INFORMATIEVEILIGHEIDSBELEID - Vlaanderen · VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING -...

VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING

INFORMATIEVEILIGHEIDSBELEID

VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING - INFORMATIEVEILIGHEIDSBELEID

2/13

INHOUD

1. Inleiding ........................................................................................................................................... 3

1.1. Definitie informatieveiligheid en doelstelling ............................................................................ 3

1.2. Toepassingsgebied ................................................................................................................. 4

1.3. Ambitie ..................................................................................................................................... 4

1.4. Machtigingen ........................................................................................................................... 5

1.5. Beheer van het beleidsdocument ............................................................................................ 5

2. Informatieveiligheidsorganisatie ...................................................................................................... 6

2.1. Eindverantwoordelijkheid ......................................................................................................... 6

2.2. Eigenaarschap ......................................................................................................................... 6

2.3. Rollen binnen de informatieveiligheidsorganisatie .................................................................. 6

3. Informatieveiligheidsproces ........................................................................................................... 10

3.1. Risico-gebaseerde aanpak .................................................................................................... 10

3.2. Continue verbetering ............................................................................................................. 10

3.3. Aansturing van het proces ..................................................................................................... 10

3.4. Security awareness ............................................................................................................... 11

3.5. Projectmanagement .............................................................................................................. 11

3.6. Melding en afhandeling van incidenten ................................................................................. 11

4. Evaluatie, naleving en toezicht ...................................................................................................... 13

4.1. Evaluatie ................................................................................................................................ 13

4.2. Naleving ................................................................................................................................. 13

4.3. Toezicht ................................................................................................................................. 13


3/13

1. INLEIDING

Het Vlaams Ministerie van Onderwijs en Vorming verzamelt en beheert vanuit haar wettelijke opdracht

een veelheid aan gevoelige informatie. Het gaat hierbij onder andere om gegevens van leerlingen,

studenten, cursisten, ouders en onderwijspersoneel, waarvoor een wettelijke verplichting bestaat tot

adequate beveiliging. Daarnaast staat de continuïteit van de dienstverlening en het verzorgen van

kwaliteitsvolle, transparante en toegankelijke dienstverlening centraal.

De opslag en verwerking van deze gegevens gebeurt vooral met geautomatiseerde ICT-toepassingen

binnen een complexe ICT-infrastructuur en biedt daarmee een aanzienlijke uitdaging in termen van

bestuurbaarheid op het gebied van informatieveiligheid.

Om deze reden wordt in dit document een gestructureerde aanpak van de informatieveiligheid

voorgesteld, met het doel deze een kernkwaliteit te maken van de gehele informatievoorziening. Van

belang daarbij is aandacht voor de natuurlijke spanning die bestaat tussen enerzijds beveiligingseisen

die beperkingen stellen en kosten met zich meebrengen, en anderzijds verwachtingen van gebruikers

omtrent eenvoud, flexibiliteit en toegankelijkheid. Om de juiste balans te vinden worden de risico’s

zorgvuldig gewogen.

1.1. DEFINITIE INFORMATIEVEILIGHEID EN DOELSTELLING

Onder informatieveiligheid verstaan we het geheel van maatregelen, procedures en processen die de

beschikbaarheid, integriteit en vertrouwelijkheid van alle vormen van informatie garanderen, met als

doel de continuïteit van de informatie en de informatievoorziening, inclusief de onderliggende ICT-

infrastructuur, te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel,

vooraf bepaald niveau te beperken.

Beschikbaarheid is het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig

toegang hebben tot de informatie en informatiesystemen. Integriteit staat in het teken van het

behouden en beschermen van de juistheid en de consistentie van data en het voorkomen worden dat

data onbedoeld aangepast wordt. Vertrouwelijkheid is het waarborgen dat informatie alleen

toegankelijk is voor diegenen die hiertoe zijn geautoriseerd.

Het informatieveiligheidsbeleid dient als leidraad voor de aansturing en coördinatie van de

verschillende beveiligingsprocessen. Het uiteindelijke doel is het inrichten van een evenwichtig stelsel

van beveiligingsmaatregelen, gericht op risicobeheersing.

Met evenwichtig bedoelen we in dit verband het vinden van een optimum tussen werkbaarheid en

veiligheid. Maximale veiligheid is immers absoluut onwerkbaar, maar maximale werkbaarheid is

absoluut onveilig. Het optimum is een punt waarbij ernstige informatiebeveiligingsrisico’s worden

beperkt, maar nog wel een zeker risico bewust wordt genomen, opdat dat de werkbaarheid niet in het

gedrang komt.

Het informatieveiligheidsbeleid is noodzakelijkerwijs relatief abstract van aard is. Nadere

concretisering volgt in het informatieveiligheidsplan, waarin onder andere wordt vastgesteld welke

methoden gebruikt worden, welke maatregelen worden uitgevoerd, en hoe de juiste werking daarvan

wordt gecontroleerd.


4/13

1.2. TOEPASSINGSGEBIED

Het informatieveiligheidsbeleid is van toepassing op de volgende entiteiten van het Vlaams Ministerie

van Onderwijs en Vorming:

- het Agentschap voor Onderwijsdiensten,

- het Agentschap voor Hoger Onderwijs, Volwassenenonderwijs, Kwalificaties en

Studietoelagen,

- het Departement Onderwijs en Vorming en

- de Onderwijsinspectie.

Het informatieveiligheidsbeleid is van toepassing op alle medewerkers. Naleving van dit beleid vormt

een voorwaarde om toegang tot de informatie en informatiesystemen te krijgen zowel voor het

statutaire en contractuele personeel als voor de werknemers gebonden door een ander statuut:

leveranciers, onderaannemers, consultants, ….

Het informatieveiligheidsbeleid is toepasselijk op het gehele proces van informatievoorziening en geldt

gedurende de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en

ongeacht het karakter van de informatie. Het terrein van de informatieveiligheid beperkt zich niet tot

bepaalde functies of rollen en strekt zich uit over zowel de strategische, de tactische als de

operationele organisatieniveaus.

Tot slot heeft het informatieveiligheidsbeleid ook betrekking op ketens van informatiesystemen die zich

kunnen uitstrekken tot buiten het Vlaams Ministerie van Onderwijs en Vorming en externe partijen

waarmee het Vlaams Ministerie van Onderwijs en Vorming samenwerkt.

Er is een belangrijk relatie en een gedeeltelijke overlap met aanpalende beleidsterreinen zoals fysieke

beveiliging, human resources en business continuity. Op al deze terreinen wordt aandacht

geschonken aan deze raakvlakken en wordt zowel planmatig als inhoudelijk afstemming gezocht.

1.3. AMBITIE

“We willen de informatieveiligheid van de data van leerlingen, studenten, cursisten, ouders en

onderwijspersoneel waarborgen door verdere versterking van maatregelen om kwaliteitsvolle,

transparante en toegankelijke dienstverlening in de toekomst te kunnen blijven garanderen en ervoor

te zorgen dat incidenten beperkt blijven en dat de gevolgen hiervan worden geminimaliseerd.”

Het streven is om het huidige niveau van veiligheid te behouden en te verhogen waar het mogelijk is.

Dit is geen gemakkelijke opgave. Maatschappelijk ontwikkelingen stellen ons voor nieuwe

uitdagingen. Bovendien moeten we voldoen aan de geldende wet- en regelgeving die op het gebied

van informatiebeveiliging toeneemt. Maar waar nodig willen we ook eigen keuzes kunnen maken die

aansluiten bij onze ambities.


5/13

1.4. MACHTIGINGEN

Het Vlaams Ministerie van Onderwijs en Vorming volgt strikt de principes uit de Privacywet na. De

verwerking en doorgave van persoonsgegevens zijn enkel mogelijk zijn indien daar specifiek

toestemming voor wordt gegeven door de Vlaamse Toezichtcommissie voor het elektronische

bestuurlijke gegevensverkeer en/of door één of meerdere Sectorale Comités binnen de

Privacycommissie. Deze machtigingen kunnen geraadpleegd worden op de sites van VTC

(http://www.vlaamsetoezichtcommissie.be) en CBPL (https://www.privacycommission.be/nl).

1.5. BEHEER VAN HET BELEIDSDOCUMENT

Het informatieveiligheidsbeleid wordt periodiek, of zodra zich belangrijke wijzigingen voordoen,

beoordeeld en zo nodig bijgesteld. Bij deze actualisatie worden nieuwe ontwikkelingen op het terrein

van de bedrijfsvoering en op het terrein van informatieveiligheid en privacy meegenomen. De

veiligheidsconsulent is verantwoordelijk voor het bijstellen en actueel houden van het

informatieveiligheidsbeleid.

De veiligheidsconsulent onderhoudt contact met de relevante partijen, waaronder andere

overheidsinstellingen, expertisegroepen, ICT-dienstverleners, … en gebruikt deze contacten om de

informatieveiligheid te verbeteren en zo nodig te vertalen naar nieuw beleid.

Het informatieveiligheidsbeleid wordt van kracht na goedkeuring door het managementcomité van het

Vlaams Ministerie van Onderwijs en Vorming. Bij het van kracht worden van dit document worden

vorige versies van het informatieveiligheidsbeleid ingetrokken.

Het geactualiseerde informatieveiligheidsbeleid wordt gepubliceerd op

http://onderwijs.vlaanderen.be/informatieveiligheid


6/13

2. INFORMATIEVEILIGHEIDSORGANISATIE

Het goed, efficiënt en verantwoord leiden van een organisatie wordt vaak aangeduid met de term

governance. Het beschrijft hoe de organisatie is georganiseerd en wie waarvoor verantwoordelijk is.

Van belang daarbij is om onderscheid te maken naar richtinggevend of strategisch, sturend of tactisch

en uitvoerend niveau.

2.1. EINDVERANTWOORDELIJKHEID

De eindverantwoordelijkheid voor de informatiebeveiliging als geheel ligt bij het managementcomité

van het Vlaams Ministerie van Onderwijs en Vorming. De leidend ambtenaren dragen elk individueel

de eindverantwoordelijkheid voor de verwerking van persoonsgegevens, het

informatieveiligheidsbeleid, het toezien op de implementatie en de controle op naleving ervan binnen

hun entiteit.

2.2. EIGENAARSCHAP

Naast de functies die hierna worden behandeld geldt dat ieder proces of ICT-toepassing een

aanwijsbare functionele eigenaar kent. Deze eigenaar is verantwoordelijk voor het vaststellen van het

vereiste beveiligingsniveau voor het betreffende proces, dienst of ICT-toepassing en de implementatie

van de hierbij horende maatregelen.

In beginsel dient de eigenaar hierbij de richtlijnen te volgen die zijn opgesteld binnen het

informatieveiligheidsbeleid. Als uit een risicoanalyse blijkt dat er een verhoogd of hoog risico is, dan

zijn er meer maatregelen noodzakelijk. De eigenaar kan hiervan echter afwijken, maar dan moet dit

met redenen zijn omkleed en aan de veiligheidsconsulent bekend worden gemaakt. De

veiligheidsconsulent onderzoekt deze beslissing, legt ze vast en zal de leidend ambtenaar adviseren

over de risico’s die als gevolg hiervan ontstaan.

De eigenaar bepaalt ook wie toegang heeft tot de gegevens welke verwerkt worden binnen het

proces, dienst of ICT-toepassing en of men gerechtigd is tot raadplegen, invoeren, wijzigen,

verwijderen en/of verstrekken van gegevens aan derden.

2.3. ROLLEN BINNEN DE INFORMATIEVEILIGHEIDSORGANISATIE

Om de informatiebeveiliging gestructureerd en gecoördineerd op te pakken zijn taken, bevoegdheden

en verantwoordelijkheden toegewezen aan structuren en/of functies in de bestaande

organisatiestructuur.

2.3.1. ICT-MANAGEMENTCOMITÉ (IMC)

Het ICT-managementcomité bepaalt de ICT-strategie, bewaakt het ICT-meerjarenplan en

informatieveiligheidsbeleid, keurt de IT-jaarplannen goed en bepaalt mee de prioriteiten.


7/13

Het ICT-managementcomité is een adviserend orgaan. De uiteindelijke beslissingen worden genomen

door het managementcomité. Bij ontstentenis van beslissing wordt het dossier voorgelegd aan de

Beleidsraad.

2.3.2. VEILIGHEIDSCONSULENT

De veiligheidsconsulent houdt binnen het Vlaams Ministerie van Onderwijs en Vorming toezicht op de

toepassing en naleving van de Privacywet. De wettelijke taken en bevoegdheden geven de

veiligheidsconsulent een onafhankelijke positie in de organisatie.

De veiligheidsconsulent is verantwoordelijk voor het vaststellen van een samenhangend pakket aan

beveiligingseisen voor processen, diensten of ICT-toepassingen, gebaseerd op risicoanalyses en de

classificatie van de informatie die wordt verwerkt of opgeslagen.

De veiligheidsconsulent vertaalt de beveiligingsnormen naar eisen aan processen en systemen en

controleert of projecten voldoen aan deze eisen. Hij signaleert bij het voornemen om nieuwe

informatiesystemen in productie te nemen het ontbreken van een risicoanalyse en maatregelen. Hij

vervult een rol bij de vertaling van de strategie naar tactische (en operationele) plannen en doet dit in

overleg met andere structuren en rollen. Tevens adviseert hij over specifieke beveiligingsmaatregelen.

2.3.3. WERKGROEP OPERATIONEEL VEILIGHEIDSBELEID

De werkgroep operationeel veiligheidsbeleid volgt de uitvoering van het beveiligingsbeleid op heeft

een adviserende, stimulerende, documenterende en controlerende opdracht op het vlak van

informatieveiligheid.

De werkgroep wordt op de hoogte gesteld van incidenten en risico’s die de informatieveiligheid in

gedrang brengen en de genomen maatregelen.

De werkgroep is samengesteld uit afgevaardigden van de verschillende entiteiten en rapporteert

periodiek aan het ICT-managementcomité. De veiligheidsconsulent is de voorzitter van de werkgroep.

2.3.4. DOMEINWERKING

De ICT-vraagzijde van het Vlaams Ministerie van Onderwijs en Vorming is horizontaal gestructureerd

over de entiteiten heen. De reden hiervoor is dat de ICT-ondersteuning voor het departement en de

agentschappen vaak gemeenschappelijk is of raakvlakken heeft. Daarom is een organisatie tot stand

is gekomen in de vorm van een domeinstructuur met een domeinsponsor, domeinstuurgroep en

domeinbeheerder. Deze domeinstructuur vertrekt vanuit het gebruikersstandpunt om de ICT-

ondersteuning te organiseren en aan te sturen. De domeinstuurgroepen vallen onder

verantwoordelijkheid van het managementcomité dat geadviseerd wordt door het IMC.


8/13

2.3.5. PROJECTLEIDER

De projectleider is er verantwoordelijk voor dat de applicatie en de informatie die daarin verwerkt wordt

een goede ondersteuning biedt aan het proces waarvoor deze verantwoordelijk is. Dit betekent dat de

projectleider ervoor zorgt dat zowel nu als in de toekomst de applicatie blijft beantwoorden aan de

eisen en wensen van de gebruikers en aan wet- en regelgeving. Uiteraard moet de applicatie voldoen

aan het informatiebeveiligingsbeleid en tenminste de minimale maatregelen.

2.3.6. APPLICATIEBEHEERDER

De applicatiebeheerder is operationeel verantwoordelijk voor één of meerdere ICT-toepassingen. De

applicatiebeheerder bewaart een overzicht op de applicatie en neemt maatregelen teneinde de

continuïteit en kwaliteit te waarborgen. De applicatiebeheerder volgt de beveiliging van de toepassing

op, ondersteunt de gebruikers, signaleert opleidingsbehoeften en organiseert deze mee, initieert en

volgt het onderhoud aan de applicatie op en beheert de eindgebruikersdocumentatie.

2.3.7. AFDELINGSHOOFDEN EN LEIDINGGEVENDEN

Het informatieveiligheidsbeleid vormt het kader. Van afdelingshoofden en leidinggevenden wordt

verwacht dat zij hieraan nader invulling geven. Zij zijn immers verantwoordelijkheid voor de correcte

uitvoering van de aan hen opgedragen bedrijfsprocessen met de daarbij behorende

informatievoorziening en voor het goed functioneren daarvan en hiermee dus ook voor de

informatiebeveiliging. Tekortkomingen, incidenten en/of inbreuken hierop worden gemeld aan de

veiligheidsconsulent en geremedieerd. Zij laten risicoanalyses uitvoeren waaruit maatregelen kunnen

voortkomen die door anderen worden geïmplementeerd. Zij blijven de primaire verantwoordelijkheid

dragen voor het kiezen, uitvoeren en handhaven van deze maatregelen.

2.3.8. AFDELINGSINFORMATICA COÖRDINATOR (AIC)

De afdelingsinformatica coördinator capteert de ICT-behoeften van een afdeling inzake burotica en

gebruikersinfrastructuur binnen de afdeling. De afdelingsinformatica coördinator maakt hiertoe

werkaanvragen op en volgt de uitrol op. Ook de inventariscontrole en ondersteuning bij

personeelsbewegingen behoren tot het takenpakket.

2.3.9. LOKALE BEHEERDER

De lokale beheerders zijn verantwoordelijk voor het toekennen van de rechten tot toepassingen. De

lokale beheerder(s) kunnen enkel toegang tot de toepassingen verlenen aan personeelsleden die

effectief de doeltoepassing(en) nodig hebben om hun taken te kunnen uitvoeren. Krijgt een gebruiker

toegang tot een informatiebron dan wordt dit geregistreerd om veiligheids- en auditredenen. Zo

kunnen de acties van een gebruiker nagegaan worden.


9/13

De lokale beheerders registreren onmiddellijk alle wijzigingen die de toegekende rechten beperken,

wijzigen of beëindigen.

2.3.10. MEDEWERKERS

Medewerkers zijn geïnformeerd over hun beveiligingsplichten inzake omgang met vertrouwelijke

gegevens, de na te leven procedures bij vaststelling van een veiligheidsprobleem en over de

eventuele disciplinaire sancties en procedures die bij tekortkomingen worden toegepast.

2.3.11. EXTERNE PARTIJEN

Met externe partijen zijn de afspraken gemaakt en gedocumenteerd om de bescherming te

waarborgen van bedrijfsmiddelen. Alle relevante informatiebeveiligingseisen moeten worden

vastgesteld en overeengekomen met elke partij die toegang heeft tot ICT-infrastructuurelementen ten

behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of aanbiedt.

Veranderingen in de dienstverlening, met inbegrip van handhaving en verbetering van bestaande

beleidslijnen, procedures en beheersmaatregelen voor informatiebeveiliging, worden beheerd. De

dienstverlening wordt periodiek geëvalueerd en beoordeeld.


10/13

3. INFORMATIEVEILIGHEIDSPROCES

3.1. RISICO-GEBASEERDE AANPAK

Voor de beveiliging vormt het beheersen van risico’s het voornaamste principe. In de aanpak van

informatiebeveiliging komen elementen van risicomanagement dan ook op verscheidene plaatsen aan

de orde. Om de geïdentificeerde risico’s te reduceren tot onder het aanvaardbare niveau zal het

Vlaams Ministerie van Onderwijs en Vorming daarvoor de geschikte beheersmaatregelen inzetten en

de effectiviteit ervan voortdurend beoordelen.

Risicoanalyses worden periodiek uitgevoerd om in te spelen op wijzigingen in de beveiligingseisen en

de risicosituatie. De resultaten geven richting bij het bepalen van passende acties en prioriteiten in de

veiligheidsplannen van de entiteiten.

De risicobehandeling benadrukt de activiteit van het reduceren van risico’s tot aanvaardbaar geachte

niveaus, waarbij wordt erkend dat er nooit afdoende middelen beschikbaar zullen zijn om volledige

risicovermijding te betrachten. Het gaat om de balans tussen ingeschatte bedreigingen en risico’s

enerzijds en anderzijds de risico-beperkende maatregelen, kosten en werkbaarheid. Waar

maatregelen op het gebied van informatiebeveiliging conflicteren met de privacy, zal het waarborgen

van de privacy meestal prevaleren.

3.2. CONTINUE VERBETERING

Periodieke toetsing van de werking en de noodzaak van gekozen maatregelen in de

veiligheidsplannen van de entiteiten leidt tot continue verbetering van de informatieveiligheid. De

maatregelen worden geïmplementeerd op basis van risicomanagement en een bewuste kosten-baten

afweging. Dit zorgt voor een optimale beveiliging tegen een aanvaardbare kost. Hiermee wordt

invulling gegeven aan het beleid om het vinden van een optimum tussen werkbaarheid en veiligheid.

3.3. AANSTURING VAN HET PROCES

Informatieveiligheid gaat om het voortdurend bepalen van risico’s, het kunnen reageren op incidenten

en het nemen van adequate maatregelen op basis van risicomanagement. Om de risico’s te bewaken

en te beheersen is het informatieveiligheidsproces ingericht. Het beveiligingsproces wordt

aangestuurd vanuit het management, omdat daar de verantwoordelijkheid ligt met betrekking tot de

informatieveiligheid.

Het management wordt daarbij ondersteund door de veiligheidsconsulent en de werkgroep

operationalisering veiligheidsbeleid. Doel van het beveiligingsproces is het inzichtelijk maken van de

(rest)risico’s voor een bepaalde situatie of informatiesysteem zodat op basis hiervan een

weloverwogen besluit kan genomen worden. Wet- en regelgeving stellen de minimumeisen waaraan

informatieveiligheid moet voldoen. Het eerbiedigen ervan is een uitgangspunt voor de inrichting van

het beveiligingsproces.


11/13

Andere organisaties kunnen eisen stellen aan de informatieveiligheid bij het Vlaams Ministerie van

Onderwijs en Vorming voor de borging van hun bedrijfsprocessen. Andersom zal het Vlaams

Ministerie van Onderwijs en Vorming bij het buiten de organisatie brengen van informatie eisen stellen

aan de informatieveiligheid van de ontvangende partijen.

3.4. SECURITY AWARENESS

Een goede informatiebeveiliging hangt niet alleen af van technische maatregelen maar heeft ook een

belangrijke relatie met het gedrag van medewerkers. Veel gebruikers en beheerders van informatie

zijn zich niet bewust van de risico’s die men in het kader van informatiebeveiliging loopt of zijn zich

niet voldoende bewust van de verantwoordelijkheid die zij dragen ten opzichte van de informatie waar

zij toegang toe hebben. Helaas is dit een vruchtbare voedingsbodem voor incidenten. Onderzoek

geeft aan dat de meerderheid van beveiligingsincidenten zijn oorsprong vindt binnen de eigen

organisatie. Daarom is bewustwording of liever bewustmaking een belangrijk instrument bij

informatiebeveiliging. De veiligheidsconsulent is verantwoordelijk voor het bewustwordingsproces en

ontwikkelt jaarlijks een campagne hiervoor of zoekt hiervoor aansluiting bij initiatieven op een ander

niveau.

Het bevorderen van het beveiligingsbewustzijn van de medewerkers is ook een verantwoordelijkheid

van afdelingshoofden en leidinggevenden. Beveiliging is een kwestie van mentaliteit. Afdelingen

werken periodiek aan eigen vorming om elke medewerker bewust te maken van zijn verantwoordelijk

op het gebied van informatiebeveiliging en alert is op juiste toepassing en overtreding van geldende

voorschriften en richtlijnen. Het beveiligingsbewustzijn zal worden vergroot door o.a. communicatie

rond beveiligingsthema’s in allerlei vormen (presentaties, workshops, artikelen), organiseren van

trainingen, opstellen en uitdragen van gedragsregels, stimuleren van policies en toepassing van

procedures.

3.5. PROJECTMANAGEMENT

Bij projecten, zoals infrastructurele wijzigingen of de aanschaf van nieuwe systemen, wordt vanaf de

start rekening gehouden met informatiebeveiliging. Voorafgaand aan de ontwikkeling of aankoop

wordt voorafgaand een risicoanalyse gedaan om de betrouwbaarheidseisen te bepalen. De afweging

ten aanzien van de noodzaak en de wijze van beveiliging dienen een onderdeel van de

investeringsbeslissing te vormen, ook wanneer wordt besloten een externe partij in te huren. De

informatieveiligheid binnen projecten komt ten laste van het budget van de projectverantwoordelijke.

3.6. MELDING EN AFHANDELING VAN INCIDENTEN

Incidentbeheer en -registratie hebben betrekking op de wijze waarop geconstateerde dan wel

vermoede inbreuken op de informatiebeveiliging door de medewerkers en externen gemeld worden en

de wijze waarop deze worden afgehandeld. Het is van belang om te leren van incidenten.

Incidentregistratie en periodieke rapportage over opgetreden incidenten horen thuis in een volwassen

informatiebeveiligingsomgeving.


12/13

Elke medewerker is zelf verantwoordelijk voor het signaleren en melden van incidenten en inbreuken

op informatiebeveiliging. Voor ICT-toepassingen moeten incidenten en inbreuken direct gemeld

worden aan de helpdesk en de veiligheidsconsulent. Overige incidenten worden gemeld aan het

afdelingshoofd en de veiligheidsconsulent.

Incidenten worden afgehandeld door de afdelingen, eventueel na advies van de veiligheidsconsulent,

en dienen als input voor incidentrapportages naar de werkgroep veiligheid. Bij constatering van

bepaalde trends kan hierop meteen worden ingespeeld, bijvoorbeeld door het nemen van extra

maatregelen of een bewustwordingscampagne.

Met externe dienstverleners worden afspraken gemaakt over hun rol in het incident management

proces en de opvolging die het Vlaams Ministerie van Onderwijs en Vorming wenst. Als afnemer van

de raamovereenkomsten die de Vlaamse Regering heeft afgesloten wordt een belangrijk deel van het

incident management ingevuld door deze ICT-dienstverleners. In het kader van exploitatiegebonden

ICT-diensten zorgt de ICT-dienstverlener voor een overkoepelende aanpak van beveiligingsbeheer

(o.a. voor het oplossen van veiligheidsincidenten) over de verschillende dienstenpakketten heen op

basis van een Security Information en Event Management (SIEM) benadering. De opvolging van dit

proces voor beveiligingsmanagement en het ICT-veiligheidsniveau gebeurt o.a. aan de hand van

rapporten met daarin een overzicht van de security issues en een overzicht van de

veiligheidsovertredingen, incidenten en cruciale activiteiten geregistreerd en geanalyseerd. De ICT-

dienstverlener dient in het kader van dit proces de nodige afstemmingen te doen met de ICT Security

Officer binnen het Facilitair Bedrijf.

De ICT-dienstverlener zorgt voor het opzetten van een incident management databank waarin de

registratie en opvolging van incidenten opgenomen wordt en voorziet hiervoor de nodige hard- en

software-infrastructuur. De ICT-dienstverlener zorgt ervoor dat het opgezette systeem geïntegreerd is

met de andere systemen die voorzien worden ter ondersteuning van de processen.


13/13

4. EVALUATIE, NALEVING EN TOEZICHT

4.1. EVALUATIE

De toestand van het niveau van de beveiliging van de informatiesystemen, inclusief de herziening en

de opvolging van de procedures wordt regelmatig geëvalueerd om vast te stellen of deze leidt tot de

gewenste mate van beveiliging. De evaluatie zal gebeuren door interne begeleiding, interne controle,

interne audit en/of een externe audit en kan aanleiding geven tot het bijstellen van het

informatieveiligheidsbeleid, de betrouwbaarheidseisen en/of de maatregelen.

Elke afdeling die (mede-)eigenaar is van een informatiesysteem heeft de plicht de informatieveiligheid

van dit systeem periodiek te (laten) evalueren en actueel te houden, in het bijzonder wanneer er

ingrijpende wijzigingen gepland worden.

Het meten van de technische conformiteit gebeurt o.a. door vulnerability scans waarbij

kwetsbaarheden in informatiesystemen worden geïdentificeerd, penetration testing om zwakheden

van informatiesystemen van buiten af te ontdekken, de effectiviteit na te gaan van de preventieve

controles tegen niet geautoriseerde toegang t.g.v. deze zwakheden en security reviews om na te gaan

of de gedocumenteerde processen voldoen en of ze systematisch op de juiste manier worden

uitgevoerd in de verschillende operationele diensten.

4.2. NALEVING

De naleving bestaat uit algemeen toezicht op de dagelijkse praktijk van het security management

proces. Van belang hierbij is dat leidinggevenden hun verantwoordelijkheid nemen en hun

medewerkers aanspreken in geval van tekortkomingen. Voor de bevordering van de naleving van de

Privacywet vervult de veiligheidsconsulent een belangrijke rol.

Indien een medewerker ernstig tekort schiet in de naleving dan zal dit leiden tot disciplinaire

maatregelen en/of aangifte bij bevoegde autoriteiten. De maatregelen die genomen worden hangen af

van de relatie tussen de overtreder en het Vlaams Ministerie van Onderwijs en Vorming en van de

aard van het misbruik.

4.3. TOEZICHT

De werkgroep operationeel veiligheidsbeleid houdt toezicht op de uitvoering van de

informatieveiligheid door middel van bovengenoemde toetsingsinstrumenten en door middel van de

analyses die worden uitgevoerd.

INFORMATIEVEILIGHEIDSBELEID - Vlaanderen · VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING -...

Documents

Transcript of INFORMATIEVEILIGHEIDSBELEID - Vlaanderen · VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING -...