Skip to end of metadata
Go to start of metadata
Informatieveiligheid is een breed onderwerp met veel verschillende aspecten. Om het leesbaar en overzichtelijk te maken, is het informatieveiligheidsbeleid opgesplitst in verschillende beleidsdomeinen in twee groepen: organisatie en technisch. Elk beleidsdomein bevat afspraken over een specifiek thema.
Fysieke beveiliging
Fysieke beveiliging omvat het geheel van maatregelen dat betrekking heeft op het voorkomen of beperken van schadelijke gevolgen van fysieke gebeurtenissen zoals verlies, vandalisme, inbraak, bliksem- of wateroverlast. De waarde van de ICT-apparatuur en de daarop opgeslagen gegevens, vormen reden tot het nemen van maatregelen op het gebied fysieke beveiliging. Schade aan ICT-apparatuur geeft, naast materieel verlies, problemen voor de continuïteit van de gegevensverwerking.
ICT-Continuïteit
De continuïteit van de dienstverlening van de organisatie, is in toenemende mate afhankelijk van de beschikbaarheid van ICT-systemen. Het is dan ook belangrijk om de nodige maatregelen te implementeren om verstoringen van ICT-systemen tot een minimum te beperken.
IT Service management
Informatieveiligheid is sterk afhankelijk van service management processen (beheerprocessen) om verschillende redenen. Service management speelt een cruciale rol bij het waarborgen van de integriteit, vertrouwelijkheid en beschikbaarheid van informatie binnen een organisatie. Beheersmaatregelen zijn immers impliciet onderdeel van processen en worden binnen deze processen uitgevoerd. Service management processen faciliteren daarmee de implementatie van informatieveiligheidsbeleid en -procedures. Ze helpen ervoor te zorgen dat alle medewerkers de vastgestelde richtlijnen volgen, wat essentieel is voor effectief informatieveiligheid. Service management processen zorgen ervoor dat beveiligingsmaatregelen consistent en gestandaardiseerd worden toegepast. Dit helpt om een uniforme aanpak te garanderen bij het beveiligen van gegevens en systemen, waardoor gaten en inconsistenties worden voorkomen.
Het beleidsdomein IT service management bevat een verzameling van service management onderwerpen die een nauwe relatie hebben met informatieveiligheid en die niet zijn geadresseerd in aparte beleidsdomeinen. Toegangsbeheer en kwetsbaarhedenbeheer zijn ook service management processen, maar deze kennen hun eigen pagina’s binnen de beleidsdomeinen.
Leveranciersrelaties
Een duidelijk afsprakenkader met leveranciers en partners over de informatiebeveiligingseisen, alsook het monitoren, evalueren en beoordelen ervan. Contractueel dient er een afgesproken niveau van informatiebeveiliging en dienstverlening in leveranciersovereenkomsten te worden overeengekomen en gehandhaafd. Dit beleid is gericht op de interne organisatie. In het bijzonder de afdelingen en teams die de relaties met leveranciers beheren.
Personeelsbeveiliging
Waarborgen dat medewerkers en contractanten hun verantwoordelijkheden begrijpen en uitvoeren in relatie tot informatieveiligheid. Dit omvat o.a. (optionele) screening, vertrouwelijkheidsclausule in contracten, bewustzijncampagnes, training en een disciplinaire procedure.
Risicobeheer
Het beleid voor risicobeheer beschrijft hoe de organisatie informatieveiligheidsrisico's beheert. Het helpt de organisatie om deze te identificeren, te analyseren en te evalueren en om passende maatregelen te nemen om de informatieveiligheidsrisico's onder controle te houden. Het risicobeheerbeleid zoals beschreven op deze pagina is gebaseerd op het overkoepelende beleid van Digitaal Vlaanderen. Zie het risicoportaal voor meer informatie.
Cloudbeveiliging (in voorbereiding)
Cloudbeveiliging richt zich op het beveiligen van infrastructuur en systemen voor cloud computing. Dit beleidsdomein omvat richtlijnen en beste praktijken die cloud computing-omgevingen en de gegevens die worden verwerkt in de cloud, dienen te beschermen. In principe gelden veelal dezelfde regels zoals deze zijn gedefinieerd in de verschillende beleidsdomeinen. Deze zullen in dit beleidsdomein niet worden herhaald. De inhoud op deze pagina richt zich uitsluitend op aanvullende specifieke eisen voor cloud computing, bovenop de bestaande eisen. Daarnaast is er een aanvullende leidraad voor cloud computing met aandachtspunten voor zowel cloudaanbieders als cloudafnemers. Dit is geen technische security standaard voor cloud oplossingen. Refereer naar de vendors (Amazon, Microsoft, etc) voor technische security baselines.
Cryptografie
Het beleid voor cryptografie beperkt de inzet van cryptografische technologieën tot alleen die algoritmen die zowel krachtig als efficiënt zijn en bestand zijn tegen bekende aanvallen. Dit beleid is bedoeld om gegevens en informatieprocessen te beschermen. De gebruikte componenten en algoritmen zijn gebaseerd op publiekelijk geteste en bewezen veilige richtlijnen. Het beleid zorgt ook voor naleving van alle wettelijke en contractuele eisen met betrekking tot cryptografie.
Digitale werkplek
Dit beleid omvat de maatregelen voor de beveiliging van informatie die wordt verwerkt op de digitale werkplek, waarmee wordt bedoeld: gebruikersapparatuur zoals een PC (zowel een desktop als laptop computer), een mobiel toestel (bv. een tablet of smartphone) en/of een verwijderbaar opslagmedium (bv. een USB-stick, geheugenkaart, of externe harde schijf). Het beleid richt zich in eerste instantie op gebruikersapparatuur die beheerd wordt door de organisatie, maar bevat ook de maatregelen voor het gebruik voor bedrijfsdoeleinden van apparatuur die niet door de organisatie wordt beheerd. Dit beleid beschrijft ook de regels voor aanvaardbaar gebruik door de gebruikers.
Kwetsbaarhedenbeheer
Kwetsbaarhedenbeheer (vulnerability management) is het proces van identificeren, beoordelen, rapporteren, beheren en verhelpen van kwetsbaarheden op gebruikersapparatuur, infrastructuurcomponenten en toepassingen.
Infrastructuurbeveiliging
Infrastructuurbeveiliging omvat richtlijnen met betrekking tot de bescherming van de verschillende infrastructuurcomponenten zoals het netwerk, servers en storage.
Malwarebeveiliging
Een robuuste beveiliging tegen malware is van essentieel belang om informatie en informatiesystemen te beschermen, naast preventieve, detectieve en reactieve maatregelen is ook een goede bewustmaking van medewerkers hierin onmisbaar.
Toegangsbeveiliging
Toegangsbeveiliging omvat de maatregelen en richtlijnen op basis waarvan de identificatie, authenticatie en autorisatie van gebruikers tot informatie en informatiesystemen worden bepaald.
Veilig ontwerpen en ontwikkelen
Het beleid van veilig ontwerpen en ontwikkelen bevat de maatregelen om op een veilige manier producten en interne toepassingen te implementeren door vanaf de start bij het ontwerp tot aan de ingebruikname een aantal informatieveiligheidseisen in acht te nemen.
