null


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 40 Next »

Dit beleid omvat de maatregelen voor de beveiliging van informatie die wordt verwerkt op de digitale werkplek, waarmee wordt bedoeld: gebruikersapparatuur zoals een PC (zowel een desktop als laptop computer), een mobiel toestel (bv. een tablet of smartphone) en/of een verwijderbaar opslagmedium (bv. een USB-stick, geheugenkaart, of externe harde schijf). Het beleid richt zich in eerste instantie op gebruikersapparatuur die beheerd wordt door de organisatie, maar bevat ook de maatregelen voor het gebruik voor bedrijfsdoeleinden van apparatuur die niet door de organisatie wordt beheerd. Dit beleid beschrijft ook de regels voor aanvaardbaar gebruik door de gebruikers.

Inhoud

Doel

Beleid

Doelgebied

Het doelgebied van dit beleid omvat:

  • gebruikersapparaten die beheerd worden door de organisatie onafhankelijk van wel team de apparaten beheert,

  • gebruikersapparaten beheert door de organisatie als een service naar andere entiteiten en gebruikt buiten de organisatie, en

  • gebruikersapparaten gebruikt binnen de organisatie door haar medewerkers, maar niet beheert door de organisatie (“Bring Your Own Device” (BYOD) apparaten).

Het onderstaande beleid is van toepassing op gebruikersapparaten beheert door de organisatie (zowel diegene die worden gebruikt binnen de organisatie, als diegene die worden gebruikt buiten de organisatie), en zowel op de aanbodzijde (team en medewerkers die de gebruikersapparatuur beheren), als de vraagzijde (team en medewerkers die de gebruikersapparatuur gebruiken).

Het onderstaande beleid is eveneens van toepassing op BYOD-apparaten indien relevant of wanneer dit expliciet wordt aangegeven in betreffende paragrafen.

Toegang tot gebruikersapparaten

Implementatiemaatregel

  • Gebruikersapparatuur die bedrijfsinformatie bevat of toegang tot bedrijfsinformatie geeft, MOET minimaal vereisen dat een gebruiker zich persoonlijk authenticeert met behulp van wachtwoord, pincode, of biometrische sleutel in overeenstemming met het beleid Toegangsbeveiliging.

  • Het gebruik van geautomatiseerde inlogscripts of andere hulpmiddelen die een gebruiker in staat stellen in te loggen zonder te authenticeren MAG NIET mogelijk zijn.

Beveiliging van gebruikersapparaten

Implementatiemaatregel

  • Gebruikersapparatuur MOET fysiek worden beschermd in overeenstemming met met de classificatie van de informatie die op het apparaat staat EN/OF wordt verwerkt.

  • Geclassificeerde informatie die wordt verzonden door, of opgeslagen op, een draagbaar apparaat, inclusief verwijderbare opslagmedia, MOET te allen tijde worden beschermd in overeenstemming met het beleid Informatiebescherming.

Aankoop en uitgifte van gebruikersapparaten

Implementatiemaatregel

  • Er MOETEN procedures gedocumenteerd en beschikbaar zijn voor de aankoop van apparaten voor eindgebruikers..

  • Gebruikersapparatuur MOET worden besteld bij leveranciers die voldoen aan de eisen die worden gesteld volgens het beleid Leveranciersrelaties.

  • De gebruiker MOET bij in ontvangstname confirmeren te voldoen aan dit bedrijfsbeleid, in het bijzonder de beleidsregels met betrekking tot het aanvaardbaar gebruik, zie https://vlaamseoverheid.atlassian.net/wiki/spaces/ISMS/pages/edit-v2/6330811307#Aanvaardbaar-gebruik-van-gebruikersapparatuur.

  • De uitgifte en aanname van het apparaat MOET worden geregistreerd.

  • Elk apparaat en zijn gebruiker (eigenaar) MOET worden geregistreerd in een CMDB (Configuration Management Database).

Rapportering van verlies

Implementatiemaatregel

  • Wanneer de eigenaar van gebruikersapparatuur meldt dat de apparatuur verloren of gestolen is, zie https://vlaamseoverheid.atlassian.net/wiki/spaces/ISMS/pages/edit-v2/6330811307#Aanvaardbaar-gebruik-van-gebruikersapparatuur, MOET er een beoordeling van het verlies en het mogelijk compromitteren van informatie plaatsvinden.

  • Voor mobiele apparaten MOET de bedrijfsinformatie onmiddellijk worden gewist via de MDM/MAM (“Mobile Device /Application Management”) service (zie de paragraaf Configuratie).

  • Als de gebruikersapparatuur persoonsgegevens bevat, MOET de Data Privacy Officer (DPO) worden geïnformeerd.

  • Als de gebruikersapparatuur eigendom is van de organisatie, moet er uiterlijk tweeënzeventig (72) uur na de melding een politierapport worden ingediend.

Beheer van PC's

Configuratie

Implementatiemaatregel

  • Elk apparaat MOET worden voorzien van een door de organisatie bepaalde basis software image inclusief antimalware software.

  • De klok van elk apparaat MOET bij registratie worden geconfigureerd met de door de organisatie goedgekeurde tijdsbron.

  • Elk apparaat MOET worden gekoppeld aan een binnen de organisatie geregistreerde gebruiker.

  • Elk apparaat MOET worden geconfigureerd zo dat een gebruiker zich steeds moet authenticeren conform het beleid Toegangsbeveiliging:

    • Het initiële wachtwoord MOET ONMIDDELLIJK veranderd worden door de gebruiker bij het eerste gebruik in een nieuw vertrouwelijk wachtwoord;

    • Gebruikersaccounts MOETEN worden opgezet zonder admin-rechten; en

    • Gebruikers die admin-rechten nodig hebben op hun PC voor het uitoefenen van hun taken, MOETEN worden geregistreerd en goedgekeurd.

  • Apparaten MOETEN worden voorzien van hardware-encryptie dat voldoet aan het beleid Cryptografie.

  • Apparaten MOETEN worden voorzien van een door de organisatie goedgekeurde en beheerde configuratie voor werken van op afstand. De gebruiker MOET deze configuratie gebruiken en MAG GEEN andere configuratie voor werken van op afstand gebruiken.

Software

Implementatiemaatregel

  • De organisatie MOET een lijst bijhouden van goedgekeurde en toegestane software die door gebruikers kan gebruikt worden boven op de basis software ter ondersteuning van bedrijfstaken, en deze lijst MOET beschikbaar zijn voor alle gebruikers op een gemakkelijk bereikbare plaats.

  • Als een gebruiker software nodig heeft andere dan de basis software voor het uitoefenen van zijn/haar bedrijfstaken en waarbij admin rechten nodig zijn voor de installatie:

    • MOET bij voorkeur de software genomen worden uit de toegestane software lijst;

    • Als de software niet voorkomt op de toegestane software lijst, MOET deze software worden goedgekeurd door een review board en toegevoegd aan de toegestane software lijst; en

    • MOET deze software worden geïnstalleerd via een gedocumenteerd proces en een door de organisatie beheerd software management systeem.

  • De organisatie MOET ervoor zorgen dat alle softwarelicenties legaal en up-to-date zijn.

  • De organisatie MOET een lijst bijhouden van verboden software, en deze lijst MOET beschikbaar zijn voor alle gebruikers op een gemakkelijk bereikbare plaats.

  • De lijst met verboden software MOET periodiek worden nagekeken.

  • Als een gebruiker software nodig heeft andere dan de basis software voor het uitoefenen van zijn/haar bedrijfstaken en waarbij geen admin rechten nodig zijn voor de installatie:

    • Mag er NOOIT software die voorkomt op de lijst van verboden software worden geïnstalleerd; en

    • MOET bij voorkeur software van de standaard software lijst worden geïnstalleerd.

  • De organisatie MOET periodieke scans uitvoeren om na te gaan of er geen verboden software werd geïnstalleerd en deze software MOET onmiddellijk verwijderd worden.

  • Gebruikers die zelf admin rechten hebben omdat dit vereist is voor de uitoefening van hun taken, MOETEN de regels m.b.t. standaard en verboden software naleven.

  • Er MOETEN procedures bestaan voor het tijdig uitrollen van software patches conform het beleid Kwetsbaarhedenbeheer

    • Deze procedures MOETEN patches prioritiseren en inplannen op basis van risicofactoren en baten; en

    • Updates die kritieke bugfixes of ernstige kwetsbaarheden aanpakken, MOETEN een hoge prioriteit krijgen en MOETEN sneller toegepast worden dan updates voor niet-kritieke fixes of functieverbeteringen.

Bring Your Own Device (BYOD)

Implementatiemaatregel

  • PC's die niet door de organisatie wordt beheerd en het eigendom zijn van een medewerker of een bedrijf waarvoor de medewerker werkzaam is, zijn toegestaan voor bedrijfsdoeleinden enkel en alleen indien de medewerker het volgende heeft geverifieerd en bevestigd:

    • Het gebruik voor bedrijfsdoeleinden geschiedt uitsluitend via een gebruikersaccount en een wachtwoord zoals beschreven in het beleid Toegangsbeveiliging;

    • De PC wordt enkel gebruikt door de medewerker zelf;

    • Beveiligingspatches op het apparaat zijn up-to-date;

    • Een commercieel antimalware product is geïnstalleerd en operationeel (d.w.z. niet uitgeschakeld) met up-to-date definities;

    • Een commerciële desktop-firewall is geïnstalleerd en operationeel (d.w.z. niet uitgeschakeld);

    • Er is geen peer-to-peer (P2P) bestandsuitwisselingssoftware geïnstalleerd;

    • Er is geen illegale software geïnstalleerd of software waarvoor geen licentie is verkregen;

    • Er is geen software geïnstalleerd die voorkomt op de lijst van verboden software;

    • Er is geen opslag van bedrijfsgegevens op het apparaat zelf; en

    • Het gebruik van bedrijfstoepassingen is beperkt en enkel mogelijk via een browser.

Beheer van mobiele gebruikersapparatuur

Registratie en Authenticatie

Implementatiemaatregel

  • Gebruik van een mobiel apparaat dat niet door de organisatie wordt beheerd en het privé eigendom is van een medewerker, is toegestaan voor bedrijfsdoeleinden.

    • Voor mobiele apparatuur die niet het eigendom is van de organisatie MOET een lijst bestaan van goedgekeurde merken die mogen gebruikt worden voor bedrijfsdoeleinden.

    • Gebruik voor bedrijfsdoeleinden van een toestel dat geroot of jailbroken is (modifiëren van het operating systeem voor specifiek gebruik), is NIET toegestaan.

  • Mobiele apparaten MOETEN worden geregistreerd voordat toegang wordt verleend tot een ICT-service of informatiesysteem.

  • De gebruiker en/of het mobiele apparaat MOETEN worden geverifieerd zoals gespecificeerd in het beleid Toegangsbeveiliging voordat toegang wordt verleend tot een ICT-service of informatiesysteem op het interne netwerk van de organisatie.

Toegang

Implementatiemaatregel

  • Het mobiele apparaat MOET de bedrijfsinformatie versleutelen op een manier die voldoet aan de vereisten van het beleid Cryptografie.

  • Het mobiele apparaat MOET beveiligingscontroles toepassen die ongeautoriseerde toegang tot bedrijfsinformatie op het apparaat voorkomen. In het bijzonder MOETEN de volgende maatregelen aanwezig zijn:

    • Een wachtwoord (het "ontgrendelingswachtwoord") is vereist om toegang te krijgen tot de informatie die is opgeslagen op het mobiele apparaat;

    • Het ontgrendelingswachtwoord moet minimaal zes (6) tekens lang zijn;

    • Het ontgrendelingswachtwoord mag alleen bekend zijn bij de gebruiker en het mobiele apparaat;

    • Het mobiele apparaat moet de toegang tot bedrijfsinformatie op het apparaat vergrendelen na maximaal vijf (5) minuten inactiviteit van de gebruiker; en

    • Opeenvolgende mislukte of ongeldige pogingen om het ontgrendelingswachtwoord, of goedgekeurd equivalent, in te voeren, moeten resulteren in het automatisch vergrendelen van het apparaat voor een bepaalde tijd die oploopt indien het aantal pogingen toeneemt.

Configuratie

Implementatiemaatregel

  • Er MOET goedgekeurde technologie worden geïmplementeerd om apparatuur van op afstand te beheren (Mobile Application Management (MAM)).

  • Er MOET goedgekeurde containertechnologie worden gebruikt als het mobiele apparaat niet eigendom is van de organisatie, om het deel te beheren dat bedrijfsinformatie kan bevatten.

  • Het mobiele apparaat en/of het deel van het mobiele apparaat voor het opslaan en openen van bedrijfsinformatie, MOET worden geconfigureerd en beheerd om ervoor te zorgen dat het zich in een beveiligde staat bevindt en bedrijfsinformatie wordt beschermd volgens het beleid Informatiebescherming.

  • Er MOET een proces worden uitgewerkt voor de installatie van beveiligings-patches en beveiliging-gerelateerde updates voor het besturingssysteem.

Apparaat wissen

Implementatiemaatregel

  • Het mobiele apparaat MOET op afstand worden gewist van bedrijfsinformatie door het verzenden van een "remote wipe" commando binnen 24 uur na het optreden van één van de volgende situaties:

    • De gebruiker gaat uit dienst en de leidinggevende van de gebruiker bevestigt dat het apparaat moet worden gewist;

    • Detectie dat operationele controles of het configuratiebeleid van het mobiele apparaat zijn omzeild en de gebruiker geen remediërende acties heeft voltooid binnen de door ICT gespecificeerde termijn;

    • Het mobiele apparaat wordt als verloren of gestolen gemeld of de gebruiker meldt zijn intentie om het apparaat af te voeren of eigendom over te dragen; of

    • Bij 90 dagen inactiviteit.

Aanvaardbaar gebruik van gebruikersapparatuur

Implementatiemaatregel

  • Deze paragraaf MOET expliciet worden onderschreven door elke medewerker die een PC of mobiel apparaat gebruikt voor het verwerken van bedrijfsinformatie.

Verantwoordelijkheden

Implementatiemaatregel

Indien U een apparaat gebruikt beheerd door de organisatie, moet U voldoen aan de ICT-code | Vlaanderen.be.

In het bijzonder MOET U aan de volgende regels voldoen:

  • Houd uw wachtwoord of pincode geheim en deel dit nooit met anderen, inclusief personeel van de ICT service desk.

  • Kies wachtwoorden of pincode voor toegang tot het de organisatie netwerk of informatiesystemen die voldoen aan het beleid Toegangsbeveiliging.

    • Een wachtwoord moet ten minste 12 karakters lang zijn;

    • Het wachtwoord moet een combinatie zijn van de volgende type karakters:

      • hoofdletters;

      • kleine letters;

      • cijfers;

      • speciale karakters !\"#$%&'()*+-,./:;<=>?@[]\^`{}|~_.

    • Het wachtwoord mag geen woordenboek-woord, dialect-woord of jargon-woord uit welke taal dan ook zijn, of één van deze woorden achterstevoren geschreven;

    • Wachtwoorden mogen niet gebaseerd zijn op persoonsgegevens (bijvoorbeeld geboortedatum, adres, naam van familielid, enz.).

  • Bewaar uw apparaat op een veilige plaats conform het beleid Fysieke beveiliging.

  • Meld elk verlies of diefstal van uw apparaat met bedrijfsinformatie zo snel mogelijk, maar niet later dan vierentwintig (24) uur na het detecteren van het verlies of de diefstal, aan uw leidinggevende en de ICT service desk.

    • Download of installeer enkel de software die voorkomt op de toegestane software lijst en installeer nooit enige software die voorkomt op de verboden software lijst.

  • Lever een apparaat dat eigendom is van het bedrijf in uw bezit in bij beëindiging van uw contract of overeenkomst.

  • Zorg dat een verwijderbare opslagapparaat (bijv. cd, USB-flashstation) dat wordt gebruikt, steeds veilig wordt bewaard in lijn met het beleid Fysieke beveiliging. Als het apparaat vertrouwelijke informatie bevat van informatieklasse 4 of 5, moet dit worden versleuteld in overeenstemming met het beleid Cryptografie.

Persoonlijk gebruik van apparaten beheerd door de organisatie

Implementatiemaatregel

Gebruik van een PC en andere apparatuur (zoals bijvoorbeeld printers of kopieerapparaten) beheerd door de organisatie voor privé doeleinden is toegestaan, mits dergelijk gebruik incidenteel en onbeduidend is en de normale werkactiviteiten niet verstoort. Elk privé gebruik van apparatuur beheerd door de organisatie:

  • Mag enkel gebeuren door de werknemer zelf en niet door anderen zoals bijvoorbeeld familieleden of vrienden;

  • Mag geen verzoeken om geld of gunsten omvatten;

  • Mag niet in verband worden gebracht met een politieke entiteit;

  • Mag geen externe bedrijfsactiviteit promoten of voor persoonlijk gewin worden gebruikt; en

  • Mag de reputatie van de organisatie niet schaden of mogelijk schaden.

Verboden gebruik van apparaten beheerd door de organisatie

Implementatiemaatregel

Indien U een apparaat gebruikt beheerd door de organisatie, MOET het gebruik voldoen aan de ICT-code | Vlaanderen.be en de Deontologische code Vlaamse overheid | Vlaanderen.be. In het bijzonder gelden het volgende:

  • Verstrek geen bedrijfsinformatie aan personen en organisaties die deze informatie niet hoeven te weten.

  • Maak, verzend of verstuur geen ongepast of aanstootgevend materiaal, zoals opmerkingen over ras, geslacht, lichamelijke kenmerken, handicaps, leeftijd, seksuele geaardheid, religieuze of politieke overtuigingen of nationale afkomst.

  • Belemmer of verstoor geen diensten of operaties binnen of buiten de organisatie.

  • Probeer geen toegang te krijgen tot informatie, netwerken, websites of toepassingen waartoe u geen toegang hebt.

  • Zoek, verkrijg, verzend of sla geen persoonlijke informatie van andere personen op, inclusief persoonlijke bestanden en individuele wachtwoorden.

  • Vertegenwoordig uzelf of de organisatie niet op een misleidende manier naar anderen toe.

  • Promoot geen asociaal of onethisch gedrag.

  • Voer geen activiteiten uit die in strijd zijn met internationale, landelijke, federale, staats- of lokale wetten of regelgeving.

  • Voer geen activiteiten uit die niet in overeenstemming zijn met de waarden van de organisatie zoals bijvoorbeeld het bekijken van pornografisch materiaal.

  • Wijzig de computerbeveiligingsinstellingen of antimalware instellingen van uw apparaat niet, of enige andere instellingen die de vereisten van dit beleid kunnen omzeilen.

  • Gebruik geen andere configuratie voor zerken van op afstand dan diegene die op het apparaat werden ingesteld.

  • Gebruik uw apparaat niet als server of stel geen RDP (“Remote Desktop Sharing”) in voor gebruik vanop een ander apparaat.

  • Voer geen activiteiten uit die de wettelijke bescherming geboden door patenten, auteursrechten, handelsmerken en intellectuele eigendomsrechten schenden.

Aanvaardbaar gebruik van eigen PCs (“Bring Your Own Device”)

Implementatiemaatregel

Gebruik van een PC die niet door de organisatie wordt beheerd en het eigendom is van uzelf of van het bedrijf waarvoor U werkt, is toegestaan voor bedrijfsdoeleinden, indien U voldoet aan de volgende regels:

  • Het gebruik voor bedrijfsdoeleinden geschiedt uitsluitend door U zelf en via een gebruikersaccount en een wachtwoord zoals beschreven in het beleid Toegangsbeveiliging;

  • Beveiligingspatches op het apparaat zijn up-to-date;

  • Een commercieel antimalware product is geïnstalleerd en operationeel (d.w.z. niet uitgeschakeld) met up-to-date definities;

  • Een commerciële desktop-firewall is geïnstalleerd en operationeel (d.w.z. niet uitgeschakeld);

  • Er is geen peer-to-peer (P2P) bestandsuitwisselingssoftware geïnstalleerd;

  • Er is geen illegale software geïnstalleerd of software waarvoor geen licentie is verkregen;

  • Er is geen software geïnstalleerd die voorkomt op de lijst van verboden software; en

  • Er is geen opslag van bedrijfsgegevens op het apparaat zelf.

Aanvaardbaar gebruik van mobiele apparaten

Implementatiemaatregel

Mobiele apparaten zoals smartphones en tablets, bieden gemakkelijke toegang tot informatie en informatiesystemen, maar het gebruik van deze apparaten voor bedrijfswerkzaamheden moet worden gecontroleerd om de bescherming van bedrijfsinformatie te waarborgen. Gebruik van een mobiel apparaat dat niet door de organisatie wordt beheerd en het eigendom is van uzelf of het bedrijf waarvoor U werkt, is toegestaan voor bedrijfsdoeleinden, indien U voldoet aan de volgende regels:

  • Gebruik alleen goedgekeurde mobiele apparaten om toegang te krijgen tot bedrijfsinformatie die voorkomen op de lijst van goedgekeurde merken.

  • Registreer uw mobiele apparaat bij ICT voordat u het gebruikt om toegang te krijgen tot bedrijfsinformatie.

  • Door uw mobiele apparaat te registreren, gaat u ermee akkoord dat de organisatie het recht heeft, in overeenstemming met nationale en/of lokale wetten, om toegang te krijgen tot, te inspecteren en een kopie te maken van de informatie die erop staat, inclusief het identificeren en terughalen van bedrijfsinformatie indien nodig.

  • Probeer niet de beveiligingsconfiguratie van uw mobiele apparaat te wijzigen of de beveiligingscontroles die erop zijn ingesteld te omzeilen.

  • Gebruik voor bedrijfsdoeleinden van een toestel dat is geroot of jailbroken, is niet toegestaan.

  • Houd uw mobiele apparaat te allen tijde veilig, aangezien het gevoelige bedrijfsinformatie kan bevatten. U moet uw mobiele apparaat beschermen zoals u uw kredietkaarten of portefeuille zou beschermen.

  • Houd uw toegangscode strikt geheim en deel de informatie niet met anderen.

  • Onder bepaalde omstandigheden kan het nodig zijn om bedrijfsinformatie vanop afstand van uw mobiele apparaat te wissen om ongeautoriseerde openbaarmaking van deze informatie te voorkomen. Deze actie kan resulteren in het verwijderen van persoonlijke informatie op het apparaat, zoals contactlijsten, agenda-informatie, documenten en afbeeldingen. Probeer het wisproces niet te omzeilen.

  • Meld het verlies van uw mobiele apparaat (persoonlijk of in eigendom van het bedrijf) dat bedrijfsinformatie bevat aan uw leidinggevende en de ICT service desk zo snel mogelijk, maar niet later dan vierentwintig (24) uur na het ontdekken van het verlies.

  • Neem contact op met de ICT service desk en vraag om het apparaat te laten wissen voordat u uw mobiele apparaat (persoonlijk of in eigendom van het bedrijf) weggooit, verkoopt of overdraagt aan een nieuwe eigenaar, om ervoor te zorgen dat bedrijfsinformatie veilig wordt verwijderd.

Appendix

Relatie van het beleid met andere richtlijnen en standaarden

Regelgeving en standaarden (L1)

ISO 27001:2022 (Annex A)

Informatieclassificatieraamwerk van de Vlaamse overheid (L2)

Zie hier voor meer informatie.

Document status

Titel

Auteur

Datum

Versie

Opmerkingen

Digitale werkplek

Guido Calomme

24/07/2024

v1.0

  • No labels