...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen /...

22
/ Veiligheidsbeleid www.wonenvlaanderen.be ////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// INFORMATIE- VEILIGHEIDSBELEID WONEN-VLAANDEREN Koen Mathijs voor Cranium Applied Privacy / 17.10.2017 //////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Transcript of ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen /...

Page 1: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

/ Veiligheidsbeleid

www.wonenvlaanderen.be

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

INFORMATIE-VEILIGHEIDSBELEID

WONEN-VLAANDEREN Koen Mathijs voor Cranium Applied Privacy / 17.10.2017

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Page 2: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 2 van 22

1 Beleid rond informatieveiligheid ............................................................................................. 4 2 Beveiligingsorganisatie / Organisatie van de informatieveiligheid .......................................... 5 2.1 Organisatie informatieveiligheid 5 2.2 Beslissingsplatform 6 2.3 Gegevensbeschermingseffectbeoordeling 6 2.4 Mobiele apparatuur en teleworking 6 3 Medewerkers gerelateerde veiligheid / Norm-hoofdstuk 7

Medewerkers-gerelateerde veiligheid ..................................................................................... 7 3.1 Voorafgaand aan het dienstverband 7 3.2 Tijdens het dienstverband 7 3.3 Na het dienstverband 7 3.4 Richtlijnen 7 3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van bedrijfsmiddelen 9 4.1 Classificatie en beheer van informatie 9 4.2 Classificatie en beheer van media 10 5 Logische toegangsbeveiliging / Norm-hoofdstuk 9 Toegangsbeveiliging (logisch) ............... 10 5.1 Beveiliging gegevens 10 5.2 Beheer van de toegangsrechten 11 5.3 Toelatingen sectoraal comité en vtc 11 5.4 Toegang op afstand 11 5.5 Bescherming van gegevens op mobiele media (verwijderbaar flashgeheugen, draagbare harddisk, NAS, laptop,

smartphone,...) 12 6 Cryptografie ........................................................................................................................... 12 7 Fysieke beveiliging en beveiliging van de omgeving .............................................................. 12 7.1 Fysieke toegangsbeveiliging 12 7.2 Brand, inbraak, water 13 7.3 Stroomvoorziening 13 7.4 Verwijdering media 13 8 Operationeel beheer .............................................................................................................. 13 8.1 Toegang tot informaticasystemen door informatiebeheerders 14 8.2 Detectie en opvolging van veiligheidsinbreuken 14 8.3 Netwerken 14 8.4 Bescherming tegen malware (virus, worm, Trojaans paard, spam, spyware, ...) 14 8.5 Nagaan van veiligheidsvereisten vóór inproductiename 15 8.6 Veiligheid op netwerkniveau 15 8.7 Beheer van gegevensstromen 15 8.8 Back-up-policy en procedures 15 8.9 Logging toegang 15 8.10 Terugkoppeling tot op natuurlijke persoon van een opzoeking 16 8.11 Vermijden single point of control 16 9 Communicatiebeveiliging / Norm-hoofdstuk 13 Communicatiebeveiliging .......................... 16

Page 3: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 3 van 22

9.1 Netwerkbeveiliging 16 9.2 Informatietransport 16 10 Verwerving, ontwikkeling en onderhoud van systemen / Norm-hoofdstuk 14 Verwerving,

ontwikkeling en onderhoud van systemen ............................................................................ 17 10.1 Informatieveiligheid in het kader van projecten 17 10.2 Documentatie 17 10.3 Gestructureerde ontwikkelingsaanpak 17 11 Leveranciersrelaties / Norm-hoofdstuk 15 Leveranciersrelaties ........................................... 18 12 Norm-hoofdstuk 13 Beheer van incidenten in verband met informatieveiligheid ............... 19 13 Continuïteitsbeheer / Norm-hoofdstuk 17 Continuiteitsbeheer ........................................... 19 14 Naleving / Norm-hoofdstuk 15 Naleving ............................................................................... 20 14.1 Externe audit 20 15 Verklarende Woordenlijst ...................................................................................................... 21

Page 4: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 4 van 22

1 BELEID ROND INFORMATIEVEILIGHEID

Het informatieveiligheidsbeleid stippelt de strategie en de maatregelen uit om de gegevens van en over Wonen-Vlaanderen te beveiligen. Het directiecomité valideert dit informatieveiligheidsbeleid. In dit document legt het directiecomité van Wonen-Vlaanderen de na te streven doelstellingen in verband met de informatieveiligheid vast. Het informatieveiligheidsbeleid is ruimer dan alleen maar het naleven van de privacyreglementering. Het informatieveiligheidsbeleid schetst maatregelen om waardevolle gegevens tegen ongewilde openbaarmaking, diefstal of verlies te beschermen en wil de bedrijfscontinuïteit van Wonen-Vlaanderen mee garanderen. Het vertrekpunt van het beleid inzake de verwerking van persoonsgegevens zijn de grote principes van de privacywetgeving zoals uiteengezet in de Europese Algemene Verordening Gegevensbescherming en de Belgische Privacywetgeving:

a. Specifiek wat betreft de verwerking van persoonsgegevens1 spoort het informatieveiligheidsplan met

de algemeen geldende principes van de privacywetgeving:de aangifte bij de privacycommissie van verwerkingen die niet zijn vrijgesteld van aangifte;

b. het verstrekken van informatie aan de personen van wie de gegevens worden verwerkt; c. het verzekeren dat de toegang tot gegevens is voorbehouden tot de personen die toegang moeten

krijgen (need-to-know / need-to-have principes). Wonen-Vlaanderen streeft er naar om middels de in dit document geschetste aanpak de vertrouwelijkheid van persoonsgegevens te allen tijde te garanderen, zonder de dynamiek van de processen te belemmeren. Het informatieveiligheidsplan geeft een overzicht van de krachtlijnen van het door Wonen-Vlaanderen gevoerde informatieveiligheidsbeleid en planning voor de komende drie jaar rond de uitvoering van dit informatieveiligheidsbeleid. Het bevat de normen die gehanteerd worden en een plan van aanpak van potentiële bedreigingen op het vlak van informatieveiligheid. Het beschikken over een informatieveiligheidsplan is een vereiste opgelegd door de privacycommissie. Het informatieveiligheidsbeleid is vrij consulteerbaar. Deze transparantie heeft een dubbel doel.

1 Persoonsgegevens (voor Wonen-Vlaanderen) in het kader van de wet op de bescherming van de persoonlijke levenssfeer:

• basisidentificatiegegevens van burgers: naam, voornaam, rijksregisternummer; • daarbijhorende metadata: adres, kadastraal inkomen, eigendommen, gezinsinkomen, gezinssamenstelling, factuurbedragen,

details over een hypotheek,… • basisidentificatiegegevens medewerkers: naam, voornaam, rijksregisternummer en andere gegevens voor het normale

personeelsbeheer en -beleid

Page 5: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 5 van 22

a. het draagt bij aan de bewustwording omtrent informatieveiligheid en aan de compliancy met het gevoerde beleid.

b. het duidt het gevoerde informatieveiligheidsbeleid ten aanzien van externen en medewerkers van Wonen-Vlaanderen

Het informatieveiligheidsplan

a. moet worden nageleefd door alle medewerkers, zowel intern personeel als medewerkers die binnen Wonen-Vlaanderen ter beschikking gesteld worden voor onbepaalde en bepaalde termijn (vb. onderaannemers, consultants, leveranciers, ...).

b. is van toepassing op alle ontwikkelde, operationele en te ontwikkelen systemen (inclusief de informatie die ze bevatten) en op alle sites van Wonen-Vlaanderen.

Naast het informatieveiligheidsplan kunnen op basis van dit informatieveiligheidsbeleid specifieke beleidsdocumenten (“policies”) opgesteld worden. Wonen-Vlaanderen herziet periodiek het informatieveiligheidsbeleid, onder andere na evaluatie van het beleid naar aanleiding van belangrijke veiligheidsincidenten, nieuwe kwetsbaarheden of wijzigingen in de organisatorische of technische infrastructuur. (documentverantwoordelijke is de veiligheidsconsulent). De volgende hoofdstukken vermelden de voornaamste beleidsmaatregelen die kaderen in het informatieveiligheidsbeleid van Wonen-Vlaanderen. De indeling is gebaseerd op de ISO 27xxx-reeks die ook de basis vormen voor de minimale normen die werden opgesteld door de veiligheidscel van de KSZ. (link).

2 BEVEILIGINGSORGANISATIE / ORGANISATIE VAN DE INFORMATIEVEILIGHEID

Het doel van dit informatieveiligheidsbeleid is het beheren en bewaken van de informatiebeveiliging binnen Wonen-Vlaanderen.

2.1 ORGANISATIE INFORMATIEVEILIGHEID

Wonen-Vlaanderen richt in haar schoot een informatieveiligheidsdienst in die wordt geleid door een veiligheidsconsulent en een interne adjunct veiligheidsconsulent. De informatieveiligheidsdienst heeft een adviserende, stimulerende, documenterende en controlerende opdracht. Zij voeren hun taken uit in opdracht van de verantwoordelijke voor de verwerking. Voor Wonen-Vlaanderen is dit de heer Helmer Rooze, Administrateur-Generaal. Het directiecomité stelt de interne adjunct veiligheidscoördinator aan en meldt deze bij de VTC en/of bevoegde Sectorale Comités aan.

Page 6: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 6 van 22

De werking van de veiligheidsdienst wordt vastgelegd in procedures, dit houdt ook in:

• samenwerking met andere diensten: preventie-adviseur, brandverantwoordelijke, gebouwbeheerder, facility management , fysieke beveiliging datacenters, ICT-manager

• opstellen veiligheidsplan met een horizon van drie jaar • opstellen veiligheidsbeleid (dit document) • samenwerking met andere diensten: preventie-adviseur, brandverantwoordelijke, gebouwbeheerder,

facility management , fysieke beveiliging datacenters, ICT-manager • samenwerking met de toezichthoudende autoriteit (VTC en/of Privacycommissie) • sensibilisering van de medewerkers van Wonen-Vlaanderen

De informatieveiligheidsdienst doet de voorbereiding van het beleid, dit wordt door het beslissingsplatform goedgekeurd.

2.2 BESLISSINGSPLATFORM

Het beslissingsplatform, het directiecomité voor Wonen-Vlaanderen, zal zorgen voor de sturing van het veiligheidsbeleid: herziening van het beleid, bijstelling van de beveiligingsmaatregelen op voorstel van de veiligheidsconsulent, en het toezicht op veranderende bedreigingen en incidenten.

2.3 GEGEVENSBESCHERMINGSEFFECTBEOORDELING

Wanneer een activiteit van Wonen-Vlaanderen een hoog risico inhoudt met betrekking tot gegevensbescherming, in het bijzonder door het gebruik van nieuwe technologieën, zal een beoordeling worden gemaakt van het effect op informatieveiligheid. Bij het uitvoeren van deze beoordeling wordt het advies van de veiligheidsconsulent ingewonnen. De beoordeling omvat de maatregelen die genomen moeten worden om de geïdentificeerde risico’s aan te pakken.

2.4 MOBIELE APPARATUUR EN TELEWORKING

In het kader van online-toegang van buiten Wonen-Vlaanderen en het gebruik van mobiele media neemt Wonen-Vlaanderen de nodige maatregelen om ervoor te zorgen dat gegevens enkel toegankelijk zijn voor geautoriseerde personen.

Page 7: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 7 van 22

3 MEDEWERKERS GERELATEERDE VEILIGHEID / NORM-HOOFDSTUK 7 MEDEWERKERS-GERELATEERDE VEILIGHEID

De doelstelling van dit beleid is de ervaring van medewerkers zo goed mogelijk te benutten en hun kennis op het vereiste niveau te houden ter bevordering van de informatieveiligheid.

3.1 VOORAFGAAND AAN HET DIENSTVERBAND

Het belang van gegevensbescherming wordt reeds tijdens de rekrutering bij potentiële kandidaten benadrukt. Succesvolle kandidaten ondertekenen een document waarin clausules zijn opgenomen die hun verantwoordelijkheden inzake gegevensbescherming benadrukken.

3.2 TIJDENS HET DIENSTVERBAND

Wonen-Vlaanderen zorgt ervoor dat iedere interne en externe werknemer die toegang heeft tot persoonsgegevens deze slechts verwerkt in opdracht van Wonen-Vlaanderen. Wonen-Vlaanderen zal de interne en externe medewerkers die betrokken zijn bij de verwerking van persoons- en andere vertrouwelijke gegevens op de hoogte stellen van de vertrouwelijkheids- en veiligheidsplichten t.a.v. deze gegevens en dit zowel voor de logische als de fysieke toegang. Er wordt nagekeken wat er al in statuut, deontologische code en andere richtlijnen staat. Zo nodig worden deze uitgebreid met veiligheidsaspecten eigen aan de verwerkte gegevens.

3.3 NA HET DIENSTVERBAND

Wonen-Vlaanderen definieert de verantwoordelijkheden en taken die van kracht blijven na beëindiging of wijziging van het dienstverband. Deze worden naar interne en externe werknemers toe gecommuniceerd.

3.4 RICHTLIJNEN

Wonen-Vlaanderen heeft richtlijnen rond:

• het privé-gebruik van de infrastructuur in het algemeen en Internet (e-mail, web, …) in het bijzonder: zowel voor internen als voor externen die betrokken zijn bij de verwerking van persoons- en andere vertrouwelijke gegevens.

• de bescherming van de integriteit van de systemen (geen misbruik, geen interne hacking), de

Page 8: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 8 van 22

apparatuur (beveiliging en zorg) en het netwerk (geen wijzigingen of interne/externe uitbreidingen). • het oordeelkundig gebruik van internet (ethisch gedrag, vermijden van risico's, aangepaste acties bij

incidenten, …) Via functiebeschrijvingen, geheimhoudingsverklaringen, gedragscodes, arbeidsreglement, persoonlijke objectieven of andere overeenkomsten worden de medewerkers hierop attent gemaakt. Eens de richtlijnen opgesteld zijn dienen deze aan arbeidsreglement gekoppeld te worden. De ICT-code 2014 van de Vlaamse Overheid dekt deze richtlijnen af. Een bijzonder aandachtspunt, vooral bij medewerkers met rechtstreeks contact met de burger, zijn de “social engineering”-technieken die als doel hebben door misleiding rechtstreeks of onrechtstreeks persoons- en andere vertrouwelijke gegevens te verwerven.

3.5 INFORMATIECAMPAGNES, SENSIBILISERING

Binnen Wonen-Vlaanderen is de veiligheidsconsulent verantwoordelijk voor het sensibiliseren van het personeel. Wonen-Vlaanderen wijst zijn personeel:

• op zijn plichten om (informatie)veiligheidsrisico's en -incidenten te melden. • op zijn plicht om de fysische beveiliging (toegangscontrole) en logische beveiliging (paswoorden,

tokens, …) te handhaven en de veiligheid van de apparatuur te verzorgen. • op de noodzaak om de richtlijnen strikt te respecteren i.v.m. informatiebeveiliging.

Wonen-Vlaanderen plant en organiseert informatiecampagnes omtrent:

• de algemene risico's (inherent onveilig zijn van een aantal media, het zorgprincipe, …) en het belang van informatiebeveiliging.

• informatiecampagnes omtrent de risico's van internet : e-mail, www en andere (ftp, instant messaging, …).

• de risico's en het belang van "social engineering" (t.o.v. collega's, helpdesk, leveranciers, …) Wonen-Vlaanderen, de veiligheidsconsulent in het bijzonder, werkt aan sensibilisering bij het personeel:

• omtrent het gebruik van de beschermsoftware op de PC's (anti-virus, antispyware, …) en de procedure te volgen bij een (mogelijke) infectie.

voor de informatici in verband met de veiligheidsaspecten van hun taken: operatoren, programmeurs, …

Page 9: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 9 van 22

4 CLASSIFICATIE EN BEHEER VAN BEDRIJFSMIDDELEN / NORM-HOOFDSTUK 8 BEHEER VAN BEDRIJFSMIDDELEN

4.1 CLASSIFICATIE EN BEHEER VAN INFORMATIE

Dit beleid heeft als doel het handhaven van een gepaste bescherming van de bedrijfsmiddelen (hardware, software en de gegevens zelf). Wonen-Vlaanderen weet waar de persoons- en andere vertrouwelijke gegevens zich bevinden, hoe ze geclassificeerd worden en hoe ze in overeenstemming met deze classificatie verwerkt moeten worden. Ook interne en externe werknemers worden op de hoogte gebracht van de verschillende classificaties en hun gevolgen. Van volgende classificaties wordt gebruik gemaakt:

• Anonieme gegevens: gegevens die niet in verband kunnen gebracht worden met een geïdentificeerde of identificeerbare persoon en zijn dus geen persoonsgegevens;

• persoonsgegevens: iedere informatie over een geïdentificeerd of identificeerbaar natuurlijk persoon.

• gevoelige persoonsgegevens: gegevens over ras, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuigingen, lidmaatschap van een vakvereniging, gezondheid, seksuele leven, verdenkingen, vervolgingen, strafrechtelijke of bestuurlijke veroordelingen.

• gecodeerde persoonsgegevens: dit zijn persoonsgegevens die slechts door middel van een code in verband kunnen gebracht worden met een geïdentificeerde of identificeerbare persoon.

De beveiliging blijft het gepaste beschermingsniveau over de hele levenscyclus van de gegevens behouden. Het gepaste beschermingsniveau wordt bepaald aan de hand van de classificatie van de relevante informatie en het risico dat daarmee gepaard gaat. Wonen-Vlaanderen zal over een permanent bijgewerkte inventaris beschikken van het informaticamateriaal, de software die de gegevens verwerken en de functies die zij uitvoeren. Uitbreiding scope: ook andere gegevens cf ict-code 20142 hebben nood aan extra beveiliging, we geven ze de naam “vertrouwelijke gegevens” (naast persoonsgegevens en gevoelige persoonsgegevens (art 6 7 8 privacywet)3: Vertrouwelijke gegevens zijn gegevens waarvan de belangen van betrokkenen kunnen geschaad worden bij openbaarmaking:

2 (http://www.bestuurszaken.be/BZ-2014-2 ) 3 Art. 9 en 10 Algemene Verordening Gegevensbescherming.

Page 10: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 10 van 22

• belangen van de Vlaamse overheid, bijvoorbeeld het geheim van beraadslagingen van instanties die politieke beslissingen nemen, informatie over een interne audit;

• belangen binnen gerechtelijke procedures, bijvoorbeeld informatie m.b.t. gerechtelijke procedures of strafrechtelijke feiten waarbij de Vlaamse overheid betrokken partij is;

• zaken van maatschappelijk belang, bijvoorbeeld informatie die invloed kan hebben op de openbare orde en veiligheid of informatie die een economisch, financieel of commercieel belang kan schaden

4.2 CLASSIFICATIE EN BEHEER VAN MEDIA

Bepaalde media kunnen vertrouwelijke gegevens bevatten en de beveiligingsperimeter van Wonen-Vlaanderen verlaten (laptops, USB-sticks …). Wonen-Vlaanderen heeft aangepaste procedures voor het beheer van verwijderbare media om dit beveiligingsrisico op te vangen. De nodige maatregelen worden genomen om fysieke media (inclusief papieren documenten) te beschermen tegen onbevoegde toegang, misbruik en corruptie.

5 LOGISCHE TOEGANGSBEVEILIGING / NORM-HOOFDSTUK 9 TOEGANGSBEVEILIGING (LOGISCH)

De doelstelling van dit beleid is het beheersen van de toegang tot informatie en bedrijfsprocessen in overeenstemming met de functionele behoeften en beveiligingseisen.

5.1 BEVEILIGING GEGEVENS

Wonen-Vlaanderen beveiligt de toegang tot de persoons- en andere vertrouwelijke gegevens door middel van een identificatie-, authentificatie- en autorisatiesysteem. Doel van de beveiliging is elke persoon slechts die toegangen te geven waartoe hij uitdrukkelijk geautoriseerd is. De noden per (sub)systeem worden door Wonen-Vlaanderen vastgelegd wat betreft identificatie, authentificatie, authorisatie, nood of wenselijkheid van het opstellen van (gebruikers)profielen, controle op toekenning van rechten met speciale bevoegdheden en de kwaliteit van de bewaring van de wachtwoorden op de systemen. Het beleid inzake toegangscontrole wordt door het directiecomité van Wonen-Vlaanderen goedgekeurd en regelmatig geactualiseerd. Per classificatie van persoonsgegevens wordt het beleid beoordeeld, vastgesteld en gedocumenteerd.

Page 11: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 11 van 22

Wonen-Vlaanderen heeft een register met de toegekende toegangen per systeem. Automatische interfaces tussen verschillende systemen worden door Wonen-Vlaanderen in kaart gebracht en men kijkt na of de toegangen nog overeenstemmen met de vastgelegde eisen. Wonen-Vlaanderen legt controles vast op het gebruik van speciale rechten (admin, super-user, …).

5.2 BEHEER VAN DE TOEGANGSRECHTEN

Binnen Wonen-Vlaanderen wordt een verantwoordelijke aangesteld die belast wordt met het beheer van alle aanvragen m.b.t. toegang tot vertrouwelijke gegevens. Deze verantwoordelijkheid kan niet gecombineerd worden met het toekennen, aanpassen of verwijderen van toegangsrechten op technisch niveau. Uitgebreide rechten van systeembeheerders worden beperkt wat betreft de toegang tot vertrouwelijke gegevens. Werknemers worden gewezen op hun verantwoordelijkheden inzake toegangsbeveiliging (bv. verantwoordelijk kiezen en beheren van wachtwoorden).

5.3 TOELATINGEN SECTORAAL COMITÉ EN VTC

Wonen-Vlaanderen vergewist zich van het bestaan van de noodzakelijke machtigingen van het sectoraal comité voor de toegang tot persoonsgegevens beheerd door een andere instelling. Eventuele bijkomende (beveiligings-)maatregelen die voortspruiten uit de verkregen machtiging zullen strikt uitgevoerd worden. Een register met de machtigingen wordt opgemaakt en de adjunct veiligheidscoördinator houdt dit register actueel.

5.4 TOEGANG OP AFSTAND

Wonen-Vlaanderen heeft de gepaste maatregelen getroffen, in functie van het toegangsmedium (internet, gehuurde verbinding, privaat netwerk, draadloos) , voor de beveiliging van de online-toegang tot de persoons- en andere vertrouwelijke gegevens voor externen . Bijvoorbeeld bij telewerken, remote support, verbinding met de datacenters of verbindingen met derden. PTOW wordt in 2017 ingevoerd.

Page 12: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 12 van 22

5.5 BESCHERMING VAN GEGEVENS OP MOBIELE MEDIA (VERWIJDERBAAR FLASHGEHEUGEN, DRAAGBARE HARDDISK, NAS, LAPTOP, SMARTPHONE,...)

Wonen-Vlaanderen neemt de gepaste maatregelen indien persoons- en andere vertrouwelijke gegevens worden opgeslagen op mobiele media die de beveiligingsperimeter van Wonen-Vlaanderen kunnen verlaten.

6 CRYPTOGRAFIE

Afhankelijk van de resultaten van de gegevensbeschermingseffectbeoordeling ontwikkelt Wonen-Vlaanderen een beleid voor het correct en doeltreffend gebruik van cryptografie om de vertrouwelijkheid, authenticiteit en/of integriteit van persoonsgegevens te beschermen.

7 FYSIEKE BEVEILIGING EN BEVEILIGING VAN DE OMGEVING

In dit hoofdstuk gaat het over fysieke toegang tot informatie en informatiesystemen voorkomen voor onbevoegden en dit om

• niet toegelaten kennisname, verminking of diefstal van informatie te beletten • schade aan of hinderlijke storing van informatiesystemen te voorkomen

Wat betreft de fysieke beveiliging en beveiliging van de omgeving zal Wonen-Vlaanderen zich aansluiten op het beleid van Het Facilitair Bedrijf. Wonen-Vlaanderen is immers gehuisvest in de Vlaamse VAC’s waar het Facilitair Bedrijf verantwoordelijk is voor de veiligheid van de omgeving en de medewerkers. In alle grote kantoorgebouwen van het Facilitair Bedrijf moet iedereen na 1 september 2017 zijn badge zichtbaar dragen in de zone na de toegangspoortjes, zowel medewerkers als bezoekers. In de openbare gedeeltes hoeft dit niet.

7.1 FYSIEKE TOEGANGSBEVEILIGING

Wonen-Vlaanderen beperkt de toegang tot de gebouwen en lokalen tot de geautoriseerde personen en verricht een (automatische) controle erop zowel tijdens als buiten de werkuren. Deze controle geldt tevens ook voor de toegang tot opslagmedia en papier.

Page 13: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 13 van 22

Wonen-Vlaanderen maakt gebruik van wat Het Facilitair Bedrijf in de respectievelijke VAC’s aanbiedt aan beveiliging van gebouwen en lokalen. Voor de beveiliging van opslagmedia en papier dient Wonen-Vlaanderen zelf de nodige maatregelen te nemen al dan niet via de outsourcings-partner. Wonen-Vlaanderen inventariseert de maatregelen die het Facilitair Bedrijf neemt.

7.2 BRAND, INBRAAK, WATER

Wonen-Vlaanderen neemt maatregelen m.b.t. de preventie, de bescherming, de detectie, het blussen en de interventie in geval van brand, inbraak of waterschade. Voor de kantooromgeving: Wonen-Vlaanderen maakt gebruik van wat Het Facilitair Bedrijf in de respectievelijke VAC’s aanbiedt.

7.3 STROOMVOORZIENING

Voor de kantooromgeving: Wonen-Vlaanderen maakt gebruik van wat Het Facilitair Bedrijf in de respectievelijke VAC’s aanbiedt. De omzendbrief BZ2012/4 van 23 november 2012 lijst de verschillende verantwoordelijkheden van de Het Facilitair Bedrijf op.

7.4 VERWIJDERING MEDIA

Wonen-Vlaanderen neemt de nodige maatregelen opdat alle gegevens op opslagmedia4 gewist / geencrypteerd of fysiek onbruikbaar gemaakt worden vóór verwijdering of hergebruik. Dit geldt ook voor papieren met persoons- en andere vertrouwelijke gegevens op.

8 OPERATIONEEL BEHEER

De dienst ICT staat in voor de centrale IT-ondersteuning voor de verschillende afdelingen binnen Wonen-Vlaanderen. De dienst ICT beheert onder andere de toegangen tot toepassingen, de toepassingen voor bedrijfsgegevens, de pc’s van de verschillende diensten. De decentrale verantwoordelijken nemen slechts een beperkt deel van het IT-beheer voor hun rekening. De netwerken worden beheerd door de Vlaamse Overheid.

4 Het gaat over: CD’s, DVD’s, backuptapes, memorysticks, harde schijven (uit pc’s, laptops, server, NAS, SAN, andere storage-systemen, printers, kopieertoestellen, multi-functionals etc

Page 14: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 14 van 22

8.1 TOEGANG TOT INFORMATICASYSTEMEN DOOR INFORMATIEBEHEERDERS

Wonen-Vlaanderen beheert de verschillende toegangen tot de toepassingen. Er wordt een inventaris bijgehouden door de siteverantwoordelijke. Bij het verlenen van toegangen tot bepaalde toepassingen dient de medewerker ook een verwerkersovereenkomst te tekenen. De toegang tot de verschillende toepassingen wordt beperkt door identificatie, authentificatie en autorisatie.

8.2 DETECTIE EN OPVOLGING VAN VEILIGHEIDSINBREUKEN

Wonen-Vlaanderen heeft een systeem en formele, geactualiseerde procedures geïnstalleerd die toelaten om veiligheidsinbreuken te detecteren, op te volgen en te herstellen in verhouding tot het technisch/operationeel risico. Een generiek mailadres wordt gebruikt voor het melden van deze inbreuken aan het ICT-team,waar ze worden opgepikt om er verder gevolg aan te geven. In een inventarislijst worden de verschillende inbreuken opgenomen met vermelding van de genomen acties.

8.3 NETWERKEN

Speciale aandacht wordt besteed aan het handhaven van de beveiliging van informatie in netwerken (vb. naar andere beveiligde netwerken) en de bescherming van de ondersteunende infrastructuur. Maximale maatregelen worden genomen bij het transport van persoons- en andere vertrouwelijke gegevens via openbare netwerken (vb. Internet). Ook wordt gezorgd voor de nodige beschikbaarheid indien dit vereist is om de verwachte dienstverlening te waarborgen.

8.4 BESCHERMING TEGEN MALWARE (VIRUS, WORM, TROJAANS PAARD, SPAM, SPYWARE, ...)

Wonen-Vlaanderen heeft geactualiseerde systemen ter bescherming (voorkoming, detectie en herstel) tegen malware zowel op desktops, servers als op mailservers en webservers.

Page 15: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 15 van 22

8.5 NAGAAN VAN VEILIGHEIDSVEREISTEN VÓÓR INPRODUCTIENAME

Wonen-Vlaanderen zal nazien dat, vooraleer nieuwe of belangrijke evoluties van bestaande systemen in productie genomen worden, de projectverantwoordelijke nagaat of aan de veiligheidsvereisten voldaan werd die aan het begin van de ontwikkelingsfase vastgesteld werden (zie ook hoofdstuk “Ontwikkeling”). De veiligheidsconsulent van Wonen-Vlaanderen zal er mee op toezien voor de toepassingen die persoonsgegevens verwerken.

8.6 VEILIGHEID OP NETWERKNIVEAU

Wonen-Vlaanderen zorgt ervoor dat de netwerken op een gepaste manier beheerd en gecontroleerd worden zodanig dat ze beveiligd zijn tegen bedreigingen en de beveiliging afdoende garanderen van de systemen en toepassingen die het netwerk gebruiken.

8.7 BEHEER VAN GEGEVENSSTROMEN

Wonen-Vlaanderen zal een lijst van de openstaande stromen up-to-date houden. Binnen Wonen-Vlaanderen wordt hierrond een document opgesteld gebaseerd op de “cirkels van vertrouwen”5 zodat er een end-to-end overzicht is van wie welke rol op zich neemt, wie logging neemt etc.

8.8 BACK-UP-POLICY EN PROCEDURES

Om onherstelbaar verlies van gegevens te voorkomen, zal Wonen-Vlaanderen een policy en een strategie definiëren om een backupsysteem te implementeren, in overeenstemming met het continuïteitsbeheer. De genomen backups zullen ook regelmatig geverifieerd worden.

8.9 LOGGING TOEGANG

Wonen-Vlaanderen zal een loggingsysteem implementeren voor de verwerkte persoonsgegevens teneinde conform te zijn met de geldende wetgeving.

5 Cf. document CBPL over toegangsbeheer binnen de overheid: Aanbeveling nr. 01/2008 van 24 september 2008 Betreft: aanbeveling met betrekking tot het toegangs- en gebruikersbeheer in de overheidssector (SE/2008/028) http://www.privacycommission.be/node/10147

Page 16: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 16 van 22

Indien vereist zal dit ook voor de andere vertrouwelijke gegevens worden geïmplementeerd. Dit geldt voor elke omgeving met persoonsgegevens, waaronder mogelijks ook de crm-systemen.

8.10 TERUGKOPPELING TOT OP NATUURLIJKE PERSOON VAN EEN OPZOEKING

Wonen-Vlaanderen zal in het kader van de toepassing van de “cirkels van vertrouwen” zo nodig opzoekingen terug kunnen traceren tot op het niveau van de natuurlijke persoon die de opzoeking - met als resultaat persoonsgegevens - initieerde. Dit geldt voor elke omgeving met persoonsgegevens, waaronder mogelijks ook de crm-systemen.

8.11 VERMIJDEN SINGLE POINT OF CONTROL

Wonen-Vlaanderen zal over procedures beschikken:

• Voor het in productie stellen van nieuwe toepassingen en het aanpassen van bestaande toepassingen • Teneinde te voorkomen dat een enkele persoon alleen de controle zou verwerven over dit proces • Om te vermijden dat ontwikkelaars aan de toepassing wijzigingen kunnen aanbrengen in productie

zonder via acceptatie of staging te gaan • Om te vermijden dat men op de live systemen de data kan aanpassen

9 COMMUNICATIEBEVEILIGING / NORM-HOOFDSTUK 13 COMMUNICATIEBEVEILIGING

9.1 NETWERKBEVEILIGING

Netwerken waarvan Wonen-Vlaanderen gebruik maakt worden op gepaste wijze beheerd en gecontroleerd, zodanig dat ze beveiligd zijn tegen bedreigingen. Ook garandeert Wonen-Vlaanderen de beveiliging van de systemen en toepassingen die het netwerk gebruiken.

9.2 INFORMATIETRANSPORT

Het directiecomité stelt een beleid op inzake toegelaten communicatiemiddelen en het gebruik ervan, met bijzondere aandacht voor de beveiliging van persoonsgegevens. Dit beleid wordt naar alle relevante partijen gecommuniceerd.

Page 17: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 17 van 22

Waar nodig wordt gebruik gemaakt van vertrouwelijkheidsovereenkomsten. Deze afweging wordt regelmatig gemaakt en gedocumenteerd.

10 VERWERVING, ONTWIKKELING EN ONDERHOUD VAN SYSTEMEN / NORM-HOOFDSTUK 14 VERWERVING, ONTWIKKELING EN ONDERHOUD VAN SYSTEMEN

De doelstelling van dit beleid is het verzekeren van de vereiste beveiliging in verband met de gebruikte systemen en dit gedurende de volledige levenscyclus, vanaf de conceptuele fase. Scopebeperking: het gaat hier enkel over de toepassingen / systemen / webservices / portaaltoepassingen bij Wonen-Vlaanderen die thans persoons- en andere vertrouwelijke gegevens verwerken: ... Op termijn kan dit uitgebreid worden naar andere gegevens.

10.1 INFORMATIEVEILIGHEID IN HET KADER VAN PROJECTEN

Wonen-Vlaanderen bewaakt de duurzame ontwikkeling van nieuwe systemen of belangrijke evoluties van bestaande systemen zodat door de projectverantwoordelijke rekening wordt gehouden met de veiligheidsvereisten die in dit document beschreven worden.

10.2 DOCUMENTATIE

Wonen-Vlaanderen beschikt over procedures voor de uitwerking van documentatie bij de ontwikkeling van nieuwe en het onderhoud van bestaande toepassingen en systemen.

10.3 GESTRUCTUREERDE ONTWIKKELINGSAANPAK

Wonen-Vlaanderen beschikt over een gestructureerde aanpak om de veilige ontwikkeling van systemen na te streven. Opmerking: in wat volgt spreekt men in algemene termen over “de softwareleverancier”, doch dit kan ook de interne afdeling zijn die de software ontwikkeld.

Page 18: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 18 van 22

Wonen-Vlaanderen zorgt voor een goed beheer van wijzigingen in (en dus ook nieuwe) systemen en functies: controle op conformiteit (functioneel, veiligheidsaspecten, acceptatieprocedure, …), controle op het beheer van de wijzigingen (functiescheiding binnen het change management proces), patchbeheer, … Wonen-Vlaanderen inventariseert alle (veiligheids)maatregelen die worden genomen om de kwaliteit, zowel op functioneel gebied als op gebied van beveiliging te garanderen voor de ontwikkelde software. Bij voorkeur wordt dit gedocumenteerd op een uniforme manier voor alle toepassingen die persoons- en andere vertrouwelijke gegevens verwerken, hiertoe gebruikt men het document: “Fiche informatiebeveiliging bij verwerking van persoonsgegevens”. Wonen-Vlaanderen zorgt ervoor dat elke softwareleverancier aantoont dat hij beschikt over een procedure en dat hij deze toepast om te garanderen dat:

1) bij de ontwikkeling van nieuwe systemen of bij de verdere ontwikkeling van bestaande systemen de beveiligingseisen op formele manier gedefinieerd worden

2) de software nagezien wordt op veiligheidsaspecten, bij voorkeur door andere partijen dan de ontwikkelaars (code review) of dat dit al minstens contractueel toegelaten is na de in productiestelling

3) het versiebeheer doelmatig is georganiseerd en de integriteit van de software tijdens het ontwikkelingsproces gegarandeerd wordt.

4) de nodige maatregelen zijn genomen om te vermijden dat geheime communicatiekanalen (“covert channels”) in systemen verborgen worden.

5) technische documentatie over de algemene werking van het systeem en in detail over de genomen beveiligingsmaatregelen wordt opgesteld en onderhouden.

6) hij testgegevens die afkomstig zijn van productiesystemen zorgvuldig beheert en na gebruik onherroepelijk vernietigt. (Hierrond dienen aparte contracten opgesteld te worden zo men met een externe softwareleverancier werkt)

Wonen-Vlaanderen neemt de nodige maatregelen om de veiligheid te garanderen op applicatieniveau teneinde eventuele veiligheidsinbreuken te vermijden (vertrouwelijkheid, integriteit, beschikbaarheid). Bv door de meest kritische toepassingen te laten testen tegen de meest recente en relevante OWASP top 10.

11 LEVERANCIERSRELATIES / NORM-HOOFDSTUK 15 LEVERANCIERSRELATIES

In geval Wonen-Vlaanderen samenwerkt met een leverancier wordt steeds nagegaan of de leverancier voldoende waarborgen biedt inzake informatiebeveiliging. Verplichtingen inzake het gebruik en verwerken van vertrouwelijke gegevens worden contractueel vastgelegd, zoals verplicht op basis van art. 16 Privacywet en art. 28 uit AVG/GDPR.6

6 Art. 28 Algemene Verordening Gegevensbescherming.

Page 19: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 19 van 22

12 NORM-HOOFDSTUK 13 BEHEER VAN INCIDENTEN IN VERBAND MET INFORMATIEVEILIGHEID

De Algemene Verordening Gegevensbescherming definieert een data breach als volgt: Art 4 12) "inbreuk in verband met persoonsgegevens": een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Binnen de instelling worden de verantwoordelijkheden en de procedures vastgelegd inzake de detectie, interventie, herstelling en evaluatie van informatiebeveiligingsincidenten. Zwakke plekken rond de beveiliging van vertrouwelijke gegevens worden gerapporteerd. Wonen-Vlaanderen zal ervoor zorgen dat de dienst informatieveiligheid op de hoogte gesteld wordt van belangrijke incidenten die de informatieveiligheid in het gedrang kunnen brengen alsook van de maatregelen die genomen worden om aan deze incidenten het hoofd te bieden.

13 CONTINUÏTEITSBEHEER / NORM-HOOFDSTUK 17 CONTINUITEITSBEHEER

Het beleid i.v.m. continuïteitsbeheer (hierna BCP) heeft als doelstelling te kunnen reageren op verstoring van bedrijfsactiviteiten en het beschermen van kritieke bedrijfsprocessen in geval van grootschalige incidenten. Een belangrijke verstoring van de operationele activiteiten van Wonen-Vlaanderen zou een negatieve impact kunnen hebben op bijvoorbeeld het tijdig uitbetalen van een subsidie. Wonen-Vlaanderen zal een continuïteitsplan (BCP) uitwerken, testen en onderhouden indien de kritische processen van Wonen-Vlaanderen dit vereisen. Dit continuïteitsplan moet gebaseerd zijn op een risico-analyse om de kritische opdrachten van Wonen-Vlaanderen te kunnen waarborgen. Wonen-Vlaanderen werkt een risico-analyse uit. Onderdelen van het BCP kunnen zijn: 1) Een inventaris van de infrastructuur : hardware, software en netwerk. 2) De documentering van de activiteiten in processen en procedures (zie ook hoofdstuk 2). 3) Het opstellen van een matrix die de verbinding maakt tussen de activiteiten en de infrastructuurelementen. 4) Het bepalen van de risico's van en de gewenste minimale dienstverlening voor elke activiteit (o.a. maximale onderbreking). 5) Het bepalen van de mogelijke en/of nodige maatregelen om de minimale dienstverlening te garanderen en hun invloed op of nood aan ICT ondersteuning.

Page 20: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 20 van 22

6) Het voorzien van redundantie om continuïteit te waarborgen, met inachtname van de bijkomende risico’s ten gevolge van redundantie. 7) Er worden draaiboeken opgesteld die moeten helpen bij: a) een IT-incident (onbeschikbaar worden van (een deel van) de ICT infrastructuur of connectiviteit), b) een ramp (onbeschikbaar worden van (een deel van) de ICT infrastructuur of connectiviteit en van de omgeving). c) evaluatieprocedures, testmethode's en testplan voor beide scenario's.

14 NALEVING / NORM-HOOFDSTUK 15 NALEVING

14.1 EXTERNE AUDIT

Wonen-Vlaanderen zal periodiek een conformiteitsaudit organiseren met betrekking tot de veiligheidssituatie. De audit hoeft niet allesomvattend te zijn en kan bijvoorbeeld door een externe veiligheidsconsulent uitgevoerd worden. Het opstellen van het eerste veiligheidsplan hield reeds een risico-analyse in, dit plan wordt jaarlijks geüpdatet. Wonen-Vlaanderen zal de opvolging van de wetgeving i.v.m. (informatie)veiligheid inrichten en verantwoordelijkheden vastleggen. Wonen-Vlaanderen zal de opvolging van de softwarelicenties vastleggen en deze afstemmen met de inventaris. Wonen-Vlaanderen zal procedures opstellen voor het nazicht of de veiligheidsdienst werkt conform de relevante wetgeving en of alle maatregelen die de informatie-uitwisseling tussen Wonen-Vlaanderen en de veiligheidsdienst moeten garanderen ook effectief in gebruik zijn.

Page 21: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 21 van 22

15 VERKLARENDE WOORDENLIJST

− ICT-code 2014: Omzendbrief BZ 2014/2 - Omzendbrief ICT-code − ISMS: staat voor Information Security Management System een kwaliteitssysteem waarbij je eigenlijk een

aantal stappen ten aanzien informatiebeveiliging continue blijft uitvoeren. Het is simpel gezegd het uitvoeren van een PDCA cyclus (Plan, Do, Check, Act) waarbij je voor je ISMS een scope aangeeft (wat is er bedrijfskritiek en heb je een risicoanalyse), Do (wat moet je verbeteren?), Check (heb je assessments, interne audits etc) en Act (acteren op de eerdere stappen, verbeteren van je proces). Bij een ISMS horen ook een aantal randvoorwaardelijke zaken zoals security awareness, training, niveau van kennis, bepaalde processen (zoals security incidenten melden etc). Kortom: een ISMS is meer dan een systeem; het is een manier van omgaan met informatiebeveiliging.

− Informatieveiligheidsplan: lijst op bevattelijke wijze de krachtlijnen van het door Wonen-Vlaanderen gevoerde informatieveiligheidsbeleid op en geeft aan waar prioritair aandacht aan zal worden gegeven.

− Informatieveiligheidsbeleid: Het informatieveiligheidsbeleid van Wonen-Vlaanderen gaat verder dan

alleen maar de bescherming van de privacy. Het informatieveiligheidsbeleid gaat bevat de bescherming van waardevolle gegevens tegen ongewilde openbaarmaking, diefstal of verlies, alsook het verzekeren van de bedrijfscontinuïteit genieten mee van de geschetste maatregelen.

− Wet op de bescherming van de persoonlijke levenssfeer - Privacy wet: Wet van 8 december 1992 voor de

bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. − Algemene verordening gegevensbescherming: Europese algemene verordening gegevensbescherming

(AVG) gaat over de 'bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens'. In het Engels heet de AVG General Data Protection Regulation (GDPR). Deze verordening vervangt de databeschermingsrichtlijn uit 1995. De officiële naam : Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en intrekking van Richtlijn 95/46/EG

− Veiligheidsconsulent, is erkend door de privacycommissie en fungeert bij Wonen-Vlaanderen als “data

protection officer”. De Veiligheidsconsulent adviseert en ondersteunt op onafhankelijke wijze zowel naar het beleid toe als naar individuele betrokkenen binnen de instelling.

− Vlaamse Toezichtcommissie(VTC): De bevoegdheden van de Vlaamse Toezichtcommissie voor het

elektronische bestuurlijke gegevensverkeer zijn bepaald in artikel 11 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer en de uitvoeringsbesluiten van de Vlaamse Regering van 15 mei 2009.

Page 22: ...3.5 Informatiecampagnes, sensibilisering 8 4 Classificatie en beheer van bedrijfsmiddelen / Norm-hoofdstuk 8 Beheer van

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 17.10.2017 Veiligheidsbeleid pagina 22 van 22

− Sectorale comités: Binnen de commissie voor de bescherming van de persoonlijke levenssfeer opgerichte comités, die een bepaald thema behandelen

− Deontologische code: De Deontologische code van de Vlaamse Overheid, de Deontologische code van Wonen-Vlaanderen. Beide zijn complementair.

− BCP continuïteitsbeheer en plan: Het Business Continuity Plan is een draaiboek waarin wordt vastgelegd

welke maatregelen moeten worden genomen direct nadat een calamiteit zich voordoet om de continuïteit van uw organisatie te garanderen. Het doel van een BCP is het minimaliseren van de impact van een crisis, calamiteit of andere verstoring van uw dagelijkse processen. Een BCP focust zich alleen op het garanderen van de bedrijfscontinuïteit na een calamiteit en niet op het voorkomen van de calamiteit. Het voorkomen van de calamiteit is een onderdeel van het risicomanagementproces.