• FINAAL CONCEPT
    • Document toolboxDocument toolbox


    Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

    Doelstellingen

    Owned by
    Fabrice Meunier
    Last updated: 31 May, 2024 by
    Vincent Alwicher
    2 min read

    Het informatieveiligheidsbeleid vertrekt vanuit een aantal doelstellingen, deze geven concrete richting aan het beleid en bepaald de prioritisering tijdens de uitvoering ervan. Het toezicht over de status van deze doelstellingen maakt deel uit van de directiebeoordeling.

    Vlaamse strategie informatieveiligheid

    De doelstellingen van het informatieveiligheidsbeleid van Digitaal Vlaanderen zijn een verdere doorvertaling van de Vlaamse strategie informatieveiligheid.

    Doelstellingen

    De Vlaamse overheid wil met deze strategie volgende doelstellingen bereiken:

    • Het vertrouwen genieten van de burger, onderneming en/of vereniging.

    • De persoonlijke levenssfeer van de burger beschermen.

    • De reputatie hooghouden van de Vlaamse overheid als betrouwbare partner.

    • Bedrijfscontinuïteit garanderen tijdens en na een ernstig incident

    • Een innovatieve kracht zijn

    Strategische principes

    Deze strategie is gebaseerd op volgende strategische uitgangspunten:

    Subsidiariteit en verantwoordelijkheden

    We  houden  rekening  met  de  aansprakelijkheden  en  verantwoordelijkheden  van  de  individuele entiteiten  bij  het  uitvoeren  van  hun  kernactiviteiten.  Het  beleid  respecteert de  subsidiariteit  en houdt rekening met de diversiteit in de structuur en risicoprofiel van de Vlaamse overheid.

    Proportioneel

    De  maatregelen  en  investeringen  op  het  vlak  van  informatieveiligheid  zijn  proportioneel  aan  het belang van de verwerkte informatie, gebaseerd op een gewogen risicoanalyse. Welke maatregelen en  controles  exact  op  welke informatie  van  toepassing  zijn,  hangt  af  van  de  gevoeligheid  van  de gegevens. 

    Ondersteunend

    Een  sterk  informatieveiligheidsbeleid zorgt voor een veilig gebruik van moderne, nieuwe  en innovatieve technologie, die de Vlaamse overheid in staat stelt om met vertrouwen haar kerntaken uit te voeren in de hedendaagse samenleving.

    Gebaseerd op samenwerking, gezamenlijke doelstellingen en objectieven

    Incidenten  bij  individuele  entiteiten  hebben  potentieel  grote  impact  op  de  volledige  Vlaamse overheid. Gezien elke entiteit worstelt met identiek dezelfde uitdagingen rond informatiebeveiliging nemen we deze uitdaging gezamenlijk op. Hiermee zorgen we voor efficiëntie, brede inzetbaarheid en resultaat. 

    Bewezen

    De strategie rond informatieveiligheid is gebaseerd op industrie standaarden en beste praktijken. We maken veiligheid meetbaar, op een manier die controle en bijsturing mogelijk maakt. We  brengen vereisten, risico en efficiëntie structureel in kaart en volgen deze op. 

    Realistisch en schaalbaar

    Het beleid moet uitvoerbaar zijn voor alle betrokken partijen, rekening houdend met de grootte en slagkracht van individuele entiteiten. We maken maximaal gebruik van bestaande processen.

    Duurzaam

    Informatieveiligheid  is  een  uitdaging  die  een  lange  termijn  en  structurele  aanpak  vereist  met aandacht voor continue verbetering. Het beleid dient verankerd te zijn in de bestuurlijke regelgeving.

    Bron: VR 2021 1510 DOC.1151-1 Strategie informatieveiligheid - nota

     

    Doelstellingen informatieveiligheid Digitaal Vlaanderen

    Onderstaande strategische- en operationele doelstellingen zijn een meer concrete vertaling van de omvattende relatief abstracte ambitie die verwoord staat in een strategische doelstelling. Via deze doelstellingen worden lange en middellange-termijndoelstellingen omgezet in kortetermijndoelstellingen.

     

    SD.01 | We zijn pro-actief in het adequaat beschermen van informatie en bedrijfsmiddelen en voeren dit op een doeltreffende en consequente manier uit.

    • Page:
      OD.01 —

      We waarborgen de bevoegde toegang tot informatie en bedrijfsmiddelen door middel van een sluitend identificatie, authenticatie en autorisatieproces.
    • Page:
      OD.02 —

      We beschermen informatie op een afdoende manier gedurende de volledige levenscyclus.
    • Page:
      OD.03 —

      We beschermen informatie door een correct en doeltreffend gebruik van cryptografische maatregelen.
    • Page:
      OD.04 —

      We beschermen informatie en bedrijfsmiddelen tegen malwaredreigingen.
    • Page:
      OD.05 —

      We nemen beveiligingseisen ten harte gedurende de volledige levenscyclus van een product of dienst.
    • Page:
      OD.06 —

      We nemen de nodige maatregelen om gebruikersapparatuur afdoende te beschermen.
    • Page:
      OD.07 —

      We nemen de nodige maatregelen om het netwerk en informatiesystemen afdoende te beschermen.
    • Page:
      OD.08 —

      We beschermen de persoonsgegevens van elk individu.
    • Page:
      OD.09 —

      We maken duidelijke afspraken met onze partners en volgen dit op.
    • Page:
      OD.10 —

      We nemen de nodige maatregelen om gebouwen en apparatuur afdoende te beschermen.
    • Page:
      OD.20 —

      We nemen de nodige maatregelen om OT-omgevingen en -systemen afdoende te beschermen.

    SD.02 | We hebben zicht op potentiële dreigingen, minimaliseren de risico's en zijn klaar om op gepaste wijze te reageren op de geaccepteerde restrisico's.

    • Page:
      OD.04 —

      We beschermen informatie en bedrijfsmiddelen tegen malwaredreigingen.
    • Page:
      OD.11 —

      We beoordelen en behandelen risico’s op een objectieve en consistente manier en nemen de nodige maatregelen in lijn met de risico appetijt van de organisatie.
    • Page:
      OD.12 —

      We hebben zicht op potentiële dreigingen en kwetsbaarheden en treffen passende mitigerende maatregelen.
    • Page:
      OD.13 —

      We zijn voorbereid om de dienstverlening te kunnen blijven garanderen in geval van een calamiteit.
    • Page:
      OD.14 —

      We faciliteren en ondersteunen de melding van kwetsbaarheden en gebeurtenissen.
    • Page:
      OD.15 —

      We hebben een actueel overzicht van informatie en  bedrijfsmiddelen en hun eigenaarschap.
    • Page:
      OD.19 —

      We houden actief toezicht over de (IT-)omgeving en zijn voorbereid om te reageren op mogelijke dreigingen en/of storingen. 

    SD.03 | We zorgen voor duidelijke rollen en verantwoordelijkheden en ondersteunen door middel van opleiding, awareness en documentatie.

    • Page:
      OD.09 —

      We maken duidelijke afspraken met onze partners en volgen dit op.
    • Page:
      OD.16 —

      We zorgen voor een gedragen kader, met duidelijke richtlijnen en eigenaarschap, die sturing geeft aan de inrichting van informatieveiligheid binnen de organisatie.
    • Page:
      OD.17 —

      We zorgen voor duidelijk kader en ondersteuning naar het personeel.

    SD.04 | We meten continu hoe veilig we ervoor staan en sturen bij waar nodig.

    • Page:
      OD.09 —

      We maken duidelijke afspraken met onze partners en volgen dit op.
    • Page:
      OD.18 —

      We waken over de doeltreffende toepassing van het informatieveiligheidsbeleid in lijn met wet- en regelgeving.

     

     

    Dit is een document voor intern gebruik.