Versions Compared

Old Version 59

changes.mady.by.user Vincent Alwicher

Saved on

compared with

New Version 60

changes.mady.by.user Vincent Alwicher

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Info

Beste collega,

Welkom op de pagina's van het Informatieveiligheidsbeleid van Digitaal Vlaanderen.

Het beleid is nog niet volledig, omdat het ontwikkelen ervan op langere termijn gebeurt en de verschillende onderdelen in stapjes gevalideerd worden. U zal daarom merken dat er een aantal pagina’s in concept of onder review vermeld staan.

Deze worden geleidelijk aan inhoudelijk vormgegeven en beschikbaar gesteld.

Team Informatieveiligheid | Project Athena

Vragen? security@vlaanderen.be

Excerpt
hiddentrue
nameInleiding

Het informatieveiligheidsbeleid bestaat uit een thematische bundeling van beleidsdocumenten (beleidsdomeinen) die een invulling geven aan de doelstellingen voor informatieveiligheid conform industrienormen en gemeenschappelijk referentiekader.

Inhoud

Table of Contents
maxLevel3
minLevel1
include
outlinefalse
indent
excludeInhoud
typelist
printabletrue
class

Introductie

Het informatieveiligheidsbeleid van Digitaal Vlaanderen legt de afspraken vast over de beveiliging van informatie en bijbehorende bedrijfsmiddelen. Dit beleid is onderverdeeld in meerdere onderwerpen, ofwel Beleidsdomeinen, die elk een specifiek aspect van informatieveiligheid belichten. Het informatieveiligheidsbeleid is bovendien een transversale discipline die geïntegreerd wordt in verschillende andere beheersprocessen binnen de organisatie, zoals Human Resources (HR), Business Continuity Management (BCM) en IT Service Management (ITSM). Informatieveiligheidsaspecten die in andere documenten worden beschreven, maken daarom onverminderd deel uit van het informatieveiligheidsbeleid van de organisatie.

Het informatieveiligheidsbeleid dient als fundament voor de beoordeling van het beveiligingsniveau van de organisatie. Op basis van deze beoordeling worden informatieveiligheidsplannen opgesteld die de noodzakelijke initiatieven van de organisatie beschrijven om aan het beleid te voldoen. Deze plannen worden verder uitgewerkt in gedetailleerde projectplannen, die de uitvoering en realisatie van de informatieveiligheidsstrategie laten concretiseren.

Doel

Informatieveiligheid is een samenhangend pakket aan beveiligingsmaatregelen, processen en procedures die de beschikbaarheid, integriteit en vertrouwelijkheid van alle vormen van informatie bewerkstelligen, met als doel de continuïteit en betrouwbaarheid van informatie en informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.

Het informatieveiligheidsbeleid is een document dat de doelstellingen en principes voor informatieveiligheid vastlegt voor de organisatie. Het is een intentieverklaring van de directie die richting geeft aan de manier waarop strategische doelstellingen gerealiseerd worden en beveiligingsrisico’s tot een aanvaardbaar niveau worden gehouden.

Het doel van het beleid is om de informatieveiligheid van een organisatie te borgen. Dit betekent dat de organisatie haar informatie en bedrijfsmiddelen moet beschermen tegen ongeoorloofde toegang, wijziging, openbaarmaking of vernietiging.

Uiteraard is het beschikken over een gevalideerd informatieveiligheidsbeleid op zich geen garantie. De afspraken die in het beleid worden vastgelegd moeten worden geïmplementeerd en de naleving ervan moet worden opgevolgd. Hoe dit binnen Digitaal Vlaanderen moet gebeuren, maakt daarom ook deel uit van het beleid.

De bedoeling van een informatiebeveiligingsbeleid is niet om beperkingen op te leggen die indruisen tegen de gevestigde cultuur van openheid en vertrouwen binnen de organisatie, maar streeft om de organisatie en haar gebruikers te beschermen tegen illegale of schadelijke handelingen van personen, al dan niet opzettelijk.

Toepassingsgebied

Het informatieveiligheidsbeleid van Digitaal Vlaanderen is van toepassing op de volledige organisatie. Dit heeft betrekking op alle personen die een samenwerkingsverband hebben met de organisatie, en ook op alle informatieverwerkingsprocessen die Digitaal Vlaanderen uitvoert of in haar opdracht laat uitvoeren. In dit laatste geval zullen de vereisten die in het informatieveiligheidsbeleid beschreven zijn, opgenomen moeten worden in de samenwerkingsovereenkomsten met leveranciers en klanten.

Eigenaar

Het beheren en actualiseren van het informatieveiligheidsbeleid valt onder de verantwoordelijkheid van de /wiki/spaces/ISMS/pages/6329502294 van Digitaal Vlaanderen. De CISO zal de nodige initiatieven nemen om minstens elke drie jaareen volledige revisie van het beleid te organiseren.

Gezien de omvang van het informatieveiligheidsbeleid verdient het de voorkeur om periodiek (bijvoorbeeld per kwartaal) een revisie van één of meer beleidsdomeinen in te plannen. Dit is nodig om ervoor te zorgen dat het beleid up-to-date blijft en dat het voldoet aan de laatste evoluties en bedreigingen van informatieveiligheid.

Termen en definities

De voorkomende termen en definities zijn beschreven op volgende pagina Termen en definities

Context

Het informatieveiligheidsbeleid van Digitaal Vlaanderen kan worden gepositioneerd binnen een ruimere context, we onderscheiden hierin vier niveaus zoals weergegeven in onderstaand schema.

Drawio
mVer2
zoom1
simple0
inComment0
custContentId6588629723
pageId6329501521
lbox0
diagramDisplayNameInformatieveiligheidsbeleid_layers.drawio
contentVer3
hiResPreview0
revision3
baseUrlhttps://vlaamseoverheid.atlassian.net/wiki
diagramNameInformatieveiligheidsbeleid_layers.drawio
pCenter1
width1320
linksblank
tbstylehidden
height1080
Panel
panelIconIdatlassian-info
panelIcon:info:
bgColor#FFFFFF

Merk op dat hoewel Digitaal Vlaanderen enkel verantwoordelijk is voor het uitwerken en beschrijven van het informatieveiligheidsbeleid (L3) en de uitvoering van het beleid (L4), de organisatie erop moet toezien dat alle vereisten en beperkingen die in de bovenliggende niveaus beschreven staan worden meegenomen.

Voorbeeld
L1: De ISO-standaard schrijft voor dat er een vorm van informatieclassificatie moet worden geïmplementeerd.
L2: Het Stuurorgaan Informatie- en ICT-beleid schrijft een classificatiemodel met bijhorende maatregelen voor.
L3: Het informatieveiligheidsbeleid van Digitaal Vlaanderen stelt dit model te volgen en legt de procedure vast om de informatieklasse vast te stellen.
L4: De documentatie van elke verwerkingsactiviteit beschrijft de informatieklasse en deze informatie wordt opgenomen in het verwerkingsregister.

L1: Regelgeving en standaarden

Vanuit wet- en regelgeving worden bepaalde vereisten en beperkingen opgelegd m.b.t. het verwerken van informatie. Het spreekt voor zich dat de daarin opgelegde regels een uitgangspunt zijn voor het informatieveiligheidsbeleid van de organisatie.

De Algemene Verordening Gegevensbescherming (AVG) en NIS 2-richtlijn zijn hierbij de voornaamste.

Het informatieveiligheidsbeleid bouwt voort op het vele werk dat wereldwijd al werd verricht en is gebaseerd op de internationale norm voor informatiebeveiliging, ISO/IEC 27001:2022. Deze standaard beschrijft een governance aanpak en een lijst met maatregelen die genomen kunnen worden om tot informatieveiligheid te komen.

L2: Informatieveiligheid op niveau van de Vlaamse Overheid

Op het niveau van de Vlaamse overheid, met name binnen het Stuurorgaan Informatie- en ICT-beleid, zijn al inspanningen geleverd om afspraken m.b.t. informatieveiligheid vast te leggen. Ook deze vormen mee de basis voor het informatieveiligheidsbeleid van Digitaal Vlaanderen. 

De ICT-code

Door middel van de omzendbrief BZ 2014/2 dd. 31 maart 2014, “Integer omgaan met ICT-middelen”, werd de (laatste versie van de) zogenaamde https://www.vlaanderen.be/intern/deontologische-code-vlaams-overheid/ict-code uitgevaardigd waarin een algemeen kader met waarden en principes bij het gebruik van ICT-middelen wordt opgelegd. De ICT-code geldt verplicht voor alle Vlaamse entiteiten zonder rechtspersoonlijkheid, i.e. departementen en IVA’s (Intern Verzelfstandigde Agentschappen) zonder rechtspersoonlijkheid (en als aanbeveling voor de entiteiten met rechtspersoonlijkheid). Digitaal Vlaanderen valt dus onder het toepassingsgebied van deze ICT-code. Merk op dat deze waarden en principes weliswaar een vorm van generieke begeleiding verschaffen, maar dat het van belang is dat het informatieveiligheidsbeleid een verdere vertaalslag biedt naar concreet toepasbare regels.

Het informatieclassificatieraamwerk van de Vlaamse overheid (Vo-ICR)

Het Stuurorgaan Vlaams Informatie- en ICT-beleid heeft beslist haar goedkeuring te hechten aan een informatieclassificatieraamwerk met als doelstelling een gestandaardiseerd beleid te voeren op het gebied van informatieclassificatie en informatiebeveiliging bij de Vlaamse instanties. Iedere betrokken instantie dient haar informatie in te delen volgens de methodiek die beschreven is binnen dit model en de bijhorende beveiligingsmaatregelen toe te passen binnen hun informatieverwerking. De verantwoordelijkheid van het al dan niet (correct) gebruiken van dit model blijft bij de respectieve entiteiten.

Meer informatie over het informatieclassificatieraamwerk van de Vlaamse overheid is beschikbaar op volgende website: https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR

L3: Informatieveiligheid op niveau van Digitaal Vlaanderen

Het informatieveiligheidsbeleid van Digitaal Vlaanderen vertaalt de algemene richtlijnen van hogere niveaus naar de specifieke context, behoeften en risico's van de organisatie.

Het beleid omvat een reeks maatregelen die door de organisatie en haar medewerkers uitgevoerd dienen te worden. Aan deze maatregelen zijn specifieke conformiteitscriteria gekoppeld, op basis waarvan de doeltreffendheid van de implementatie kan worden geëvalueerd.

L4: Informatieveiligheid op niveau van uitvoering

Dit laatste niveau verwijst naar de concrete invulling van maatregelen in informatieverwerkende processen en oplossingen. Het omvat processen, procedures, rollen en verantwoordelijkheden die beschrijven hoe maatregelen worden toegepast en opgevolgd binnen de organisatie.

Beleid

Niveau van vereiste

In beleidsdocumenten en industriestandaarden worden verschillende termen gebruikt om het dwingend karakter van een maatregel te beschrijven. We gebruiken hoofdletters om deze te benadrukken.

Hieronder wordt de definitie van de gebruikte termen beschreven:

Term

Betekenis

MOET

Deze term, of de termen "VEREIST", "ZAL" of “DIENT”, duidt aan dat de maatregel een absoluut vereiste is.

MAG NIET

Deze term, of de termen "ZAL NIET", duiden aan dat de maatregel een absoluut verbod is.

ZOU MOETEN

Deze term, of de termen "AANBEVOLEN", “ZOU”, “MAG” of “OPTIONEEL”, impliceren dat het verstandig is om een bepaalde maatregel toe te passen, maar dat er ook situaties zijn waarin het niet nodig of mogelijk is.
Daarnaast kan de term ook duiden op een vooruitstrevende maatregel die toekomstgericht de aangewezen keuze is, maar op dit moment misschien nog niet overal realiseerbaar of toepasbaar.

ZOU NIET MOETEN

Deze term, impliceert dat het verstandig is om een bepaald gedrag te vermijden, maar dat er ook situaties zijn waarin het acceptabel of zelfs wenselijk is.

Panel
panelIconIdatlassian-info
panelIcon:info:
bgColor#FFFFFF

Engelse vertaling van de gebruikte termen "MOET" ("MUST"), "MAG NIET" ("MUST NOT"), "VEREIST" ("REQUIRED"), "ZAL" ("SHALL"), "ZAL NIET" ("SHALL NOT"), "ZOU MOETEN" ("SHOULD"), "ZOU NIET MOETEN" ("SHOULD NOT"), "AANBEVOLEN" ("RECOMMENDED"), "MAG" ("MAY"), “MAG NIET” (“MUST NOT”) en "OPTIONEEL" ("OPTIONAL")

Principe van “Pas toe of leg uit”

Ondanks dat bepaalde implementatiemaatregelen absoluut noodzakelijk zijn, hanteren we steeds het "pas toe of leg uit"-principe (comply or explain). Dit principe beoogt een flexibele toepassing van beveiligingsmaatregelen, gebaseerd op een risicogerichte benadering.
Hiermee garanderen we steeds een adequaat beveiligingsniveau.
Als organisatie streven we ernaar om de vereiste beveiligingsmaatregelen voor elke informatieasset nauwgezet toe te passen. We zijn er ons echter ook van bewust dat er tal van redenen kunnen zijn waarom dit (nog) niet realiseerbaar is. Denk bijvoorbeeld aan technologische of budgettaire beperkingen.
In de situaties waar een afwijking noodzakelijk is, hanteren we steeds een risicogedreven benadering. Transparante communicatie en een grondige motivatie, gesteund door risicoanalyse, zijn hierbij cruciaal. Deze afwijkingen moet ook steeds formeel worden goedgekeurd en opgevolgd.

Pas toe

De basisregel is om de implementatiemaatregelen toe te passen die voor de desbetreffende informatieklasse zijn vastgelegd.

Leg uit

In uitzonderlijke gevallen waarbij het niet haalbaar is om een implementatiemaatregel direct toe te passen, zijn er twee mogelijkheden:

  • Alternatieve maatregelen: er worden complementaire maatregelen toegepast die, gezamenlijk, een vergelijkbaar niveau van beveiliging waarborgen, met inachtneming van de relevante risicofactoren. Deze aanpassing moet zorgvuldig worden gedocumenteerd en goedgekeurd door de verantwoordelijke binnen de organisatie.

  • Motivering: Indien noch de oorspronkelijke noch een equivalente maatregel uitvoerbaar is, dient er een gedegen motivatie te zijn, ondersteund door een risicoanalyse. Ook deze motivatie behoeft documentatie en de goedkeuring van de verantwoordelijke binnen de organisatie.

Algemene beleidsregels

Volgende omvat de fundamentele beleidsregels waaraan het informatieveiligheidsbeleid van de organisatie dient te voldoen.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

Het informatieveiligheidsbeleid van de organisatie DIENT gevalideerd te worden door het directiecomité. Dit beleid MOET bekendgemaakt en meegedeeld worden aan alle werknemers via interne communicatiekanalen, opleiding en onboarding procedures. Het informatieveiligheidsbeleid MOET operationele maatregelen en richtlijnen bevatten die de minimumvereisten voor de veilige verstrekking van onze producten en diensten en interne informatieverwerkingsprocessen vaststellen.

Om een veilige dienstverlening te garanderen, MOETEN de volgende maatregelen worden getroffen:

  • Beveiliging MOET in ontwikkel- en bedrijfsprocessen worden geïntegreerd.

  • Werknemers MOETEN voortdurend bewust gemaakt worden van veiligheidsaspecten.

  • Fysieke beveiliging van informatiesystemen MOET worden gewaarborgd.

  • Beheersprocessen voor informatietechnologie MOETEN worden geïmplementeerd.

  • Rollen en verantwoordelijkheden MOETEN worden gedefinieerd.

  • Informatie MOET worden geïdentificeerd, geclassificeerd en gelabeld.

  • Operationele beveiliging, inclusief bescherming van netwerken en overdracht van informatie, MOET worden verzekerd.

  • Bescherming van bedrijfsmiddelen die door derden worden gebruikt, MOET worden gegarandeerd.

  • Beveiligingsincidenten en zwakke punten op het gebied van informatieveiligheid MOETEN worden gerapporteerd.

  • Bedrijfscontinuïteitsplannen MOETEN worden opgesteld en onderhouden.

  • Toezicht op de naleving MOET worden uitgevoerd.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

Het informatieveiligheidsbeleid MOET jaarlijks worden beoordeeld en zo nodig geactualiseerd om te zorgen dat het beleid afgestemd blijft op veranderende bedrijfsbehoeften, nieuwe risico's en technologische evoluties. De beheerder van het informatieveiligheidsbeleid onder leiding van de CISO is verantwoordelijk voor het opstellen, onderhouden en actualiseren van het beleid, en het directiecomité ZAL het beleid goedkeuren voordat het wordt vrijgegeven.

Het informatieveiligheidsbeleid en de maatregelen MOETEN worden beoordeeld:

  • In samenhang met veranderingen in wet- en regelgeving of beleid die gevolgen hebben voor de informatieveiligheid.

  • Bij het plannen en implementeren van nieuwe of ingrijpend gewijzigde technologie.

  • Na een dreiging- en risicobeoordeling van belangrijke veranderingen (bijvoorbeeld nieuwe informatiesystemen of overeenkomsten).

  • Wanneer uit auditverslagen of beoordelingen van beveiligingsrisico's blijkt dat informatiesystemen een hoog risico met zich meebrengen.

  • Wanneer trends in dreigingen of kwetsbaarheden wijzen op een aanzienlijk verhoogd risico.

  • Na ontvangst van het eindverslag van het onderzoek naar beveiligingsincidenten.

  • Alvorens toegangsovereenkomsten met externe partijen te verlengen die betrekking hebben op belangrijke producten of diensten.

  • Wanneer industriële, nationale of internationale standaarden voor informatieveiligheid worden ingevoerd of aanzienlijk worden herzien om nieuwe bedrijfs- en technologische aspecten aan te pakken.

  • Wanneer externe instanties verslagen uitbrengen of nieuwe trends met betrekking tot informatieveiligheid vaststellen.

Rollen en verantwoordelijkheden

Duidelijke rollen en verantwoordelijkheden zijn cruciaal voor een effectieve informatieveiligheid. Ze bevorderen bewustzijn, aansprakelijkheid en ondersteuning, en verminderen het risico op menselijke fouten. Dit leidt tot een betere bescherming van de informatie van de organisatie.

Leidinggevenden spelen een sleutelrol in de implementatie en handhaving van informatieveiligheid. Zij dragen het beleid actief uit, sturen en controleren of de richtlijnen worden nageleefd. Informatieveiligheid is echter een collectieve verantwoordelijkheid. Om een effectieve bijdrage van iedereen te garanderen, is het essentieel dat rollen en verantwoordelijkheden expliciet worden vastgesteld en gecommuniceerd.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

Het management MOET actief de uitvoering van het informatieveiligheidsbeleid en de gerelateerde procedures faciliteren, waarbij gewaarborgd wordt dat medewerkers:

  • Adequaat geïnformeerd worden over hun rollen en verantwoordelijkheden op het gebied van informatieveiligheid voordat ze toegang krijgen tot bedrijfsinformatie en andere relevante middelen.

  • Duidelijke instructies ontvangen die de verwachtingen omtrent hun rol in informatiebeveiliging binnen de organisatie uiteenzetten.

  • Verplicht zijn om het informatieveiligheidsbeleid van de organisatie na te leven.

  • Een bewustzijnsniveau ontwikkelen dat past bij hun functie en verantwoordelijkheden.

  • Zich houden aan de arbeidsvoorwaarden of contractuele afspraken, inclusief het informatieveiligheidsbeleid en vastgelegde werkmethodes.

  • Hun competenties en kwalificaties op het vlak van informatiebeveiliging up-to-date houden door regelmatige training en ontwikkeling.

  • Waar mogelijk, een vertrouwelijk kanaal krijgen om overtredingen van het informatieveiligheidsbeleid, bijhorend beleidsdomeinen, processen of procedures te melden (‘klokkenluiden’).
    Dit kan anonieme meldingen mogelijk maken, of bepalingen bevatten die ervoor zorgen dat de identiteit van de melder alleen bekend is bij degenen die dergelijke meldingen moeten behandelen;

  • Voldoende middelen en tijd ter beschikking krijgen om de beveiligingsprocessen en -maatregelen effectief te implementeren binnen de organisatie.

Een cultuur van openheid en vertrouwen DIENT te worden aangemoedigd, waarin medewerkers zich onbevreesd kunnen uitspreken over veiligheidskwesties en potentiële fouten zonder angst voor repercussies, en waar verantwoordelijkheid wordt genomen voor de oplossing ervan.

Aanvaardbaar gebruik van informatie en bedrijfsmiddelen

Informatie en bedrijfsmiddelen zijn waardevolle assets voor de organisatie. Het is belangrijk om deze assets te beschermen tegen ongeoorloofde toegang, wijziging, openbaarmaking of vernietiging.

Alle gebruikers van informatie en bedrijfsmiddelen van de organisatie, zowel intern als extern, zijn verantwoordelijk voor het gebruik dat zij hiervan maken. Zij moeten zich bewust zijn van de informatiebeveiligingseisen en deze naleven.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De organisatie MOET een beleid inzake het aanvaardbaar gebruik van informatie en bedrijfsmiddelen vaststellen en communiceren aan alle personen die deze gebruiken of hanteren.

Panel
panelIconIdatlassian-info
panelIcon:info:
bgColor#FFFFFF

Voor personeelsleden van de Vlaamse overheid is het aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen opgenomen in de ICT-code.

https://overheid.vlaanderen.be/ict-code#:~:text=ICT%2Dcode%20Vlaamse%20overheid%20%7C%20Vlaanderen,er%20een%20medewerker%20beschikbaar%20is.

Beleidsdomeinen

Child pages (Children Display)
depth1
allChildrentrue
styleh3
pageBeleidsdomeinen
sorttitle
sortAndReversetitle
excerptTypesimple
first0

Document status

Informatieveiligheidsbeleid

Titel

Auteur

Datum

Versie

Status

Opmerkingen

Informatieveiligheidsbeleid

Philippe Michiels

02/04/2020

0.1.1

Status
colourGreen
titleGEVALIDEERD

Informatieveiligheidsbeleid

Fabrice Meunier

01/02/2024

2.0

Status
colourPurple
titleFINAAL CONCEPT

Actualisering

Informatieveiligheidsbeleid

Fabrice Meunier

21/05/2024

2.0

Status
colourGreen
titleGEVALIDEERD

Goedgekeurd door Directie Comité

Beleidsdomeinen

Overzicht van de document status van de gerelateerde beleidsdomeinen.

Page Properties ReportfirstcolumnBeleidsdomeinshowCommentsCounttrueshowLastModifiedtruesortByTitleidDScqllabel = "beleidsdomeinen" and space = currentSpace ( )

Page Properties
hiddentrue
idDS

Document status

Auteur

Fabrice Meunier

Status

Status
colourPurple
titleFINAAL CONCEPT

Versie

2.0

status opties:

Status
colourYellow
titleCONCEPT
Status
colourBlue
titleIN REVIEW
Status
colourPurple
titleFINAAL CONCEPT
Status
colourGreen
titleGEVALIDEERD
Status
colourRed
titleTE REVISEREN

status eveneens aanpassen bovenaan deze pagina