Digitaal Vlaanderen | Team Informatieveiligheid (TIV)
Informatieveiligheidsbeleid
Beste collega,
Welkom op de pagina's van het Informatieveiligheidsbeleid van Digitaal Vlaanderen.
Het beleid is nog niet volledig, omdat het ontwikkelen ervan op langere termijn gebeurt en de verschillende onderdelen in stapjes gevalideerd worden. U zal daarom merken dat er een aantal pagina’s in concept of onder review vermeld staan.
Deze worden geleidelijk aan inhoudelijk vormgegeven en beschikbaar gesteld.
Team Informatieveiligheid | Project Athena
Vragen? security@vlaanderen.be
Inhoud
- 1 Introductie
- 1.1 Doel
- 1.2 Toepassingsgebied
- 1.3 Eigenaar
- 1.4 Termen en definities
- 2 Context
- 3 Beleid
- 4 Document status
Introductie
Het informatieveiligheidsbeleid van Digitaal Vlaanderen legt de afspraken vast over de beveiliging van informatie en bijbehorende bedrijfsmiddelen. Dit beleid is onderverdeeld in meerdere onderwerpen, ofwel Beleidsdomeinen, die elk een specifiek aspect van informatieveiligheid belichten. Het informatieveiligheidsbeleid is bovendien een transversale discipline die geïntegreerd wordt in verschillende andere beheersprocessen binnen de organisatie, zoals Human Resources (HR), Business Continuity Management (BCM) en IT Service Management (ITSM). Informatieveiligheidsaspecten die in andere documenten worden beschreven, maken daarom onverminderd deel uit van het informatieveiligheidsbeleid van de organisatie.
Het informatieveiligheidsbeleid dient als fundament voor de beoordeling van het beveiligingsniveau van de organisatie. Op basis van deze beoordeling worden informatieveiligheidsplannen opgesteld die de noodzakelijke initiatieven van de organisatie beschrijven om aan het beleid te voldoen. Deze plannen worden verder uitgewerkt in gedetailleerde projectplannen, die de uitvoering en realisatie van de informatieveiligheidsstrategie laten concretiseren.
Doel
Informatieveiligheid is een samenhangend pakket aan beveiligingsmaatregelen, processen en procedures die de beschikbaarheid, integriteit en vertrouwelijkheid van alle vormen van informatie bewerkstelligen, met als doel de continuïteit en betrouwbaarheid van informatie en informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.
Het informatieveiligheidsbeleid is een document dat de doelstellingen en principes voor informatieveiligheid vastlegt voor de organisatie. Het is een intentieverklaring van de directie die richting geeft aan de manier waarop strategische doelstellingen gerealiseerd worden en beveiligingsrisico’s tot een aanvaardbaar niveau worden gehouden.
Het doel van het beleid is om de informatieveiligheid van een organisatie te borgen. Dit betekent dat de organisatie haar informatie en bedrijfsmiddelen moet beschermen tegen ongeoorloofde toegang, wijziging, openbaarmaking of vernietiging.
Uiteraard is het beschikken over een gevalideerd informatieveiligheidsbeleid op zich geen garantie. De afspraken die in het beleid worden vastgelegd moeten worden geïmplementeerd en de naleving ervan moet worden opgevolgd. Hoe dit binnen Digitaal Vlaanderen moet gebeuren, maakt daarom ook deel uit van het beleid.
De bedoeling van een informatiebeveiligingsbeleid is niet om beperkingen op te leggen die indruisen tegen de gevestigde cultuur van openheid en vertrouwen binnen de organisatie, maar streeft om de organisatie en haar gebruikers te beschermen tegen illegale of schadelijke handelingen van personen, al dan niet opzettelijk.
Toepassingsgebied
Het informatieveiligheidsbeleid van Digitaal Vlaanderen is van toepassing op de volledige organisatie. Dit heeft betrekking op alle personen die een samenwerkingsverband hebben met de organisatie, en ook op alle informatieverwerkingsprocessen die Digitaal Vlaanderen uitvoert of in haar opdracht laat uitvoeren. In dit laatste geval zullen de vereisten die in het informatieveiligheidsbeleid beschreven zijn, opgenomen moeten worden in de samenwerkingsovereenkomsten met leveranciers en klanten.
Eigenaar
Het beheren en actualiseren van het informatieveiligheidsbeleid valt onder de verantwoordelijkheid van de Chief Information Security Officer (CISO) van Digitaal Vlaanderen. De CISO zal de nodige initiatieven nemen om minstens elke drie jaar een volledige revisie van het beleid te organiseren.
Gezien de omvang van het informatieveiligheidsbeleid verdient het de voorkeur om periodiek (bijvoorbeeld per kwartaal) een revisie van één of meer beleidsdomeinen in te plannen. Dit is nodig om ervoor te zorgen dat het beleid up-to-date blijft en dat het voldoet aan de laatste evoluties en bedreigingen van informatieveiligheid.
Termen en definities
De voorkomende termen en definities zijn beschreven op volgende pagina Termen en definities
Context
Het informatieveiligheidsbeleid van Digitaal Vlaanderen kan worden gepositioneerd binnen een ruimere context, we onderscheiden hierin vier niveaus zoals weergegeven in onderstaand schema.
Merk op dat hoewel Digitaal Vlaanderen enkel verantwoordelijk is voor het uitwerken en beschrijven van het informatieveiligheidsbeleid (L3) en de uitvoering van het beleid (L4), de organisatie erop moet toezien dat alle vereisten en beperkingen die in de bovenliggende niveaus beschreven staan worden meegenomen.
Voorbeeld
L1: De ISO-standaard schrijft voor dat er een vorm van informatieclassificatie moet worden geïmplementeerd.
L2: Het Stuurorgaan Informatie- en ICT-beleid schrijft een classificatiemodel met bijhorende maatregelen voor.
L3: Het informatieveiligheidsbeleid van Digitaal Vlaanderen stelt dit model te volgen en legt de procedure vast om de informatieklasse vast te stellen.
L4: De documentatie van elke verwerkingsactiviteit beschrijft de informatieklasse en deze informatie wordt opgenomen in het verwerkingsregister.
L1: Regelgeving en standaarden
Vanuit wet- en regelgeving worden bepaalde vereisten en beperkingen opgelegd m.b.t. het verwerken van informatie. Het spreekt voor zich dat de daarin opgelegde regels een uitgangspunt zijn voor het informatieveiligheidsbeleid van de organisatie.
De Algemene Verordening Gegevensbescherming (AVG) en NIS 2-richtlijn zijn hierbij de voornaamste.
Het informatieveiligheidsbeleid bouwt voort op het vele werk dat wereldwijd al werd verricht en is gebaseerd op de internationale norm voor informatiebeveiliging, ISO/IEC 27001:2022. Deze standaard beschrijft een governance aanpak en een lijst met maatregelen die genomen kunnen worden om tot informatieveiligheid te komen.
L2: Informatieveiligheid op niveau van de Vlaamse Overheid
Op het niveau van de Vlaamse overheid, met name binnen het Stuurorgaan Informatie- en ICT-beleid, zijn al inspanningen geleverd om afspraken m.b.t. informatieveiligheid vast te leggen. Ook deze vormen mee de basis voor het informatieveiligheidsbeleid van Digitaal Vlaanderen.
De ICT-code
Door middel van de omzendbrief BZ 2014/2 dd. 31 maart 2014, “Integer omgaan met ICT-middelen”, werd de (laatste versie van de) zogenaamde https://www.vlaanderen.be/intern/deontologische-code-vlaams-overheid/ict-code uitgevaardigd waarin een algemeen kader met waarden en principes bij het gebruik van ICT-middelen wordt opgelegd. De ICT-code geldt verplicht voor alle Vlaamse entiteiten zonder rechtspersoonlijkheid, i.e. departementen en IVA’s (Intern Verzelfstandigde Agentschappen) zonder rechtspersoonlijkheid (en als aanbeveling voor de entiteiten met rechtspersoonlijkheid). Digitaal Vlaanderen valt dus onder het toepassingsgebied van deze ICT-code. Merk op dat deze waarden en principes weliswaar een vorm van generieke begeleiding verschaffen, maar dat het van belang is dat het informatieveiligheidsbeleid een verdere vertaalslag biedt naar concreet toepasbare regels.
Het informatieclassificatieraamwerk van de Vlaamse overheid (Vo-ICR)
Het Stuurorgaan Vlaams Informatie- en ICT-beleid heeft beslist haar goedkeuring te hechten aan een informatieclassificatieraamwerk met als doelstelling een gestandaardiseerd beleid te voeren op het gebied van informatieclassificatie en informatiebeveiliging bij de Vlaamse instanties. Iedere betrokken instantie dient haar informatie in te delen volgens de methodiek die beschreven is binnen dit model en de bijhorende beveiligingsmaatregelen toe te passen binnen hun informatieverwerking. De verantwoordelijkheid van het al dan niet (correct) gebruiken van dit model blijft bij de respectieve entiteiten.
Meer informatie over het informatieclassificatieraamwerk van de Vlaamse overheid is beschikbaar op volgende website:
L3: Informatieveiligheid op niveau van Digitaal Vlaanderen
Het informatieveiligheidsbeleid van Digitaal Vlaanderen vertaalt de algemene richtlijnen van hogere niveaus naar de specifieke context, behoeften en risico's van de organisatie.
Het beleid omvat een reeks maatregelen die door de organisatie en haar medewerkers uitgevoerd dienen te worden. Aan deze maatregelen zijn specifieke conformiteitscriteria gekoppeld, op basis waarvan de doeltreffendheid van de implementatie kan worden geëvalueerd.
L4: Informatieveiligheid op niveau van uitvoering
Dit laatste niveau verwijst naar de concrete invulling van maatregelen in informatieverwerkende processen en oplossingen. Het omvat processen, procedures, rollen en verantwoordelijkheden die beschrijven hoe maatregelen worden toegepast en opgevolgd binnen de organisatie.
Beleid
Niveau van vereiste
In beleidsdocumenten en industriestandaarden worden verschillende termen gebruikt om het dwingend karakter van een maatregel te beschrijven. We gebruiken hoofdletters om deze te benadrukken.
Hieronder wordt de definitie van de gebruikte termen beschreven:
Term | Betekenis |
|---|---|
MOET | Deze term, of de termen "VEREIST", "ZAL" of “DIENT”, duidt aan dat de maatregel een absoluut vereiste is. |
MAG NIET | Deze term, of de termen "ZAL NIET", duiden aan dat de maatregel een absoluut verbod is. |
ZOU MOETEN | Deze term, of de termen "AANBEVOLEN", “ZOU”, “MAG” of “OPTIONEEL”, impliceren dat het verstandig is om een bepaalde maatregel toe te passen, maar dat er ook situaties zijn waarin het niet nodig of mogelijk is. |
ZOU NIET MOETEN | Deze term, impliceert dat het verstandig is om een bepaald gedrag te vermijden, maar dat er ook situaties zijn waarin het acceptabel of zelfs wenselijk is. |
Engelse vertaling van de gebruikte termen "MOET" ("MUST"), "MAG NIET" ("MUST NOT"), "VEREIST" ("REQUIRED"), "ZAL" ("SHALL"), "ZAL NIET" ("SHALL NOT"), "ZOU MOETEN" ("SHOULD"), "ZOU NIET MOETEN" ("SHOULD NOT"), "AANBEVOLEN" ("RECOMMENDED"), "MAG" ("MAY"), “MAG NIET” (“MUST NOT”) en "OPTIONEEL" ("OPTIONAL")
Principe van “Pas toe of leg uit”
Ondanks dat bepaalde implementatiemaatregelen absoluut noodzakelijk zijn, hanteren we steeds het "pas toe of leg uit"-principe (comply or explain). Dit principe beoogt een flexibele toepassing van beveiligingsmaatregelen, gebaseerd op een risicogerichte benadering.
Hiermee garanderen we steeds een adequaat beveiligingsniveau.
Als organisatie streven we ernaar om de vereiste beveiligingsmaatregelen voor elke informatieasset nauwgezet toe te passen. We zijn er ons echter ook van bewust dat er tal van redenen kunnen zijn waarom dit (nog) niet realiseerbaar is. Denk bijvoorbeeld aan technologische of budgettaire beperkingen.
In de situaties waar een afwijking noodzakelijk is, hanteren we steeds een risicogedreven benadering. Transparante communicatie en een grondige motivatie, gesteund door risicoanalyse, zijn hierbij cruciaal. Deze afwijkingen moet ook steeds formeel worden goedgekeurd en opgevolgd.
Pas toe
De basisregel is om de implementatiemaatregelen toe te passen die voor de desbetreffende informatieklasse zijn vastgelegd.
Leg uit
In uitzonderlijke gevallen waarbij het niet haalbaar is om een implementatiemaatregel direct toe te passen, zijn er twee mogelijkheden:
Alternatieve maatregelen: er worden complementaire maatregelen toegepast die, gezamenlijk, een vergelijkbaar niveau van beveiliging waarborgen, met inachtneming van de relevante risicofactoren. Deze aanpassing moet zorgvuldig worden gedocumenteerd en goedgekeurd door de verantwoordelijke binnen de organisatie.
Motivering: Indien noch de oorspronkelijke noch een equivalente maatregel uitvoerbaar is, dient er een gedegen motivatie te zijn, ondersteund door een risicoanalyse. Ook deze motivatie behoeft documentatie en de goedkeuring van de verantwoordelijke binnen de organisatie.
Algemene beleidsregels
Volgende omvat de fundamentele beleidsregels waaraan het informatieveiligheidsbeleid van de organisatie dient te voldoen.
Rollen en verantwoordelijkheden
Duidelijke rollen en verantwoordelijkheden zijn cruciaal voor een effectieve informatieveiligheid. Ze bevorderen bewustzijn, aansprakelijkheid en ondersteuning, en verminderen het risico op menselijke fouten. Dit leidt tot een betere bescherming van de informatie van de organisatie.
Leidinggevenden spelen een sleutelrol in de implementatie en handhaving van informatieveiligheid. Zij dragen het beleid actief uit, sturen en controleren of de richtlijnen worden nageleefd. Informatieveiligheid is echter een collectieve verantwoordelijkheid. Om een effectieve bijdrage van iedereen te garanderen, is het essentieel dat rollen en verantwoordelijkheden expliciet worden vastgesteld en gecommuniceerd.
Aanvaardbaar gebruik van informatie en bedrijfsmiddelen
Informatie en bedrijfsmiddelen zijn waardevolle assets voor de organisatie. Het is belangrijk om deze assets te beschermen tegen ongeoorloofde toegang, wijziging, openbaarmaking of vernietiging.
Alle gebruikers van informatie en bedrijfsmiddelen van de organisatie, zowel intern als extern, zijn verantwoordelijk voor het gebruik dat zij hiervan maken. Zij moeten zich bewust zijn van de informatiebeveiligingseisen en deze naleven.
Beleidsdomeinen
Document status
Informatieveiligheidsbeleid
Titel | Auteur | Datum | Versie | Status | Opmerkingen |
|---|---|---|---|---|---|
Informatieveiligheidsbeleid | Philippe Michiels | 02/04/2020 | 0.1.1 | GEVALIDEERD |
|
Informatieveiligheidsbeleid | Fabrice Meunier | 01/02/2024 | 2.0 | FINAAL CONCEPT | Actualisering |
Informatieveiligheidsbeleid | Fabrice Meunier | 21/05/2024 | 2.0 | GEVALIDEERD | Goedgekeurd door Directie Comité |
Dit is een document voor intern gebruik.