VEILIGHEIDSMAP Ook wel KSZ map genoemd OCMW …….. Veiligheidsconsulent :…………. 1. Inhoud 1. Inhoud 2. Referenties 3. Rapporten veiligheidsconsulent 4. Minimale Normen 5. Opleiding en Technische informatie 6. Lijst additionele documenten 2. Referenties Algemeen rapport Zie: 3.1. Individueel rapport Zie: 3.2. Audit Zie: 4.10. Veiligheidsbeleid Zie: 4.1. Aanstelling veiligheidsconsulent (raadsbeslissing) Zie: 4.2.1.2. Veiligheidsplan Zie: 4.2.1.3. Veiligheidsbudget Zie: 4.2.1.4. Lijst minimale normen Zie: 4.2.1.5. Communicatie met veiligheidsconsulent (ondertekend formulier) Zie: 4.2.1.7. Maandelijks overleg met subwerkgroep (andere koepels) Zie: 4.2.1.9. Grondplan / Sleutelplan Zie: 4.3.1. Opening en sluitingsprocedure Zie: 4.3.1.1. Ontvangen & Teruggave sleutels Zie: 4.3.1.2. Machtiging KSZ software Zie: 4.3.1.3. Preventie brand inbraak en waterschade Zie: 4.3.2. Alternatieve stroomvoorziening beschikken (UPS) Zie: 4.3.3. Akkoord verklaring KSZ gebruikers Zie: 4.4.1.1. Wachtwoord beleid (ondertekende akkoord verklaring) Zie: 4.4.1.2. PC beleid Zie: 4.4.1.3. Serverruimte beleid Zie: 4.4.1.4. Back-up procedure Zie: 4.4.2. Internet gebruik en e-mail policy Zie: 4.6.1.1. Risicoanalyse Zie: 4.7.1. Continuïteitsplan Zie: 4.7.2. Lijst coördinaten contactpersonen igv veiligheidsincident Zie: 4.7.2.1. Noodplan Zie: 4.7.3. Inventaris(personeel , netwerk, Hardware, software….) Zie: 4.8.1. tot 4.8.6. Antivirus & spam update procedure Zie: 4.9.2. 3. Rapporten veiligheidsconsulent 3.1 Algemene rapporten. 3.2 Individuele rapporten. 3.3 Controle rapporten. 4. Minimale Normen De hierna uitgewerkte minimale veiligheidsnormen vloeien rechtstreeks voort uit de wet van 15 januari 1990 houdende oprichting en organisatie van een kruispuntbank van de Sociale Zekerheid of uit het koninklijke besluit van 12 augustus 1993, of zijn het resultaat van de werkzaamheden van de werkgroep “Informatieveiligheid” 4.1. Informatieveiligheidsbeleid Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet over een formeel en permanent bijgestuurd informatieveiligheidsbeleid beschikken. Bijlage : Het veiligheidsbeleid Datum : …../…../……. Status : OK NOK 4. Minimale Normen 4.2. Veiligheidsorganisatie Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.2.1.1. In haar schoot een informatieveiligheidsdienst inrichten die wordt geleid door een veiligheidsconsulent , of die taak toevertrouwen aan een erkende gespecialiseerde informatieveiligheidsdienst. 04-09-2003: Deze minimum norm is niet van toepassing voor het OCMW; een informatieveiligheidsdienst is enkele verplicht indien de veiligheidsconsulent met adjuncten werkt. Datum : …../…../……. Status : OK NOK 4. Minimale Normen 4.2. Veiligheidsorganisatie Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.2.1.2. De identiteit van haar veiligheidsconsulent en haar eventuele adjuncten meedelen aan het toezichtscomité bij de Kruispuntbank van de Sociale Zekerheid. Bijlage : Raadsbeslissing Datum : …../…../……. Status : OK NOK TIP: De gegevens van de veiligheidsconsulent worden naar onderstaand adres gestuurd. POD MI Anspachlaan 1 verdiep 14 Brussel ? Identificatiegegevens van de veiligheidsconsulent Werknemer: ………. Werkgever: ………. 4. Minimale Normen 4.2. Veiligheidsorganisatie Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.2.1.3. In het bezit zijn van een veiligheidsplan dat door de verantwoordelijke instantie van de betrokken instelling werd goedgekeurd. In het veiligheidsplan bevinden zich alle minimale normen waaraan nog niet werd voldaan evenals de termijnen waarop het OCMW zich engageert om elke norm, voor zover mogelijk, in orde tee brengen. Een schema werd overgemaakt op …../…../……… aan de betrokken instelling; de veiligheidsconsulent wacht op invulling van de data. Bijlage : Het veiligheidsplan Datum : …../…../……. Status : OK NOK 4. Minimale Normen 4.2. Veiligheidsorganisatie Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.2.1.4. Over de nodige werkkredieten beschikken die door de verantwoordelijke instantie van de betrokken instellingwerden goedgekeurd, en die in een afzonderlijk gedefinieerd veilighedisbudget zijn opgenomen, ten einde te kunnen voorzien in de uitvoering van haar veiligheidsplan. Bijlage : Het veiligheidsbudget Datum : …../…../……. Status : OK NOK Beschrijving procedure Dit document dient jaarlijks door het OCMW te worden op gemaakt. 4. Minimale Normen 4.2. Veiligheidsorganisatie Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.2.1.5. Aan de Kruispuntbank het aantal uren meedelen dat ze officieel aan de veiligheidsconsulent en zijn eventuele adjuncten hebben toegekend voor de uitvoering van hun taken(*) (*) Deze mededeling geschiedt door middel van de vragenlijst die de Kruispuntbank rechtstreeks of via de beheersinstelling aan de sociale zekerheidsinstellingen overmaakt. Beschrijving procedure 1. 2. 3. 4. Jaarlijks onvangt het OCMW een vragenlijst van het toezichtcomité. De systeembeheerder van het OCMW neemt contact op met de veiligheidsconsulent. De lijst wordt samen met de veiligheidsconsulent ingevuld. Ht OCMW maakt de ingevulde lijst over aan het toezichtscomité binnen de vastgelegde termijn, vermeld in de begeleidende brief. Lijst ontvangen Lijst ingevuld Lijst opgestuurd 4. Minimale Normen 4.2. Veiligheidsorganisatie Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.2.1.6. De betrokken veiligheidsconsulenten waken, binnen de eigen instelling, over het veilige gebruik van de beroepskaart voor een geneeskundige verzorging zoals vastgelegd in de artikels 42 tot en met 50 van het Koninklijke besluit van februari 1998(*) (*) Koninklijke besluit van 22 februari 1998 houdende uitvoeringsmaatregelen betreffende de sosiale identiteitskaart (gepubliceerd in het Belgische staatsblad van 13 maart 1998), gewijzigd bij het Koninklijke besluit van 8 december 1998 (Belgische staatsblad van 24 december 1998), bij het Koninklijke besluit van 26 april 1999 (Belgische staatsblad van 19 juni 1999), bij het Koninklijke besluit van 11 oktober 2000(Belgische staatsblad van 22 december 2001) en bij het Koninklijke besluit van 26 mei 2002( Belgische staatsblad van 3 juli 2002). Het OCMW maakt geen gebruik van de beroepskaart 4. Minimale Normen 4.2. Veiligheidsorganisatie Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.2.1.7. Over procedures beschikken met het oog op de communicatie van informatie aan de veiligheidsconsulent zodanig dat hij over de gegevens beschikt voor de uitvoering van de hem toegewezen veiligheidsopdracht. Bijlage : Communicatie procedure 1 veiligheidsconsulent Datum : …../…../……. Status : OK NOK 4. Minimale Normen 4.2. Veiligheidsorganisatie Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.2.1.8. Over procedure beschikken met als doelstelling om overleg te organiseren tussen de verschillende betrokken partijen(*) ten einde op deze manier de veiligheidsconsulenten nauwer te betrekken bij de werkzaamheden van de instelling (*) De partijen waar in deze norm wordt naar verwezen zijn voornamelijk de leden van de informaticadienst, de preventieadviseur, de veiligheidsconsulent en de diensten die de gegevens beheren. Bijlage : Communicatie procedure 2 veiligheidsconsulent Datum : …../…../……. Status : OK NOK 4. Minimale Normen 4.2. Veiligheidsorganisatie Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.2.1.9. Elke beheerinstelling van een secundair netwerk is er toe gehouden om ten minste één keer per semester een vergadering van de subwerkgroep “informatieveiligheid” te organiseren voor de instellingen die deel uitmaken van haar netwerk. Het OCMW wacht het initiatief af van de verantwoordelijke beheersinstelling POD MI 1. 2. 3. Maandelijks overleg tussen veiligheidsconsulenten van volgende organisaties: 1. VVSG Chris Boens 2. Welzijnszorg Kempen Kris van de water 3. Welzijnszorg Meetjesland Sandra Claes 4. Welzijnskoepel West Brabant Yvan Gielens Drie maandelijks overleg tussen veiligheidsconsulent en de systeembeheerders van de OCMW’S De veiligheidsconsulent is lid van V.I.C.T.O.R Vlaamse ICT organisatie Aarlenstraat 53/4 1040 Brussel. 4. Minimale Normen 4.3.Fysieke beveiliging en beveiliging van de omgeving Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.3.1. De toegang tot de gebouwen en lokalen beperken tot de geautoriseerde personen en een controle erop verrichten zowel tijden als buiten de werkuren 1. 2. De elementen die betrekking hebben op de toegangscontrole werden geinventariseerd in het individueel veiligheidsplan en adviezen werden opgesteld. Eventueel Raadsbeslissing goedkeuring veiligheidsplan Bijlage : Het sleutelplan / badges identificatielijst Datum : …../…../……. Status : OK NOK 4. Minimale Normen 4.3.Fysieke beveiliging en beveiliging van de omgeving Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.3.2. Maatregelen treffen m.b.t. de preventie, de bescherming, interventie ingeval van brand, inbraak of waterschade. Controle door de veiligheidsconsulent door middel van een rondgang. Een vragenlijst zal jaarlijks ingevuld worden met betrekking tot brand en inbraak. Deze zal opgestuurd worden naar de instelling. Daarna in samenwerking met de veiligheidsconsulent zullen de af tewerken punten worden besproken en afgewerkt. Bijlage : Checklist brand & Inbraak Datum : …../…../……. Status : OK NOK 4. Minimale Normen 4.3.Fysieke beveiliging en beveiliging van de omgeving Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.3.3. Over een alternatieve stroomvoorziening beschikken waardoor de informaticaverwerkingen zonder risico kunnen worden afgesloten. (Voor de instellingen die een secundair netwerk beheren en/of die gegevens leveren in het kader van de sociale zekerheid) Bijlage : Controle UPS Datum : …../…../……. Status : OK NOK 4. Minimale Normen 4.4. Logische toegangsbeveiliging Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.4.1. De toegang tot de gegevens (*) nodig voor de toepassing en de uitvoering van de sociale zekerheid beveiligen door middel van een identificatie, authentificatie en autorisatiesysteem. (*) In deze norm wordt onder de term “gegevens” niet enkele de sociale persoonsgegevens verstaan maar alle logische elementen van een informatiesysteem die voor de verwerknig ervan instaan. Vb: programma’s, toepassingen, bestanden, systeemutilities en andere elementen van het besturingssysteem. Bijlagen: 1. Akkoordverklaringen OCMW netwerk gebruikers(vd KSZ) 2. Wachtwoord beleid 3. PC beleid 4. Serverruimte beleid Beschrijving procedure: Bij personeelswissel documenten ter goedkeuring laten ondertekenen. 4. Minimale Normen 4.4. Logische toegangsbeveiliging Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.4.2. Een systeem van regelmatig te controleren veiligheidskopieën invoeren om, ingeval van beperkte of totale ramp, elk onherstelbaar verlies van gegevens te voorkomen (gegevens nodig voor de toepassing en de uitvoering van de sociale zekerheid alsook de gegevens m.b.t. de toepassingen en het besturingssysteem. Er is een betrouwbaar back-up systeem. Bijlage : Controle BACK-UP Datum : …../…../……. Status : OK NOK 4. Minimale Normen 4.4. Logische toegangsbeveiliging Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.4.3. Een loggingsysteem implementeren voor de persoonsgegevens nodig voor de toepassing en uitvoering van de sociale zekerheid. Er is een logging systeem op de UNIX en LINUX server. De softwareleverancier levert de procedure om deze te onderhouden,na te kijken en op te kuisen. Bijlagen: 1. De controle op de logging wordt toegevoegd 4. Minimale Normen 4.4. Logische toegangsbeveiliging Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.4.4. Een systeem en formele, geactualiseerde procedures installeren die toelaten om veiligheidsinbreuken te decteren, op te volgen en te herstellen. Deze norm is niet haalbaar voor het OCMW; Om toch enigzins tegemoet te komen aan deze norm, zal er onderzocht worden of een eenvoudig veiligheidsinbreuk detectiesysteem kan geïnstalleerd worden; De logging in Windows NT wordt standaard bijgehouden. Er zijn echter geen procedures voorzien omtrent het controleren van deze loggings, zodat het detecteren en opvolgen van eventuele veiligheidsinbreuken eerder bij toeval zal gebeuren of nadat er zich enige opvallende onregelmatigheden hebben voorgedaan. 4. Minimale Normen 4.4. Logische toegangsbeveiliging Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.4.5. Wanneer de instelling in de zone “USERID” van het prefixgedeelte van een bericht aan de kruispuntbank, het programmanummer overneemt dat aan de basis ligt van het bericht dat ze naar de kruispuntbank stuurt hoewel een natuurlijke persoon aan de oorsprong van het bericht ligt, kan de kruispuntbank, a posteriori, het programmanummer terugvinden. De kruispuntbank kent echter de identiteit niet van de natuurlijke persoon die het bericht verstuurde. In dat geval moet de instelling van sociale zekerheid dus zelf de relatie leggen tussen het programmanummer dat ze overneemt in het prefix gedeelte van het bericht dat zij naar de kruispuntbank stuurt en de identiteit van de natuurlijke persoon die het bericht verstuurt. Dit gedeelte wordt verzorgd door de software van 1. De KSZ indien er met de WEB site applicatie wordt gewerkt. 2. De SW leverancier ( logins / Schaubroeck) indien er met de APPC applicatie wordt gewerkt. Er is dus voldaan aan deze norm. Datum : …../…../……. Status : OK NOK 4. Minimale Normen 4.5. Ontwikkeling, productie en onderhoud van toepassingen. Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.5.1. Over formele en geactualiseerde procedures beschikken voor het in productie stellen van nieuwe toepassingen en het aanpassen van bestaande toepassingen ten einde te voorkomen dat één enkele persoon alleen de controle zou verwerven over dit proces. Dit gedeelte wordt volledig verzorgd door de SW leverancier. Datum : …../…../……. Status : OK NOK 4. Minimale Normen 4.5. Ontwikkeling, productie en onderhoud van toepassingen. Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.5.2. Over formele en geactualiseerde procedures beschikken voor de uitwerking van documentatie bij de ontwikkeling van nieuwe en het onderhoud van bestaane toepassingen en systemen(*) Dit gedeelte wordt volledig verzorgd door de SW leverancier. Datum : …../…../……. Status : OK NOK (*) Met de term “systeem” wordt in deze norm de logische elementen bedoeld deel uitmakend van een informatiesysteem. Hoewel bestanden, toepassingen en zo meer (zie (* )4.4.1.) onder deze definitie vallen, betreft het in deze context eerder componenten op “systeemniveau”. Toegepast op een IBM mainframeomgeving kunnen de volgende voorbeelden ter verduidelijking worden aangereikt: CICS, DB2, RACF, VTAM, OPC, TSO, SMS, JES2 bestanden met systeemparameters, een schematische voorstelling van de logische opbouw van het informatiesysteem. 4. Minimale Normen 4.6. Netwerkbeveiliging. Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.6.1. De toegang tot de informaticasystemen beperken tot geïdentificeerde, geauthendificeerde en geautoriseerde personen / objecten (*) Er is een identificatie procedure die werkt met gebruikersnaam & wachtwoord. Bijlage : Zie veiligheidsnorm 4.4.1. Datum : …../…../……. Status : OK NOK (*) “Informaticasystemen” moet begrepen worden als de fysische computerapparatuur gebruikt voor de gegevensverwerking. In tegenstelling tot het begrip “informatiesysteem” dat zowel door fysische als door logische gegevensverwerkende elemenen wordt genoemd. 4. Minimale Normen 4.6. Netwerkbeveiliging. Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.6.2. Een systeem en formele, geactualiseerde procedures installeren die toelaten om veiligheidsinbreuken te detecteren, op te volgen en te herstellen. Deze norm is niet haalbaar voor het OCMW om toch enigzins tegemoet te komen aan deze norm, zal er onderzocht worden of een eenvoudig veiligheidsinbreukdetectiesysteem op netwerkniveau kan geïnstalleerd worden. Datum : …../…../……. Status : OK NOK 4. Minimale Normen 4.6. Netwerkbeveiliging. Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.6.3. De sociale zekerheidsinstellingen van het primaire net moeten voor hun aan de sociale zekerheid externe TCP/IP verbindingen gebruik maken van het extranet van de sociale zekerheid(*). Voor iedere afwijking op deze maatregel moet een gemotiveerde aanvraag bij het toezichtscomité worden ingediend. Deze norm is niet van toepassing daar het OCMW een instelling is van het secundaire netwerk. Datum : …../…../……. Status : OK NOK (*) Deze maatregel vervalt indien de betrokken instelling voor haar aan de sociale zekerheid externe TCP/IP verbindingen gebruik maakt van een computerconfiguratie die niet gebruikt wordt voor de verwerking van sociale persoonsgegevens of die in generlei mate verbonden is met de informatiesystemen aangewend voor de verwerking van sociale persoonsgegevens. 4. Minimale Normen 4.6. Netwerkbeveiliging. Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.6.4. De sociale zekerheidsinstellingen van het secundaire net kunnen voor hun aan de sociale zekerheid externe TCP/IP verbindingen gebruik maken van het extranet van de sociale zekerheid. Voor de rechtstreekse verbindingen met hun aan de sociale zekerheid externe TCP/IP netwerken moeten: • De betrokken secundaire netwerkinstellingen veiligheismaatregelen implementeren die in overeenstemming zijn en blijven met de maatregelen getroffen op het niveau van het extranet van de sociale zekerheid. • De desbetreffende beheerinstellingen veiligheidsvoorzieningen treffen die in overeenstemming zijn en blijven met de getroffen voorzieningen op het niveau van het extranet van de sociale zekerheid. Aan deze norm is voldaan daar het OCMW ……………. Datum : …../…../……. Status : OK NOK 4. Minimale Normen 4.7. Continuiteitsplan. Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet aan de hand van een gezamelijke methodiek, aanvaard door de werkgroep “informatieveiligheid” of elke andere methodologie die rekening houdt met de hierin beschreven principes: 4.7.1. Een risicoanalyse uitvoeren ten einde de werking van een continuiteitsplan mogelijk te maken. Datum : …../…../……. Status : OK NOK 4. Minimale Normen 4.7. Continuiteitsplan. Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet aan de hand van een gezamelijke methodiek, aanvaard door de werkgroep “informatieveiligheid” of elke andere methodologie die rekening houdt met de hierin beschreven principes: 4.7.2. Een continuiteitsplan uitwerken, testen en onderhouden teneinde de opdrachten inzake socialezekerheid van de instelling te kunnen waarborgen. Tevens moet zij in een informatica- uitwijkcentrum voorzien ingeval van beperkte of totale ramp. Ook deze norm is moeilijk haalbaar voor een (zeker klein) OCMW. Toch wordt in de mate van het mogelijke , een minimaal continuiteitsplan uitgewerkt en /of contact opgenomen met de gemeente om te kijken of dit in haar rampenplan kan opgenomen worden. Bijlage : Continuiteitsplan Datum : …../…../……. Status : OK NOK 4. Minimale Normen 4.8. Inventaris. Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.8.1. Over een permanent bijgewerkte inventaris beschikken van het: 1. Hardware lijst in KSZ map 2. Personeelslijst in KSZ map 3. Gebruikers netwerk in KSZ map 4. Gebruikers inbraakalarm in KSZ map 5. Gebruikers & toepassingen in KSZ map 6. Netwerkschema in KSZ map 7. Softwarelijst wordt via winaudit uitgevoerd en opgeslagen per pc op CDROM / DVD in pdf formaat. Aan deze norm is voldaan door het OCMW maar wordt 1 a 2 maal per jaar gecontroleerd en aangepast. Bijlage: Alle bovenstaande lijsten zijn hierna bijgevoegd. Winaudit is een gratis tool dat een pc volledig analyseerd en het resultaat ervan weergeeft. Dit resultaat kan per pc wordne opgeslagen in verschillende bestandsformaten. Het OCMW gebruikt het bekende PDF formaat. 4. Minimale Normen 4.9. Bescherming tegen virusinfecties. Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.9.1. Over een gebruikershandleiding beschikken m.b.t. het voorkomen van virusbesmetting, het gebruik van de geïnstalleerde anti-virussoftware en de te treffen acties ingeval van virusinfectie. Aan deze norm is voldaan door het OCMW Bijlage: Een handleiding van: Het gebruik (de software) is terug te vinden via de helpfunctie. Het voorkomen is terug te vinden in de KSZ map Te treffen actie bij infecties is terug te vinden in de KSZ map 4. Minimale Normen 4.9. Bescherming tegen virusinfecties. Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: 4.9.2. Een geactualiseerde antivirussoftware installeren teneinde virusinfecties te voorkomen, te decteren en te corrigeren. Aan deze norm is voldaan door het OCMW Bijlage: Anti-Viruspakket: Anti-Virusupdates: Anti-Virusdownload: Verantwoordelijke: Controle of nazicht door 4. Minimale Normen 4.10. Audit. Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet 4.10.1. Tenminste één keer om de vier jaar een audit(*) organiseren met betrekking tot de situatie van de logische en fysieke veiligheid : Aan deze norm is voldaan door het OCMW De aandachtpunten die tijdens de audit naar boven komen, worden door de instelling gesignaleerd aan de werkgroep “informatieveiligheid”. Bovendien zal een samenvatting van de audit overgemaakt worden aan het toezichtscomité. Na verloop van 6 maanden zal een evaluatierapport meegedeeld worden aan het toezichtscomité waarin een overzicht gegeven wordt van de ondertussen getroffen maatregelen. De originele rapporten zullen beschikbaar moeten blijven voor het toezichtscomité zodat het deze kan raadplegen in geval van een icident achteraf. Bijlage: Er wordt afgewacht op antwoord van de KSZ/toezichtscomité of de veilighedisconsulenten uit overkoepelende organisaties (Welzijnskoepel West-Brabant, Welzijnszorg Kempen…) dit bij elkaar mogen uitvoeren. (*) Het betreft een audit waarbij het initiatief en de hieraan verbonden financiële inspanningen uitgaan van de instelling zelf. De audit hoeft niet allesomvattend te zijn 5. Opleiding & Technische informatie 6. Lijst additionele documenten 6.1. Raadsbeslissingen i.v.m. veiligheid 6.2. Internet & Email reglement 6.3. Historiek Helpdesk SW-leverancier (Faxen met vraag en antwoord) 6.4. Historiek van de voornaamste veiligheidsevenementen (inbreuken/troubleshooting) en logboek. 6.5. Briefwisseling en e-mails KSZ. 6.6. Briefwisseling en e-mails MvM. 6.7. Briefwisseling en e-mails SW-leverancier. 6.8. Briefwisseling en e-mails Toezichtcomité. 6. Additionele documenten 6.1. Raadsbeslissingen 6. Additionele documenten 6.2. Internet & Email gebruik De toegang tot het internet en de elektronische mail mag, in principe, enkel voor professionele doeleinden worden gebruikt. Het bestuur staat uitzonderlijk het gebruik voor privé-doeleinden toe op voorwaarde dat dit gebruik de goede werking en de belangen van het bestuur niet schaadt en mits aan de volgende voorwaarden wordt voldaan: - Het personeelslid mag de toegang tot het internet voor privé-doeleinden enkel tijdens de pauzetijd gebruiken; - Het personeelslid is verplicht om bij het gebruik van de elektronische mail in voorkomend geval het privé-karakter van de boodschap aan te geven en elke verwijzing naar het bestuur te verwijderen. (vb. de automatische handtekening). De gebruiker dient zijn mailbox regelmatig te consulteren. Met betrekking tot de officiële briefwisseling vanuit het bestuur, blijven de vigerende wetgevingen hieromtrent primeren, waardoor in bepaalde gevallen de correspondentie via email geen wettelijke basis heeft of zelfs verboden is. - Onderaan het mailbericht dienen verplicht voor elke gebruiker volgende zaken opgenomen te worden: volledige naam / functie / individuele telefonische en postbereikbaarheid van de verzender. -de volgende tekst staat verplicht onderaan het mailbericht: "De inhoud van deze email en zijn bijlage(n) zijn vertrouwelijk en uitsluitend bestemd voor de geadresseerde(n). Gelieve de systeembeheerder te contacteren indien U deze email verkeerdelijk zou ontvangen hebben. Deze voetnoot bevestigt dat deze mail gecontroleerd werd op de aanwezigheid van virussen". Het is verboden om: 1. Email te zenden, gebruikmakende van een vals of van andermans elektronisch adres; 2. Vertrouwelijke gegevens aangaande het bestuur, personeelsleden of derden te verspreiden (beroepsgeheim); 3. Elektronische boodschappen te versturen die de waardigheid van anderen kunnen schaden of waarvan de inhoud indruist tegen de goede zeden; 4. Deel te nemen aan elektronische kettingbrieven die het informaticanetwerk van de organisatie verstoren en ontregelen. 5. websites te raadplegen met een pornografisch of pedofiel karakter of sites die aanzetten tot discriminatie wegens ras, etnische afkomst, godsdienst, enz… 6. Gebruikers dienen er zich van bewust te zijn dat de gebruikte protocols / programma’s en instellingen op het Internet geen ingebouwde technieken bevatten die de vertrouwelijkheid van de berichten waarborgen. 7. Email wordt niet gebruikt voor het verzenden van grote bestanden (>10Mbyte). 8. Als je zelf mails ontvangt met grote bestanden, bv. foto’s, films, MP3, moppen,… moet je deze onmiddellijk Verwijderen en niet opslaan op de server. Dit om overbelasting te voorkomen. 9. Open nooit een verdacht bericht van een onbekende afzender. Verwijder het uit je Postvak In & Verwijderde Items. 10. De systeembeheerder kan in samenwerking met de veiligheidsconsulent periodiek controle doen op het naleven van de internet en email richtlijnen. Bij deze zullen internetadressen gecontroleerd worden en het aantal maal dat zij Bezocht werden en in hoe zwaar zij zijn voor het dataverkeer op het netwerk. (Er zal in het plaatselijk infoblad van het OCMW een lijst verschijnen met de top 10 van de meest bezochte sites.) Er zal door de veiligheidsconsulent strikt worden toegekeken op de naleving en respecteren van de privacy van personeel en cliënteel. 11. Voor de controle op het e-mailverkeer zal er controle zijn op de grote van de mails en welke soort bijlagen er worden ontvangen en verzonden. De inhoud zal enkel gecontroleerd worden indien er een speciaal onderzoek wordt ingesteld naar misbruiken van gegevens en mail. Dit kan enkel nadat de betrokkene in kennis is gesteld dat er zulk onderzoek zal gaan gebeuren. 12. Systeembeheerder en veiligheidsconsulent zijn gebonden aan de geheimhoudingsplicht. 6. Additionele documenten 6.3. Historiek Helpdesk SW leverancier 6. Additionele documenten 6.4. Historiek veiligheidsevenementen 6. Additionele documenten 6.5. Briefwisseling & emails KSZ 6. Additionele documenten 6.6. Briefwisseling & emails MvM 6. Additionele documenten 6.7. Briefwisseling & emails SW leverancier 6. Additionele documenten 6.8. Briefwisseling & emails Toezichtscomité