View
2
Download
0
Category
Preview:
Citation preview
VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING
INFORMATIEVEILIGHEIDSBELEID
VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING - INFORMATIEVEILIGHEIDSBELEID
2/13
INHOUD
1. Inleiding ........................................................................................................................................... 3
1.1. Definitie informatieveiligheid en doelstelling ............................................................................ 3
1.2. Toepassingsgebied ................................................................................................................. 4
1.3. Ambitie ..................................................................................................................................... 4
1.4. Machtigingen ........................................................................................................................... 5
1.5. Beheer van het beleidsdocument ............................................................................................ 5
2. Informatieveiligheidsorganisatie ...................................................................................................... 6
2.1. Eindverantwoordelijkheid ......................................................................................................... 6
2.2. Eigenaarschap ......................................................................................................................... 6
2.3. Rollen binnen de informatieveiligheidsorganisatie .................................................................. 6
3. Informatieveiligheidsproces ........................................................................................................... 10
3.1. Risico-gebaseerde aanpak .................................................................................................... 10
3.2. Continue verbetering ............................................................................................................. 10
3.3. Aansturing van het proces ..................................................................................................... 10
3.4. Security awareness ............................................................................................................... 11
3.5. Projectmanagement .............................................................................................................. 11
3.6. Melding en afhandeling van incidenten ................................................................................. 11
4. Evaluatie, naleving en toezicht ...................................................................................................... 13
4.1. Evaluatie ................................................................................................................................ 13
4.2. Naleving ................................................................................................................................. 13
4.3. Toezicht ................................................................................................................................. 13
VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING - INFORMATIEVEILIGHEIDSBELEID
3/13
1. INLEIDING
Het Vlaams Ministerie van Onderwijs en Vorming verzamelt en beheert vanuit haar wettelijke opdracht
een veelheid aan gevoelige informatie. Het gaat hierbij onder andere om gegevens van leerlingen,
studenten, cursisten, ouders en onderwijspersoneel, waarvoor een wettelijke verplichting bestaat tot
adequate beveiliging. Daarnaast staat de continuïteit van de dienstverlening en het verzorgen van
kwaliteitsvolle, transparante en toegankelijke dienstverlening centraal.
De opslag en verwerking van deze gegevens gebeurt vooral met geautomatiseerde ICT-toepassingen
binnen een complexe ICT-infrastructuur en biedt daarmee een aanzienlijke uitdaging in termen van
bestuurbaarheid op het gebied van informatieveiligheid.
Om deze reden wordt in dit document een gestructureerde aanpak van de informatieveiligheid
voorgesteld, met het doel deze een kernkwaliteit te maken van de gehele informatievoorziening. Van
belang daarbij is aandacht voor de natuurlijke spanning die bestaat tussen enerzijds beveiligingseisen
die beperkingen stellen en kosten met zich meebrengen, en anderzijds verwachtingen van gebruikers
omtrent eenvoud, flexibiliteit en toegankelijkheid. Om de juiste balans te vinden worden de risico’s
zorgvuldig gewogen.
1.1. DEFINITIE INFORMATIEVEILIGHEID EN DOELSTELLING
Onder informatieveiligheid verstaan we het geheel van maatregelen, procedures en processen die de
beschikbaarheid, integriteit en vertrouwelijkheid van alle vormen van informatie garanderen, met als
doel de continuïteit van de informatie en de informatievoorziening, inclusief de onderliggende ICT-
infrastructuur, te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel,
vooraf bepaald niveau te beperken.
Beschikbaarheid is het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig
toegang hebben tot de informatie en informatiesystemen. Integriteit staat in het teken van het
behouden en beschermen van de juistheid en de consistentie van data en het voorkomen worden dat
data onbedoeld aangepast wordt. Vertrouwelijkheid is het waarborgen dat informatie alleen
toegankelijk is voor diegenen die hiertoe zijn geautoriseerd.
Het informatieveiligheidsbeleid dient als leidraad voor de aansturing en coördinatie van de
verschillende beveiligingsprocessen. Het uiteindelijke doel is het inrichten van een evenwichtig stelsel
van beveiligingsmaatregelen, gericht op risicobeheersing.
Met evenwichtig bedoelen we in dit verband het vinden van een optimum tussen werkbaarheid en
veiligheid. Maximale veiligheid is immers absoluut onwerkbaar, maar maximale werkbaarheid is
absoluut onveilig. Het optimum is een punt waarbij ernstige informatiebeveiligingsrisico’s worden
beperkt, maar nog wel een zeker risico bewust wordt genomen, opdat dat de werkbaarheid niet in het
gedrang komt.
Het informatieveiligheidsbeleid is noodzakelijkerwijs relatief abstract van aard is. Nadere
concretisering volgt in het informatieveiligheidsplan, waarin onder andere wordt vastgesteld welke
methoden gebruikt worden, welke maatregelen worden uitgevoerd, en hoe de juiste werking daarvan
wordt gecontroleerd.
VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING - INFORMATIEVEILIGHEIDSBELEID
4/13
1.2. TOEPASSINGSGEBIED
Het informatieveiligheidsbeleid is van toepassing op de volgende entiteiten van het Vlaams Ministerie
van Onderwijs en Vorming:
- het Agentschap voor Onderwijsdiensten,
- het Agentschap voor Hoger Onderwijs, Volwassenenonderwijs, Kwalificaties en
Studietoelagen,
- het Departement Onderwijs en Vorming en
- de Onderwijsinspectie.
Het informatieveiligheidsbeleid is van toepassing op alle medewerkers. Naleving van dit beleid vormt
een voorwaarde om toegang tot de informatie en informatiesystemen te krijgen zowel voor het
statutaire en contractuele personeel als voor de werknemers gebonden door een ander statuut:
leveranciers, onderaannemers, consultants, ….
Het informatieveiligheidsbeleid is toepasselijk op het gehele proces van informatievoorziening en geldt
gedurende de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en
ongeacht het karakter van de informatie. Het terrein van de informatieveiligheid beperkt zich niet tot
bepaalde functies of rollen en strekt zich uit over zowel de strategische, de tactische als de
operationele organisatieniveaus.
Tot slot heeft het informatieveiligheidsbeleid ook betrekking op ketens van informatiesystemen die zich
kunnen uitstrekken tot buiten het Vlaams Ministerie van Onderwijs en Vorming en externe partijen
waarmee het Vlaams Ministerie van Onderwijs en Vorming samenwerkt.
Er is een belangrijk relatie en een gedeeltelijke overlap met aanpalende beleidsterreinen zoals fysieke
beveiliging, human resources en business continuity. Op al deze terreinen wordt aandacht
geschonken aan deze raakvlakken en wordt zowel planmatig als inhoudelijk afstemming gezocht.
1.3. AMBITIE
“We willen de informatieveiligheid van de data van leerlingen, studenten, cursisten, ouders en
onderwijspersoneel waarborgen door verdere versterking van maatregelen om kwaliteitsvolle,
transparante en toegankelijke dienstverlening in de toekomst te kunnen blijven garanderen en ervoor
te zorgen dat incidenten beperkt blijven en dat de gevolgen hiervan worden geminimaliseerd.”
Het streven is om het huidige niveau van veiligheid te behouden en te verhogen waar het mogelijk is.
Dit is geen gemakkelijke opgave. Maatschappelijk ontwikkelingen stellen ons voor nieuwe
uitdagingen. Bovendien moeten we voldoen aan de geldende wet- en regelgeving die op het gebied
van informatiebeveiliging toeneemt. Maar waar nodig willen we ook eigen keuzes kunnen maken die
aansluiten bij onze ambities.
VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING - INFORMATIEVEILIGHEIDSBELEID
5/13
1.4. MACHTIGINGEN
Het Vlaams Ministerie van Onderwijs en Vorming volgt strikt de principes uit de Privacywet na. De
verwerking en doorgave van persoonsgegevens zijn enkel mogelijk zijn indien daar specifiek
toestemming voor wordt gegeven door de Vlaamse Toezichtcommissie voor het elektronische
bestuurlijke gegevensverkeer en/of door één of meerdere Sectorale Comités binnen de
Privacycommissie. Deze machtigingen kunnen geraadpleegd worden op de sites van VTC
(http://www.vlaamsetoezichtcommissie.be) en CBPL (https://www.privacycommission.be/nl).
1.5. BEHEER VAN HET BELEIDSDOCUMENT
Het informatieveiligheidsbeleid wordt periodiek, of zodra zich belangrijke wijzigingen voordoen,
beoordeeld en zo nodig bijgesteld. Bij deze actualisatie worden nieuwe ontwikkelingen op het terrein
van de bedrijfsvoering en op het terrein van informatieveiligheid en privacy meegenomen. De
veiligheidsconsulent is verantwoordelijk voor het bijstellen en actueel houden van het
informatieveiligheidsbeleid.
De veiligheidsconsulent onderhoudt contact met de relevante partijen, waaronder andere
overheidsinstellingen, expertisegroepen, ICT-dienstverleners, … en gebruikt deze contacten om de
informatieveiligheid te verbeteren en zo nodig te vertalen naar nieuw beleid.
Het informatieveiligheidsbeleid wordt van kracht na goedkeuring door het managementcomité van het
Vlaams Ministerie van Onderwijs en Vorming. Bij het van kracht worden van dit document worden
vorige versies van het informatieveiligheidsbeleid ingetrokken.
Het geactualiseerde informatieveiligheidsbeleid wordt gepubliceerd op
http://onderwijs.vlaanderen.be/informatieveiligheid
VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING - INFORMATIEVEILIGHEIDSBELEID
6/13
2. INFORMATIEVEILIGHEIDSORGANISATIE
Het goed, efficiënt en verantwoord leiden van een organisatie wordt vaak aangeduid met de term
governance. Het beschrijft hoe de organisatie is georganiseerd en wie waarvoor verantwoordelijk is.
Van belang daarbij is om onderscheid te maken naar richtinggevend of strategisch, sturend of tactisch
en uitvoerend niveau.
2.1. EINDVERANTWOORDELIJKHEID
De eindverantwoordelijkheid voor de informatiebeveiliging als geheel ligt bij het managementcomité
van het Vlaams Ministerie van Onderwijs en Vorming. De leidend ambtenaren dragen elk individueel
de eindverantwoordelijkheid voor de verwerking van persoonsgegevens, het
informatieveiligheidsbeleid, het toezien op de implementatie en de controle op naleving ervan binnen
hun entiteit.
2.2. EIGENAARSCHAP
Naast de functies die hierna worden behandeld geldt dat ieder proces of ICT-toepassing een
aanwijsbare functionele eigenaar kent. Deze eigenaar is verantwoordelijk voor het vaststellen van het
vereiste beveiligingsniveau voor het betreffende proces, dienst of ICT-toepassing en de implementatie
van de hierbij horende maatregelen.
In beginsel dient de eigenaar hierbij de richtlijnen te volgen die zijn opgesteld binnen het
informatieveiligheidsbeleid. Als uit een risicoanalyse blijkt dat er een verhoogd of hoog risico is, dan
zijn er meer maatregelen noodzakelijk. De eigenaar kan hiervan echter afwijken, maar dan moet dit
met redenen zijn omkleed en aan de veiligheidsconsulent bekend worden gemaakt. De
veiligheidsconsulent onderzoekt deze beslissing, legt ze vast en zal de leidend ambtenaar adviseren
over de risico’s die als gevolg hiervan ontstaan.
De eigenaar bepaalt ook wie toegang heeft tot de gegevens welke verwerkt worden binnen het
proces, dienst of ICT-toepassing en of men gerechtigd is tot raadplegen, invoeren, wijzigen,
verwijderen en/of verstrekken van gegevens aan derden.
2.3. ROLLEN BINNEN DE INFORMATIEVEILIGHEIDSORGANISATIE
Om de informatiebeveiliging gestructureerd en gecoördineerd op te pakken zijn taken, bevoegdheden
en verantwoordelijkheden toegewezen aan structuren en/of functies in de bestaande
organisatiestructuur.
2.3.1. ICT-MANAGEMENTCOMITÉ (IMC)
Het ICT-managementcomité bepaalt de ICT-strategie, bewaakt het ICT-meerjarenplan en
informatieveiligheidsbeleid, keurt de IT-jaarplannen goed en bepaalt mee de prioriteiten.
VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING - INFORMATIEVEILIGHEIDSBELEID
7/13
Het ICT-managementcomité is een adviserend orgaan. De uiteindelijke beslissingen worden genomen
door het managementcomité. Bij ontstentenis van beslissing wordt het dossier voorgelegd aan de
Beleidsraad.
2.3.2. VEILIGHEIDSCONSULENT
De veiligheidsconsulent houdt binnen het Vlaams Ministerie van Onderwijs en Vorming toezicht op de
toepassing en naleving van de Privacywet. De wettelijke taken en bevoegdheden geven de
veiligheidsconsulent een onafhankelijke positie in de organisatie.
De veiligheidsconsulent is verantwoordelijk voor het vaststellen van een samenhangend pakket aan
beveiligingseisen voor processen, diensten of ICT-toepassingen, gebaseerd op risicoanalyses en de
classificatie van de informatie die wordt verwerkt of opgeslagen.
De veiligheidsconsulent vertaalt de beveiligingsnormen naar eisen aan processen en systemen en
controleert of projecten voldoen aan deze eisen. Hij signaleert bij het voornemen om nieuwe
informatiesystemen in productie te nemen het ontbreken van een risicoanalyse en maatregelen. Hij
vervult een rol bij de vertaling van de strategie naar tactische (en operationele) plannen en doet dit in
overleg met andere structuren en rollen. Tevens adviseert hij over specifieke beveiligingsmaatregelen.
2.3.3. WERKGROEP OPERATIONEEL VEILIGHEIDSBELEID
De werkgroep operationeel veiligheidsbeleid volgt de uitvoering van het beveiligingsbeleid op heeft
een adviserende, stimulerende, documenterende en controlerende opdracht op het vlak van
informatieveiligheid.
De werkgroep wordt op de hoogte gesteld van incidenten en risico’s die de informatieveiligheid in
gedrang brengen en de genomen maatregelen.
De werkgroep is samengesteld uit afgevaardigden van de verschillende entiteiten en rapporteert
periodiek aan het ICT-managementcomité. De veiligheidsconsulent is de voorzitter van de werkgroep.
2.3.4. DOMEINWERKING
De ICT-vraagzijde van het Vlaams Ministerie van Onderwijs en Vorming is horizontaal gestructureerd
over de entiteiten heen. De reden hiervoor is dat de ICT-ondersteuning voor het departement en de
agentschappen vaak gemeenschappelijk is of raakvlakken heeft. Daarom is een organisatie tot stand
is gekomen in de vorm van een domeinstructuur met een domeinsponsor, domeinstuurgroep en
domeinbeheerder. Deze domeinstructuur vertrekt vanuit het gebruikersstandpunt om de ICT-
ondersteuning te organiseren en aan te sturen. De domeinstuurgroepen vallen onder
verantwoordelijkheid van het managementcomité dat geadviseerd wordt door het IMC.
VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING - INFORMATIEVEILIGHEIDSBELEID
8/13
2.3.5. PROJECTLEIDER
De projectleider is er verantwoordelijk voor dat de applicatie en de informatie die daarin verwerkt wordt
een goede ondersteuning biedt aan het proces waarvoor deze verantwoordelijk is. Dit betekent dat de
projectleider ervoor zorgt dat zowel nu als in de toekomst de applicatie blijft beantwoorden aan de
eisen en wensen van de gebruikers en aan wet- en regelgeving. Uiteraard moet de applicatie voldoen
aan het informatiebeveiligingsbeleid en tenminste de minimale maatregelen.
2.3.6. APPLICATIEBEHEERDER
De applicatiebeheerder is operationeel verantwoordelijk voor één of meerdere ICT-toepassingen. De
applicatiebeheerder bewaart een overzicht op de applicatie en neemt maatregelen teneinde de
continuïteit en kwaliteit te waarborgen. De applicatiebeheerder volgt de beveiliging van de toepassing
op, ondersteunt de gebruikers, signaleert opleidingsbehoeften en organiseert deze mee, initieert en
volgt het onderhoud aan de applicatie op en beheert de eindgebruikersdocumentatie.
2.3.7. AFDELINGSHOOFDEN EN LEIDINGGEVENDEN
Het informatieveiligheidsbeleid vormt het kader. Van afdelingshoofden en leidinggevenden wordt
verwacht dat zij hieraan nader invulling geven. Zij zijn immers verantwoordelijkheid voor de correcte
uitvoering van de aan hen opgedragen bedrijfsprocessen met de daarbij behorende
informatievoorziening en voor het goed functioneren daarvan en hiermee dus ook voor de
informatiebeveiliging. Tekortkomingen, incidenten en/of inbreuken hierop worden gemeld aan de
veiligheidsconsulent en geremedieerd. Zij laten risicoanalyses uitvoeren waaruit maatregelen kunnen
voortkomen die door anderen worden geïmplementeerd. Zij blijven de primaire verantwoordelijkheid
dragen voor het kiezen, uitvoeren en handhaven van deze maatregelen.
2.3.8. AFDELINGSINFORMATICA COÖRDINATOR (AIC)
De afdelingsinformatica coördinator capteert de ICT-behoeften van een afdeling inzake burotica en
gebruikersinfrastructuur binnen de afdeling. De afdelingsinformatica coördinator maakt hiertoe
werkaanvragen op en volgt de uitrol op. Ook de inventariscontrole en ondersteuning bij
personeelsbewegingen behoren tot het takenpakket.
2.3.9. LOKALE BEHEERDER
De lokale beheerders zijn verantwoordelijk voor het toekennen van de rechten tot toepassingen. De
lokale beheerder(s) kunnen enkel toegang tot de toepassingen verlenen aan personeelsleden die
effectief de doeltoepassing(en) nodig hebben om hun taken te kunnen uitvoeren. Krijgt een gebruiker
toegang tot een informatiebron dan wordt dit geregistreerd om veiligheids- en auditredenen. Zo
kunnen de acties van een gebruiker nagegaan worden.
VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING - INFORMATIEVEILIGHEIDSBELEID
9/13
De lokale beheerders registreren onmiddellijk alle wijzigingen die de toegekende rechten beperken,
wijzigen of beëindigen.
2.3.10. MEDEWERKERS
Medewerkers zijn geïnformeerd over hun beveiligingsplichten inzake omgang met vertrouwelijke
gegevens, de na te leven procedures bij vaststelling van een veiligheidsprobleem en over de
eventuele disciplinaire sancties en procedures die bij tekortkomingen worden toegepast.
2.3.11. EXTERNE PARTIJEN
Met externe partijen zijn de afspraken gemaakt en gedocumenteerd om de bescherming te
waarborgen van bedrijfsmiddelen. Alle relevante informatiebeveiligingseisen moeten worden
vastgesteld en overeengekomen met elke partij die toegang heeft tot ICT-infrastructuurelementen ten
behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of aanbiedt.
Veranderingen in de dienstverlening, met inbegrip van handhaving en verbetering van bestaande
beleidslijnen, procedures en beheersmaatregelen voor informatiebeveiliging, worden beheerd. De
dienstverlening wordt periodiek geëvalueerd en beoordeeld.
VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING - INFORMATIEVEILIGHEIDSBELEID
10/13
3. INFORMATIEVEILIGHEIDSPROCES
3.1. RISICO-GEBASEERDE AANPAK
Voor de beveiliging vormt het beheersen van risico’s het voornaamste principe. In de aanpak van
informatiebeveiliging komen elementen van risicomanagement dan ook op verscheidene plaatsen aan
de orde. Om de geïdentificeerde risico’s te reduceren tot onder het aanvaardbare niveau zal het
Vlaams Ministerie van Onderwijs en Vorming daarvoor de geschikte beheersmaatregelen inzetten en
de effectiviteit ervan voortdurend beoordelen.
Risicoanalyses worden periodiek uitgevoerd om in te spelen op wijzigingen in de beveiligingseisen en
de risicosituatie. De resultaten geven richting bij het bepalen van passende acties en prioriteiten in de
veiligheidsplannen van de entiteiten.
De risicobehandeling benadrukt de activiteit van het reduceren van risico’s tot aanvaardbaar geachte
niveaus, waarbij wordt erkend dat er nooit afdoende middelen beschikbaar zullen zijn om volledige
risicovermijding te betrachten. Het gaat om de balans tussen ingeschatte bedreigingen en risico’s
enerzijds en anderzijds de risico-beperkende maatregelen, kosten en werkbaarheid. Waar
maatregelen op het gebied van informatiebeveiliging conflicteren met de privacy, zal het waarborgen
van de privacy meestal prevaleren.
3.2. CONTINUE VERBETERING
Periodieke toetsing van de werking en de noodzaak van gekozen maatregelen in de
veiligheidsplannen van de entiteiten leidt tot continue verbetering van de informatieveiligheid. De
maatregelen worden geïmplementeerd op basis van risicomanagement en een bewuste kosten-baten
afweging. Dit zorgt voor een optimale beveiliging tegen een aanvaardbare kost. Hiermee wordt
invulling gegeven aan het beleid om het vinden van een optimum tussen werkbaarheid en veiligheid.
3.3. AANSTURING VAN HET PROCES
Informatieveiligheid gaat om het voortdurend bepalen van risico’s, het kunnen reageren op incidenten
en het nemen van adequate maatregelen op basis van risicomanagement. Om de risico’s te bewaken
en te beheersen is het informatieveiligheidsproces ingericht. Het beveiligingsproces wordt
aangestuurd vanuit het management, omdat daar de verantwoordelijkheid ligt met betrekking tot de
informatieveiligheid.
Het management wordt daarbij ondersteund door de veiligheidsconsulent en de werkgroep
operationalisering veiligheidsbeleid. Doel van het beveiligingsproces is het inzichtelijk maken van de
(rest)risico’s voor een bepaalde situatie of informatiesysteem zodat op basis hiervan een
weloverwogen besluit kan genomen worden. Wet- en regelgeving stellen de minimumeisen waaraan
informatieveiligheid moet voldoen. Het eerbiedigen ervan is een uitgangspunt voor de inrichting van
het beveiligingsproces.
VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING - INFORMATIEVEILIGHEIDSBELEID
11/13
Andere organisaties kunnen eisen stellen aan de informatieveiligheid bij het Vlaams Ministerie van
Onderwijs en Vorming voor de borging van hun bedrijfsprocessen. Andersom zal het Vlaams
Ministerie van Onderwijs en Vorming bij het buiten de organisatie brengen van informatie eisen stellen
aan de informatieveiligheid van de ontvangende partijen.
3.4. SECURITY AWARENESS
Een goede informatiebeveiliging hangt niet alleen af van technische maatregelen maar heeft ook een
belangrijke relatie met het gedrag van medewerkers. Veel gebruikers en beheerders van informatie
zijn zich niet bewust van de risico’s die men in het kader van informatiebeveiliging loopt of zijn zich
niet voldoende bewust van de verantwoordelijkheid die zij dragen ten opzichte van de informatie waar
zij toegang toe hebben. Helaas is dit een vruchtbare voedingsbodem voor incidenten. Onderzoek
geeft aan dat de meerderheid van beveiligingsincidenten zijn oorsprong vindt binnen de eigen
organisatie. Daarom is bewustwording of liever bewustmaking een belangrijk instrument bij
informatiebeveiliging. De veiligheidsconsulent is verantwoordelijk voor het bewustwordingsproces en
ontwikkelt jaarlijks een campagne hiervoor of zoekt hiervoor aansluiting bij initiatieven op een ander
niveau.
Het bevorderen van het beveiligingsbewustzijn van de medewerkers is ook een verantwoordelijkheid
van afdelingshoofden en leidinggevenden. Beveiliging is een kwestie van mentaliteit. Afdelingen
werken periodiek aan eigen vorming om elke medewerker bewust te maken van zijn verantwoordelijk
op het gebied van informatiebeveiliging en alert is op juiste toepassing en overtreding van geldende
voorschriften en richtlijnen. Het beveiligingsbewustzijn zal worden vergroot door o.a. communicatie
rond beveiligingsthema’s in allerlei vormen (presentaties, workshops, artikelen), organiseren van
trainingen, opstellen en uitdragen van gedragsregels, stimuleren van policies en toepassing van
procedures.
3.5. PROJECTMANAGEMENT
Bij projecten, zoals infrastructurele wijzigingen of de aanschaf van nieuwe systemen, wordt vanaf de
start rekening gehouden met informatiebeveiliging. Voorafgaand aan de ontwikkeling of aankoop
wordt voorafgaand een risicoanalyse gedaan om de betrouwbaarheidseisen te bepalen. De afweging
ten aanzien van de noodzaak en de wijze van beveiliging dienen een onderdeel van de
investeringsbeslissing te vormen, ook wanneer wordt besloten een externe partij in te huren. De
informatieveiligheid binnen projecten komt ten laste van het budget van de projectverantwoordelijke.
3.6. MELDING EN AFHANDELING VAN INCIDENTEN
Incidentbeheer en -registratie hebben betrekking op de wijze waarop geconstateerde dan wel
vermoede inbreuken op de informatiebeveiliging door de medewerkers en externen gemeld worden en
de wijze waarop deze worden afgehandeld. Het is van belang om te leren van incidenten.
Incidentregistratie en periodieke rapportage over opgetreden incidenten horen thuis in een volwassen
informatiebeveiligingsomgeving.
VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING - INFORMATIEVEILIGHEIDSBELEID
12/13
Elke medewerker is zelf verantwoordelijk voor het signaleren en melden van incidenten en inbreuken
op informatiebeveiliging. Voor ICT-toepassingen moeten incidenten en inbreuken direct gemeld
worden aan de helpdesk en de veiligheidsconsulent. Overige incidenten worden gemeld aan het
afdelingshoofd en de veiligheidsconsulent.
Incidenten worden afgehandeld door de afdelingen, eventueel na advies van de veiligheidsconsulent,
en dienen als input voor incidentrapportages naar de werkgroep veiligheid. Bij constatering van
bepaalde trends kan hierop meteen worden ingespeeld, bijvoorbeeld door het nemen van extra
maatregelen of een bewustwordingscampagne.
Met externe dienstverleners worden afspraken gemaakt over hun rol in het incident management
proces en de opvolging die het Vlaams Ministerie van Onderwijs en Vorming wenst. Als afnemer van
de raamovereenkomsten die de Vlaamse Regering heeft afgesloten wordt een belangrijk deel van het
incident management ingevuld door deze ICT-dienstverleners. In het kader van exploitatiegebonden
ICT-diensten zorgt de ICT-dienstverlener voor een overkoepelende aanpak van beveiligingsbeheer
(o.a. voor het oplossen van veiligheidsincidenten) over de verschillende dienstenpakketten heen op
basis van een Security Information en Event Management (SIEM) benadering. De opvolging van dit
proces voor beveiligingsmanagement en het ICT-veiligheidsniveau gebeurt o.a. aan de hand van
rapporten met daarin een overzicht van de security issues en een overzicht van de
veiligheidsovertredingen, incidenten en cruciale activiteiten geregistreerd en geanalyseerd. De ICT-
dienstverlener dient in het kader van dit proces de nodige afstemmingen te doen met de ICT Security
Officer binnen het Facilitair Bedrijf.
De ICT-dienstverlener zorgt voor het opzetten van een incident management databank waarin de
registratie en opvolging van incidenten opgenomen wordt en voorziet hiervoor de nodige hard- en
software-infrastructuur. De ICT-dienstverlener zorgt ervoor dat het opgezette systeem geïntegreerd is
met de andere systemen die voorzien worden ter ondersteuning van de processen.
VLAAMS MINISTERIE VAN ONDERWIJS EN VORMING - INFORMATIEVEILIGHEIDSBELEID
13/13
4. EVALUATIE, NALEVING EN TOEZICHT
4.1. EVALUATIE
De toestand van het niveau van de beveiliging van de informatiesystemen, inclusief de herziening en
de opvolging van de procedures wordt regelmatig geëvalueerd om vast te stellen of deze leidt tot de
gewenste mate van beveiliging. De evaluatie zal gebeuren door interne begeleiding, interne controle,
interne audit en/of een externe audit en kan aanleiding geven tot het bijstellen van het
informatieveiligheidsbeleid, de betrouwbaarheidseisen en/of de maatregelen.
Elke afdeling die (mede-)eigenaar is van een informatiesysteem heeft de plicht de informatieveiligheid
van dit systeem periodiek te (laten) evalueren en actueel te houden, in het bijzonder wanneer er
ingrijpende wijzigingen gepland worden.
Het meten van de technische conformiteit gebeurt o.a. door vulnerability scans waarbij
kwetsbaarheden in informatiesystemen worden geïdentificeerd, penetration testing om zwakheden
van informatiesystemen van buiten af te ontdekken, de effectiviteit na te gaan van de preventieve
controles tegen niet geautoriseerde toegang t.g.v. deze zwakheden en security reviews om na te gaan
of de gedocumenteerde processen voldoen en of ze systematisch op de juiste manier worden
uitgevoerd in de verschillende operationele diensten.
4.2. NALEVING
De naleving bestaat uit algemeen toezicht op de dagelijkse praktijk van het security management
proces. Van belang hierbij is dat leidinggevenden hun verantwoordelijkheid nemen en hun
medewerkers aanspreken in geval van tekortkomingen. Voor de bevordering van de naleving van de
Privacywet vervult de veiligheidsconsulent een belangrijke rol.
Indien een medewerker ernstig tekort schiet in de naleving dan zal dit leiden tot disciplinaire
maatregelen en/of aangifte bij bevoegde autoriteiten. De maatregelen die genomen worden hangen af
van de relatie tussen de overtreder en het Vlaams Ministerie van Onderwijs en Vorming en van de
aard van het misbruik.
4.3. TOEZICHT
De werkgroep operationeel veiligheidsbeleid houdt toezicht op de uitvoering van de
informatieveiligheid door middel van bovengenoemde toetsingsinstrumenten en door middel van de
analyses die worden uitgevoerd.
Recommended