Dit beleid omvat richtlijnen en maatregelen om ervoor te zorgen dat medewerkers en contractanten gedurende hun relatie met de organisatie hun verantwoordelijkheden op het gebied van informatieveiligheid begrijpen en nakomen. Oa. door middel van screeningsprocedures, vertrouwelijkheidsclausules in contracten, bewustmakingscampagnes, training en een disciplinair beleid.

Voorafgaand aan het dienstverband

De personeelsdienst en betrokken leidinggevenden moeten ervoor zorgen dat potentiële werknemers en contractanten hun verantwoordelijkheden begrijpen en geschikt zijn voor de functies en rollen waarvoor zij in aanmerking komen.

Opname van veiligheidsvereisten in

functie- of rolomschrijving

Het opnemen van specifieke beveiligingstaken en -verantwoordelijkheden in functieomschrijvingen functie- en rolomschrijvingen draagt bij aan het bewustzijn van medewerkers over hun rol en verantwoordelijkheid in informatieveiligheid. Bovendien bevordert dit de ontwikkeling van een bedrijfscultuur waarin iedereen zich betrokken en verantwoordelijk voelt voor het handhaven van het informatieveiligheidsbeleid.

Screening

Procedures die de criteria en beperkingen voor screening definiëren behoren te worden opgesteld, bijv. wie is competent om personen te screenen, en hoe, wanneer en waarom worden controleonderzoeken uitgevoerd. Dergelijke procedures inzake Rekrutering rekrutering en Selectie selectie zijn vastgelegd in deel III van het VPS: https://www.vlaanderen.be/vlaams-personeelsstatuut/deel-iii-rekrutering-en-selectie-van-het-personeel-0. Daarnaast zijn er ook nog kwaliteitscriteria voor selecties en selectoren vastgelegd in een omzendbrief uit 2014: https://overheid.vlaanderen.be/omzendbrief-bz-2014/5

Bij het uitbesteden van diensten dient het contract met de leverancier specifieke vereisten voor screening te bevat. Leveranciers die diensten uitvoeren, dienen screening uit te voeren bij hun personeel. Hoewel individuele screeningdocumenten niet direct aan de organisatie hoeven te worden verstrekt, dient het contract een clausule te bevat die de organisatie het recht geeft om hierop audits uit te voeren. Zie ook Leveranciersrelaties.

Arbeidsvoorwaarden

Alle interne personeelsleden dienen zich te houden aan de verplichtingen van het arbeidsreglement, de Vlaamse deontologische code en de bijhorende ICT-code (https://overheid.vlaanderen.be/ict-code en https://overheid.vlaanderen.be/BZ-2014-2), alsook aan de bijkomende (minder formele) afspraken die de organisatie oplegt (e.g. de afspraken in dit informatieveiligheidsbeleid). Een vertrouwelijkheidsclausule dient in de arbeidsovereenkomst te worden opgenomen of een confidentialiteitsovereenkomst dient ondertekend te worden om confidentialiteit of geheimhouding af te dwingenwaarborgen.

Vertrouwelijkheids- en geheimhoudingsovereenkomsten kunnen de volgende punten bevatten:

• De omvang van de te beschermen informatie en de wijze waarop deze kan worden geïdentificeerd.

• De te ondernemen stappen bij het beëindigen van de overeenkomst.

• De eigendomsrechten op informatie en intellectueel eigendom.

• De procedure voor het melden en rapporteren van ongeautoriseerde openbaarmakingen of lekken.

Externe medewerkers die bij de organisatie aan de slag gaan, dienen vooraf een document te ondertekenen waarin hun verantwoordelijkheden met betrekking tot informatieveiligheid zijn vastgesteld. Deze verantwoordelijkheden omvatten onder meer de verplichting tot geheimhouding en het naleven van het informatieveiligheidsbeleid van de organisatie. In de overeenkomsten met externe tussenpartijen, die (tijdelijke) medewerkers aan de organisatie leveren, dient te worden vastgelegd dat deze partijen ervoor zorgen dat hun werknemers deze verklaring ondertekenen.

Tijdens het dienstverband

Ervoor zorgen dat medewerkers en contractanten zich bewust zijn van hun verantwoordelijkheden op het gebied van informatieveiligheid en deze nakomen.

Directieverantwoordelijkheden

Het is de verantwoordelijkheid van de directie om ervoor te zorgen dat medewerkers en contractanten:

• Duidelijke instructies krijgen over hun rollen en verantwoordelijkheden inzake informatieveiligheid voordat zij toegang krijgen tot vertrouwelijke informatie of informatiesystemen.

• Richtlijnen ontvangen die de verwachtingen van hun rol in informatieveiligheid binnen de organisatie duidelijk maken.

• Gemotiveerd worden om zich te houden aan de informatieveiligheidsbeleid van de organisatie.

• Een bewustzijnsniveau ontwikkelen over informatieveiligheid dat past bij hun functie en verantwoordelijkheden binnen de organisatie.

• Zich houden aan de arbeidsvoorwaarden.

• Voortdurend beschikken over de vereiste vaardigheden en kwalificaties.

• Via een anoniem kanaal inbreuken op het informatieveiligheidsbeleid en -procedures kunnen melden.

Bovendien dient de directie de informatieveiligheidsbeleidsregels, -procedures en -maatregelen actief te ondersteunen en als een voorbeeldfunctie te dienen.

Het melden van veiligheidskwesties moet worden aangemoedigd in een cultuur van vertrouwen en verbetering. Medewerkers moeten zich vrij voelen om openlijk te spreken, ook over hun eigen fouten, en mogen niet worden gestraft voor het melden daarvan. Het is belangrijk dat medewerkers elkaar kunnen aanspreken op het niet naleven van beleid, met steun van het directiecomité. Het inzetten van een disciplinaire procedure is een laatste stap, alleen als andere vormen van dialoog niet effectief zijn.

Security awareness en opleiding

De organisatie is verantwoordelijk voor het ontwikkelen en implementeren van een formeel Security Awareness programma om alle gebruikers te informeren over het belang van informatieveiligheid. Dit programma moet regelmatig aandacht krijgen, zowel via formele opleidingssessies als door het integreren van veiligheidsaspecten in de dagelijkse werking van de organisatie, zoals tijdens presentaties en in reactie op recente veiligheidsincidenten of mediaberichten. Het programma richt zich op het volledige ecosysteem en focust in eerste instantie op de voornaamste bedreigingen zoals social engineering.

Het Security Awareness programma zou onder andere het volgende moeten omvatten:

• Opleidingen over beveiliging, afgestemd op specifieke rollen, aangeboden via diverse methoden zoals klassikaal of e-learning.

• Praktische oefeningen die echte cyberaanvallen simuleren.

• Communicatiemiddelen zoals nieuwsbrieven en posters.

Daarnaast biedt de organisatie beveiligingstrainingen aan die zijn afgestemd op de specifieke rollen, verantwoordelijkheden en toegangsniveaus van medewerkers tot informatie en informatiesystemen. Deze trainingen moeten ook algemene informatiebeveiligingsaspecten behandelen, zoals de betrokkenheid van het management, de naleving van relevante regels en verplichtingen, persoonlijke verantwoordelijkheden van medewerkers, basisbeveiligingsprocedures en contactinformatie voor aanvullend advies. Het is belangrijk dat deze trainingen periodiek worden aangeboden, niet alleen aan nieuwe medewerkers maar ook aan bestaande medewerkers die een nieuwe functie aanneemt of van rol verandert. De deelname aan deze beveiligingstrainingen dient geregistreerd en bijgehouden te worden in het personeelsdossier van elke medewerker.

Disciplinaire maatregelen

Voor interne personeelsleden zijn de bepalingen inzake disciplinaire acties opgenomen in het Vlaams Personeelsstatuut (VPS) (https://eur03.safelinks.protection.outlook.com/?url=https%3A%2F%2Foverheid.vlaanderen.be%2Fdeel-viii-tuchtregeling&data=04%7C01%7Cnathalie.claeys%40vlaanderen.be%7C8c45de9af44b4c10a29008d8c69378a5%7C0c0338a695614ee8b8d64e89cbd520a0%7C0%7C0%7C637477683980241427%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=tXaW8n%2FZP4Nm3J3wuNrzJ1%2F3rBnfu64ZkzHzC3%2Bu71s%3D&reserved=0) en het arbeidsreglement. Voor externe medewerkers gelden de bepalingen opgenomen in de tewerkstellingsovereenkomst.

Bij het beoordelen van een inbreuk wordt rekening gehouden met de ernst ervan, alsook met het feit of de inbreuk al dan niet bewust plaatsvond en of er sprake is van recidive. Gezien het streven naar een cultuur van vertrouwen en verbetering, wordt in de eerste plaats getracht om in dialoog te gaan met de overtreder(s) met als doel lessen te trekken uit de situatie en herhaling van de feiten te voorkomen. De respectieve disciplinaire procedures worden beschouwd als een laatste stok achter de deur, om op te kunnen treden tegen zware, bewuste en/of herhaaldelijke inbreuken.

Beëindiging en wijziging van het dienstverband

Het beschermen van de belangen van de organisatie als onderdeel van de wijzigings- of beëindigingsprocedure van het dienstverband.

Beëindiging van het dienstverband

Indien een medewerker een bepaalde rol niet langer opneemt of indien de tewerkstelling wordt beëindigd, dienen zijn/haar verantwoordelijkheden en taken (alsook toegangsrechten) te worden overgedragen. Sommige verplichtingen met betrekking tot informatieveiligheid, m.n. geheimhouding, blijven bovendien gelden na de beëindiging of wijziging van het dienstverband. Deze verplichtingen moeten duidelijk worden beschreven en moeten nogmaals onder de aandacht van de vertrekkende medewerker worden gebracht tijdens het exitgesprek.

Bij het beëindigen van het dienstverband van een werknemer of contractant met een "hoog risico" is het cruciaal om een procedure voor “dringende uitdiensttreding” vast te stellen. Deze procedure moet ervoor zorgen dat bestaande ID's, privileges en autorisaties van de betreffende persoon onmiddellijk kunnen worden ingetrokken.

Wijziging van tewerkstelling

Wanneer een medewerker een nieuwe functie of rol binnen de organisatie opneemt, is het essentieel dat bestaande toegangsrechten die niet langer relevant zijn, binnen een redelijke termijn worden aangepast.

Regelgeving en standaarden (L1)

ISO 27001:2022 (Annex A)

Informatieveiligheidsstrategie van de Vlaamse overheid (L2)

Zie voor meer informatie.

Processen

Oplossingen