedrang kunnen brengen en van de maatregelen om deze incidenten op te lossen? Nihil - norm voldoende expliciet – de richtlijn m.b.t. het melden van veiligheidsincidenten beantwoordt aan deze norm.
14.1a
Heeft de organisatie die aangesloten is op het netwerk van de Kruispuntbank: • een continuïteitsplan uitgewerkt, getest en onderhouden dat gebaseerd is op een risicoanalyse om de opdracht van de instelling in het kader van de sociale zekerheid te kunnen waarborgen? Onder norm 14.1 wordt verstaan dat: • de kritieke processen geïdentificeerd werden en er prioriteit aan verleend werd, 5 • de middelen bepaald werden die noodzakelijk zijn voor de beschikbaarheid van de kritieke processen, • de geïdentificeerde middelen geïmplementeerd worden, • deze middelen regelmatig getest worden, 6 • het continuïteitsplan geactualiseerd wordt.
14.1b
Heeft de organisatie die aangesloten is op het netwerk van de Kruispuntbank in een informaticauitwijkcentrum voorzien in geval van een beperkte of totale ramp? Onder de norm 14.1.b wordt verstaan dat de organisatie haar dienstverlening gedeeltelijk of geheel in een andere infrastructuur kan voortzetten (bv. container, onderling delen van gebouwen of ITinfrastructuur, volledige redundantie, bilaterale verbintenis). De middelen worden bepaald op basis van een risicoanalyse.
15.1
Heeft de organisatie periodiek een conformiteitsaudit uitgevoerd met betrekking tot de veiligheidssituatie zoals beschreven in de minimale normen? Nihil –norm voldoende expliciet.
5
Middelen zijn alle elementen die noodzakelijk zijn voor het verloop van een proces
6
Het continuïteitsplan is niet beperkt tot het ICT-plan, maar omvat alle continuïteitsaspecten van een instelling, bv. het beschikken over een crisisbeheersplan. P 11
Vragenlijst van de minimale normen: Hulp bij de evaluatie Information Security Guidelines Versie: 1.00
3.
20 januari 2015
Eigenaar van het document
Het onderhoud, de opvolging en de herziening van de huidige policy vallen onder de verantwoordelijkheid van de dienst Informatieveiligheid van de KSZ.
4.
Referenties
De gebruikte referenties zijn: • de minimale normen van 2011 van de KSZ
P 12