Dit beleid omvat richtlijnen en maatregelen om ervoor te zorgen dat medewerkers en contractanten gedurende hun relatie met de organisatie hun verantwoordelijkheden op het gebied van informatieveiligheid begrijpen en nakomen. Oa. door middel van screeningsprocedures, vertrouwelijkheidsclausules in contracten, bewustmakingscampagnes, training en een disciplinair beleid.
|
DOELSTELLINGEN
|
Voorafgaand aan het dienstverband
De personeelsdienst en betrokken leidinggevenden moeten ervoor zorgen dat potentiële werknemers en contractanten hun verantwoordelijkheden begrijpen en geschikt zijn voor de functies en rollen waarvoor zij in aanmerking komen.
Opname van veiligheidsvereisten in functie- of rolomschrijving
Het opnemen van specifieke beveiligingstaken en -verantwoordelijkheden in functie- en rolomschrijvingen draagt bij aan het bewustzijn van medewerkers over hun rol en verantwoordelijkheid in informatieveiligheid. Bovendien bevordert dit de ontwikkeling van een bedrijfscultuur waarin iedereen zich betrokken en verantwoordelijk voelt voor het handhaven van het informatieveiligheidsbeleid.
Implementatiemaatregel
Voorafgaand aan de indiensttreding MOETEN de taken en verantwoordelijkheden van elke werknemer duidelijk worden besproken, omschreven en gedocumenteerd. De specifieke beveiligingstaken en -verantwoordelijkheden MOETEN ook worden opgenomen in de individuele functieomschrijvingen en dienen de volgende elementen te bevatten:
De specifieke verantwoordelijkheden van de individuele medewerker voor het toepassen en handhaven van het informatieveiligheidsbeleid.
Optioneel en afhankelijk van de functie of rol: De specifieke verantwoordelijkheden van de medewerker voor de beveiliging van bepaalde middelen, of voor het uitvoeren van bepaalde beveiligingsprocessen of -activiteiten.
Screening
Implementatiemaatregel
De organisatie MOET vastleggen voor welke functies of rollen screening noodzakelijk is, alsook de modaliteiten van screening vastleggen in een procedure, hierbij MOET rekening gehouden worden met:
De diepgang van de screening dient in verhouding te staan tot de veiligheidsvereisten voor de functie of rol, de classificatie van de informatie waartoe de kandidaat toegang zal krijgen en de vastgestelde risico’s.
Screening dient steeds te worden uitgevoerd in overeenstemming met de relevante wet- en regelgeving, bescherming van persoonsgegevens (AVG), arbeidswetgeving, alsook ethische overwegingen.
De organisatie MOET screening vereisten bij leveranciers contractueel vastleggen. Zie ook Leveranciersrelaties.
Procedures die de criteria en beperkingen voor screening definiëren behoren te worden opgesteld, bijv. wie is competent om personen te screenen, en hoe, wanneer en waarom worden controleonderzoeken uitgevoerd. Dergelijke procedures inzake rekrutering en selectie zijn vastgelegd in deel III van het VPS: https://www.vlaanderen.be/vlaams-personeelsstatuut/deel-iii-rekrutering-en-selectie-van-het-personeel-0. Daarnaast zijn er ook nog kwaliteitscriteria voor selecties en selectoren vastgelegd in een omzendbrief uit 2014: https://overheid.vlaanderen.be/omzendbrief-bz-2014/5
Bij het uitbesteden van diensten dient het contract met de leverancier specifieke vereisten voor screening te bevat. Leveranciers die diensten uitvoeren, dienen screening uit te voeren bij hun personeel. Hoewel individuele screeningdocumenten niet direct aan de organisatie hoeven te worden verstrekt, dient het contract een clausule te bevat die de organisatie het recht geeft om hierop audits uit te voeren. Zie ook Leveranciersrelaties.
Arbeidsvoorwaarden
Implementatiemaatregel
In de contracten en arbeidsvoorwaarden met werknemers en contractanten MOETEN zowel hun eigen verantwoordelijkheden als die van de organisatie met betrekking tot informatieveiligheid duidelijk worden omschreven.
De organisatie MOET alle relevante verplichtingen of andere afspraken formeel vastleggen en waar vereist zorgen voor ondertekening door de betreffende medewerkers en contractanten.
Alle interne personeelsleden dienen zich te houden aan de verplichtingen van het arbeidsreglement, de Vlaamse deontologische code en de bijhorende ICT-code (https://overheid.vlaanderen.be/ict-code en https://overheid.vlaanderen.be/BZ-2014-2), alsook aan de bijkomende (minder formele) afspraken die de organisatie oplegt (e.g. de afspraken in dit informatieveiligheidsbeleid). Een vertrouwelijkheidsclausule dient in de arbeidsovereenkomst te worden opgenomen of een confidentialiteitsovereenkomst dient ondertekend te worden om confidentialiteit of geheimhouding te waarborgen.
Vertrouwelijkheids- en geheimhoudingsovereenkomsten kunnen de volgende punten bevatten:
De omvang van de te beschermen informatie en de wijze waarop deze kan worden geïdentificeerd.
De te ondernemen stappen bij het beëindigen van de overeenkomst.
De eigendomsrechten op informatie en intellectueel eigendom.
De procedure voor het melden en rapporteren van ongeautoriseerde openbaarmakingen of lekken.
Externe medewerkers die bij de organisatie aan de slag gaan, dienen vooraf een document te ondertekenen waarin hun verantwoordelijkheden met betrekking tot informatieveiligheid zijn vastgesteld. Deze verantwoordelijkheden omvatten onder meer de verplichting tot geheimhouding en het naleven van het informatieveiligheidsbeleid van de organisatie. In de overeenkomsten met externe tussenpartijen, die (tijdelijke) medewerkers aan de organisatie leveren, dient te worden vastgelegd dat deze partijen ervoor zorgen dat hun werknemers deze verklaring ondertekenen.
Tijdens het dienstverband
Ervoor zorgen dat medewerkers en contractanten zich bewust zijn van hun verantwoordelijkheden op het gebied van informatieveiligheid en deze nakomen.
Directieverantwoordelijkheden
Implementatiemaatregel
De directie MOET erop toezien dat alle medewerkers handelen in overeenstemming met de vastgestelde beleidsregels en procedures van de organisatie. Om dit te bereiken, worden medewerkers regelmatig herinnerd aan hun verantwoordelijkheden, en wordt de naleving van het beleid op gezette tijden beoordeeld.
Het is de verantwoordelijkheid van de directie om ervoor te zorgen dat medewerkers en contractanten:
Duidelijke instructies krijgen over hun rollen en verantwoordelijkheden inzake informatieveiligheid voordat zij toegang krijgen tot vertrouwelijke informatie of informatiesystemen.
Richtlijnen ontvangen die de verwachtingen van hun rol in informatieveiligheid binnen de organisatie duidelijk maken.
Gemotiveerd worden om zich te houden aan de informatieveiligheidsbeleid van de organisatie.
Een bewustzijnsniveau ontwikkelen over informatieveiligheid dat past bij hun functie en verantwoordelijkheden binnen de organisatie.
Zich houden aan de arbeidsvoorwaarden of inhuurcontracten.
Voortdurend beschikken over de vereiste vaardigheden en kwalificaties.
Bekend zijn met de meldingsprocedure van inbreuken op het informatieveiligheidsbeleid en -procedures.
Bovendien dient de directie de informatieveiligheidsbeleidsregels, -procedures en -maatregelen actief te ondersteunen en als een voorbeeldfunctie te dienen.
Het melden van veiligheidskwesties moet worden aangemoedigd in een cultuur van vertrouwen en verbetering. Medewerkers moeten zich vrij voelen om openlijk te spreken, ook over hun eigen fouten, en mogen niet worden gestraft voor het melden daarvan. Het is belangrijk dat medewerkers elkaar kunnen aanspreken op het niet naleven van beleid, met steun van het directiecomité. Het inzetten van een disciplinaire procedure is een laatste stap, alleen als andere vormen van dialoog niet effectief zijn.
Bewustzijn en opleiding
Implementatiemaatregel
Alle medewerkers en contractanten MOETEN, aangepast aan hun functie- of rolniveau, bewust worden gemaakt en getraind in beveiligingsprocedures en het juiste gebruik van IT-voorzieningen.
De organisatie is verantwoordelijk voor het ontwikkelen en implementeren van een formeel bewustzijnsprogramma om alle gebruikers te informeren over het belang van informatieveiligheid. Dit programma moet regelmatig aandacht krijgen, zowel via formele opleidingssessies als door het integreren van veiligheidsaspecten in de dagelijkse werking van de organisatie, zoals tijdens presentaties en in reactie op recente veiligheidsincidenten of mediaberichten.
Het bewustzijnsprogramma zou onder andere het volgende moeten omvatten:
Opleidingen over beveiliging, afgestemd op specifieke rollen, aangeboden via diverse methoden zoals klassikaal of e-learning.
Praktische oefeningen die echte cyberaanvallen simuleren.
Communicatiemiddelen zoals nieuwsbrieven en posters.
Daarnaast biedt de organisatie beveiligingstrainingen aan die zijn afgestemd op de specifieke rollen, verantwoordelijkheden en toegangsniveaus van medewerkers tot informatie en informatiesystemen. Deze trainingen moeten ook algemene informatiebeveiligingsaspecten behandelen, zoals de betrokkenheid van het management, de naleving van relevante regels en verplichtingen, persoonlijke verantwoordelijkheden van medewerkers, basisbeveiligingsprocedures en contactinformatie voor aanvullend advies. Het is belangrijk dat deze trainingen periodiek worden aangeboden, niet alleen aan nieuwe medewerkers maar ook aan bestaande medewerkers die een nieuwe functie of rol aanneemt. De deelname aan deze beveiligingstrainingen dient geregistreerd en bijgehouden te worden in het personeelsdossier van elke medewerker.
Disciplinaire maatregelen
Implementatiemaatregel
Er MOET een formele disciplinair procedure zijn om actie te ondernemen tegen medewerkers die (bewust) een inbreuk hebben gepleegd op het informatieveiligheidsbeleid. Deze procedure MOET deel uitmaken van het HR-beleid.
Voor interne personeelsleden zijn de bepalingen inzake disciplinaire acties opgenomen in het Vlaams Personeelsstatuut (VPS) (https://eur03.safelinks.protection.outlook.com/?url=https%3A%2F%2Foverheid.vlaanderen.be%2Fdeel-viii-tuchtregeling&data=04%7C01%7Cnathalie.claeys%40vlaanderen.be%7C8c45de9af44b4c10a29008d8c69378a5%7C0c0338a695614ee8b8d64e89cbd520a0%7C0%7C0%7C637477683980241427%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=tXaW8n%2FZP4Nm3J3wuNrzJ1%2F3rBnfu64ZkzHzC3%2Bu71s%3D&reserved=0) en het arbeidsreglement. Voor externe medewerkers gelden de bepalingen opgenomen in de tewerkstellingsovereenkomst.
Bij het beoordelen van een inbreuk wordt rekening gehouden met de ernst ervan, alsook met het feit of de inbreuk al dan niet bewust plaatsvond en of er sprake is van recidive. Gezien het streven naar een cultuur van vertrouwen en verbetering, wordt in de eerste plaats getracht om in dialoog te gaan met de overtreder(s) met als doel lessen te trekken uit de situatie en herhaling van de feiten te voorkomen. De respectieve disciplinaire procedures worden beschouwd als een laatste stok achter de deur, om op te kunnen treden tegen zware, bewuste en/of herhaaldelijke inbreuken.
Beëindiging en wijziging van het dienstverband
Het beschermen van de belangen van de organisatie als onderdeel van de wijzigings- of beëindigingsprocedure van het dienstverband.
Beëindiging van het dienstverband
Indien een medewerker een bepaalde functie of rol niet langer opneemt of indien de tewerkstelling wordt beëindigd, dienen zijn/haar verantwoordelijkheden en taken (alsook toegangsrechten) te worden overgedragen. Sommige verplichtingen met betrekking tot informatieveiligheid, m.n. geheimhouding, blijven bovendien gelden na de beëindiging of wijziging van het dienstverband. Deze verplichtingen moeten duidelijk worden beschreven en moeten nogmaals onder de aandacht van de vertrekkende medewerker worden gebracht tijdens het exitgesprek.
Bij het beëindigen van het dienstverband van een werknemer of contractant met een "hoog risico" is het cruciaal om een procedure voor “dringende uitdiensttreding” vast te stellen. Deze procedure moet ervoor zorgen dat bestaande ID's, privileges en autorisaties van de betreffende persoon onmiddellijk kunnen worden ingetrokken.
Implementatiemaatregel
De organisatie MOET ervoor zorgen dat bij beëindiging van het dienstverband of inhuurcontract:
De toegangsrechten tot informatie en informatiesystemen binnen 24 uur na het einde van het dienstverband worden ingetrokken.
Exit-interviews worden gevoerd, indien dit mogelijk is.
Alle bedrijfseigendommen worden teruggevraagd.
Alle informatie waarvoor de vertrekkende werknemer verantwoordelijk was, wordt geïdentificeerd en een nieuwe verantwoordelijke wordt aangewezen.
De organisatie MOET een procedure vastleggen voor “dringende uitdiensttreding”
Wijziging van tewerkstelling
Wanneer een medewerker een nieuwe functie of rol binnen de organisatie opneemt, is het essentieel dat bestaande toegangsrechten die niet langer relevant zijn, binnen een redelijke termijn worden aangepast.
Implementatiemaatregel
De organisatie MOET ervoor zorgen dat:
Logische en fysieke toegangsrechten tot informatie en informatiesystemen worden herzien bij een interne functie- of rolwijziging van een medewerker.
De aangepaste toegangsrechten worden toegepast binnen 7 dagen na de daadwerkelijke overplaatsing.
Regelgeving en standaarden (L1)
ISO 27001:2022 (Annex A)
Titel | Auteur | Datum | Versie | Status | Opmerkingen |
|---|---|---|---|---|---|
Human Resource beveiliging | Nathalie Claeys | 23/08/2021 | 0.1 | CONCEPT | |
Beleid voor personeelsbeveiliging | Fabrice Meunier | 23/11/2023 | 1.0 | IN REVIEW | |
Beleid voor personeelsbeveiliging | Vincent Alwicher | 07/06/2024 | 1.0 | IN REVIEW | Update op basis van feedback van HR |