Het informatieveiligheidsbeleid vertrekt vanuit een aantal doelstellingen, deze geven concrete richting aan het beleid en bepaald de prioterisering tijdens de uitvoering ervan.
Het toezicht over de status van deze doelstellingen maakt deel uit van de directiebeoordeling.
Vlaamse strategie informatieveiligheid
De doelstellingen van het informatieveiligheidsbeleid van Digitaal Vlaanderen zijn een verdere doorvertaling van de Vlaamse strategie informatieveiligheid.
Doelstellingen
De Vlaamse overheid wil met deze strategie volgende doelstellingen bereiken:
- Het vertrouwen genieten van de burger, onderneming en/of vereniging.
- De persoonlijke levenssfeer van de burger beschermen.
- De reputatie hooghouden van de Vlaamse overheid als betrouwbare partner.
- Bedrijfscontinuïteit garanderen tijdens en na een ernstig incident
- Een innovatieve kracht zijn
Strategische principes
Deze strategie is gebaseerd op volgende strategische uitgangspunten:
Subsidiariteit en verantwoordelijkheden
We houden rekening met de aansprakelijkheden en verantwoordelijkheden van de individuele entiteiten bij het uitvoeren van hun kernactiviteiten. Het beleid respecteert de subsidiariteit en houdt rekening met de diversiteit in de structuur en risicoprofiel van de Vlaamse overheid.
Proportioneel
De maatregelen en investeringen op het vlak van informatieveiligheid zijn proportioneel aan het belang van de verwerkte informatie, gebaseerd op een gewogen risicoanalyse. Welke maatregelen en controles exact op welkeinformatie van toepassing zijn, hangt af van de gevoeligheid van de gegevens.
Ondersteunend
Een sterk informatieveiligheidsbeleid zorgt voor een veilig gebruik van moderne, nieuwe en innovatieve technologie, die de Vlaamse overheid in staat stelt om met vertrouwen haar kerntaken uit te voeren in de hedendaagse samenleving.
Gebaseerd op samenwerking, gezamenlijke doelstellingen en objectieven
Incidenten bij individuele entiteiten hebben potentieel grote impact op de volledige Vlaamse overheid. Gezien elke entiteit worstelt met identiek dezelfde uitdagingen rond informatiebeveiliging nemen we deze uitdaging gezamenlijk op. Hiermee zorgen we voor efficiëntie, brede inzetbaarheid en resultaat.
Bewezen
De strategie rond informatieveiligheid is gebaseerd op industrie standaarden en beste praktijken. We maken veiligheid meetbaar, op een manier die controle en bijsturing mogelijk maakt. We brengen vereisten, risico en efficiëntie structureel in kaart en volgen deze op.
Realistisch en schaalbaar
Het beleid moet uitvoerbaar zijn voor alle betrokken partijen, rekening houdend met de grootte en slagkracht van individuele entiteiten. We maken maximaal gebruik van bestaande processen.
Duurzaam
Informatieveiligheid is een uitdaging die een lange termijn en structurele aanpak vereist met aandacht voor continue verbetering. Het beleid dient verankerd te zijn in de bestuurlijke regelgeving.
Bron: VR 2021 1510 DOC.1151-1 Strategie informatieveiligheid - nota
Doelstellingen informatieveiligheid Digitaal Vlaanderen
Onderstaande tactische -en operationele doelstellingen zijn een meer concrete vertaling van de omvattende relatief abstracte ambitie die verwoord staat in een strategische doelstelling. Via deze doelstellingen worden lange en middellange-termijndoelstellingen omgezet in kortetermijndoelstellingen.
>> te bekijken hoe we dat nog beter kunnen afstemmen op de gebruikte methodiek binnen de Vlaamse overheid zie Fase 3: Doelstellingen bepalen | Vlaanderen Intern
Tactische doelstellingen | Operationele doelstellingen |
---|---|
We zijn pro-actief in het adequaat beschermen van informatie en bedrijfsmiddelen en voeren dit op een doeltreffende en consequente manier uit. | We waarborgen de bevoegde toegang tot informatie en bedrijfsmiddelen door middel van een sluitend identificatie, authenticatie en autorisatieproces. We beschermen informatie op een afdoende manier gedurende de volledige levenscyclus. We beschermen informatie door een correct en doeltreffend gebruik van cryptografische maatregelen. We beschermen informatie en bedrijfsmiddelen tegen malwaredreigingen. We nemen beveiligingseisen ten harte gedurende de volledige levenscyclus van een product of dienst. We nemen de nodige maatregelen om gebruikersapparatuur afdoende te beschermen. We nemen de nodige maatregelen om het netwerk en informatiesystemen afdoende te beschermen. We beschermen de persoonsgegevens van elk individu. We maken duidelijke afspraken met onze partners en volgen dit op. We nemen de nodige maatregelen om gebouwen en apparatuur afdoende te beschermen. |
We hebben zicht op potentiële dreigingen, minimaliseren de risico's en zijn klaar om op gepaste wijze te reageren op de geaccepteerde restrisico's. | We beoordelen en behandelen risico’s op een objectieve en consistente manier en nemen de nodige maatregelen in lijn met de risico appetijt van de organisatie. We beschermen informatie en bedrijfsmiddelen tegen malwaredreigingen. We hebben zicht op potentiële dreigingen en kwetsbaarheden en treffen passende mitigerende maatregelen. We zijn voorbereid om de dienstverlening te kunnen blijven garanderen in geval van een calamiteit. We faciliteren en ondersteunen de melding van kwetsbaarheden en gebeurtenissen. We hebben een actueel overzicht van informatie en bedrijfsmiddelen en hun eigenaarschap. |
We zorgen voor duidelijke rollen en verantwoordelijkheden en ondersteunen door middel van opleiding, awareness en documentatie. | We zorgen voor een gedragen kader, met duidelijke richtlijnen en eigenaarschap, die sturing geeft aan de inrichting van informatieveiligheid binnen de organisatie. We maken duidelijke afspraken met onze partners en volgen dit op. We zorgen voor duidelijk kader en ondersteuning naar het personeel. |
We meten continu hoe veilig we ervoor staan en sturen bij waar nodig. | We waken over de doeltreffende toepassing van het informatieveiligheidsbeleid in lijn met wet- en regelgeving. We maken duidelijke afspraken met onze partners en volgen dit op. |
SD.01 | We zijn pro-actief in het adequaat beschermen van informatie en bedrijfsmiddelen en voeren dit op een doeltreffende en consequente manier uit.
OD.01 —We waarborgen de bevoegde toegang tot informatie en bedrijfsmiddelen door middel van een sluitend identificatie, authenticatie en autorisatieproces.
OD.02 —We beschermen informatie op een afdoende manier gedurende de volledige levenscyclus.
OD.03 —We beschermen informatie door een correct en doeltreffend gebruik van cryptografische maatregelen.
OD.04 —We beschermen informatie en bedrijfsmiddelen tegen malwaredreigingen.
OD.05 —We nemen beveiligingseisen ten harte gedurende de volledige levenscyclus van een product of dienst.
OD.06 —We nemen de nodige maatregelen om gebruikersapparatuur afdoende te beschermen.
OD.07 —We nemen de nodige maatregelen om het netwerk en informatiesystemen afdoende te beschermen.
OD.08 —We beschermen de persoonsgegevens van elk individu.
OD.09 —We maken duidelijke afspraken met onze partners en volgen dit op.
OD.10 —We nemen de nodige maatregelen om gebouwen en apparatuur afdoende te beschermen.
OD.20 —We nemen de nodige maatregelen om OT-omgevingen en -systemen afdoende te beschermen.
SD.02 | We hebben zicht op potentiële dreigingen, minimaliseren de risico's en zijn klaar om op gepaste wijze te reageren op de geaccepteerde restrisico's.
OD.04 —We beschermen informatie en bedrijfsmiddelen tegen malwaredreigingen.
OD.11 —We beoordelen en behandelen risico’s op een objectieve en consistente manier en nemen de nodige maatregelen in lijn met de risico appetijt van de organisatie.
OD.12 —We hebben zicht op potentiële dreigingen en kwetsbaarheden en treffen passende mitigerende maatregelen.
OD.13 —We zijn voorbereid om de dienstverlening te kunnen blijven garanderen in geval van een calamiteit.
OD.14 —We faciliteren en ondersteunen de melding van kwetsbaarheden en gebeurtenissen.
OD.15 —We hebben een actueel overzicht van informatie en bedrijfsmiddelen en hun eigenaarschap.
OD.19 —We houden actief toezicht over de (IT-)omgeving en zijn voorbereid om te reageren op mogelijke dreigingen en/of storingen.
SD.03 | We zorgen voor duidelijke rollen en verantwoordelijkheden en ondersteunen door middel van opleiding, awareness en documentatie.
OD.09 —We maken duidelijke afspraken met onze partners en volgen dit op.
OD.16 —We zorgen voor een gedragen kader, met duidelijke richtlijnen en eigenaarschap, die sturing geeft aan de inrichting van informatieveiligheid binnen de organisatie.
OD.17 —We zorgen voor duidelijk kader en ondersteuning naar het personeel.