1_veiligheidsmap2008normen

advertisement
VEILIGHEIDSMAP
Ook wel KSZ map genoemd
OCMW ……..
Veiligheidsconsulent :………….
1. Inhoud
1. Inhoud
2. Referenties
3. Rapporten veiligheidsconsulent
4. Minimale Normen
5. Opleiding en Technische informatie
6. Lijst additionele documenten
2. Referenties
Algemeen rapport
Zie: 3.1.
Individueel rapport
Zie: 3.2.
Audit
Zie: 4.10.
Veiligheidsbeleid
Zie: 4.1.
Aanstelling veiligheidsconsulent (raadsbeslissing)
Zie: 4.2.1.2.
Veiligheidsplan
Zie: 4.2.1.3.
Veiligheidsbudget
Zie: 4.2.1.4.
Lijst minimale normen
Zie: 4.2.1.5.
Communicatie met veiligheidsconsulent (ondertekend formulier)
Zie: 4.2.1.7.
Maandelijks overleg met subwerkgroep (andere koepels)
Zie: 4.2.1.9.
Grondplan / Sleutelplan
Zie: 4.3.1.
Opening en sluitingsprocedure
Zie: 4.3.1.1.
Ontvangen & Teruggave sleutels
Zie: 4.3.1.2.
Machtiging KSZ software
Zie: 4.3.1.3.
Preventie brand inbraak en waterschade
Zie: 4.3.2.
Alternatieve stroomvoorziening beschikken (UPS)
Zie: 4.3.3.
Akkoord verklaring KSZ gebruikers
Zie: 4.4.1.1.
Wachtwoord beleid (ondertekende akkoord verklaring)
Zie: 4.4.1.2.
PC beleid
Zie: 4.4.1.3.
Serverruimte beleid
Zie: 4.4.1.4.
Back-up procedure
Zie: 4.4.2.
Internet gebruik en e-mail policy
Zie: 4.6.1.1.
Risicoanalyse
Zie: 4.7.1.
Continuïteitsplan
Zie: 4.7.2.
Lijst coördinaten contactpersonen igv veiligheidsincident
Zie: 4.7.2.1.
Noodplan
Zie: 4.7.3.
Inventaris(personeel , netwerk, Hardware, software….)
Zie: 4.8.1. tot 4.8.6.
Antivirus & spam update procedure
Zie: 4.9.2.
3. Rapporten veiligheidsconsulent
3.1 Algemene rapporten.
3.2 Individuele rapporten.
3.3 Controle rapporten.
4. Minimale Normen
De hierna uitgewerkte minimale veiligheidsnormen vloeien rechtstreeks voort uit de wet van 15 januari
1990 houdende oprichting en organisatie van een kruispuntbank van de Sociale Zekerheid of uit het
koninklijke besluit van 12 augustus 1993, of zijn het resultaat van de werkzaamheden van de
werkgroep “Informatieveiligheid”
4.1. Informatieveiligheidsbeleid
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet
over een formeel en permanent bijgestuurd informatieveiligheidsbeleid beschikken.
Bijlage :
Het veiligheidsbeleid
Datum : …../…../…….
Status : OK NOK
4. Minimale Normen
4.2. Veiligheidsorganisatie
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.2.1.1. In haar schoot een informatieveiligheidsdienst inrichten die wordt geleid door een
veiligheidsconsulent , of die taak toevertrouwen aan een erkende gespecialiseerde
informatieveiligheidsdienst.
04-09-2003: Deze minimum norm is niet van toepassing voor het OCMW;
een informatieveiligheidsdienst is enkele verplicht indien de
veiligheidsconsulent met adjuncten werkt.
Datum : …../…../…….
Status : OK NOK
4. Minimale Normen
4.2. Veiligheidsorganisatie
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.2.1.2. De identiteit van haar veiligheidsconsulent en haar eventuele adjuncten meedelen
aan het toezichtscomité bij de Kruispuntbank van de Sociale Zekerheid.
Bijlage :
Raadsbeslissing
Datum : …../…../…….
Status : OK NOK
TIP: De gegevens van de veiligheidsconsulent worden naar onderstaand adres gestuurd.
POD MI Anspachlaan 1 verdiep 14 Brussel ?
Identificatiegegevens van de veiligheidsconsulent
Werknemer:
……….
Werkgever:
……….
4. Minimale Normen
4.2. Veiligheidsorganisatie
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.2.1.3. In het bezit zijn van een veiligheidsplan dat door de verantwoordelijke instantie
van de betrokken instelling werd goedgekeurd.
In het veiligheidsplan bevinden zich alle minimale normen waaraan nog niet werd
voldaan evenals de termijnen waarop het OCMW zich engageert om elke norm,
voor zover mogelijk, in orde tee brengen.
Een schema werd overgemaakt op …../…../……… aan de betrokken instelling;
de veiligheidsconsulent wacht op invulling van de data.
Bijlage :
Het veiligheidsplan
Datum : …../…../…….
Status : OK NOK
4. Minimale Normen
4.2. Veiligheidsorganisatie
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.2.1.4. Over de nodige werkkredieten beschikken die door de verantwoordelijke instantie
van de betrokken instellingwerden goedgekeurd, en die in een afzonderlijk
gedefinieerd veilighedisbudget zijn opgenomen, ten einde te kunnen voorzien in de
uitvoering van haar veiligheidsplan.
Bijlage :
Het veiligheidsbudget
Datum : …../…../…….
Status : OK NOK
Beschrijving procedure
Dit document dient jaarlijks door het OCMW te worden op gemaakt.
4. Minimale Normen
4.2. Veiligheidsorganisatie
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.2.1.5. Aan de Kruispuntbank het aantal uren meedelen dat ze officieel aan de
veiligheidsconsulent en zijn eventuele adjuncten hebben toegekend voor de
uitvoering van hun taken(*)
(*) Deze mededeling geschiedt door middel van de vragenlijst die de Kruispuntbank
rechtstreeks of via de beheersinstelling aan de sociale zekerheidsinstellingen overmaakt.
Beschrijving procedure
1.
2.
3.
4.
Jaarlijks onvangt het OCMW een vragenlijst van het toezichtcomité.
De systeembeheerder van het OCMW neemt contact op met de veiligheidsconsulent.
De lijst wordt samen met de veiligheidsconsulent ingevuld.
Ht OCMW maakt de ingevulde lijst over aan het toezichtscomité binnen de vastgelegde
termijn, vermeld in de begeleidende brief.
Lijst ontvangen
Lijst ingevuld
Lijst opgestuurd
4. Minimale Normen
4.2. Veiligheidsorganisatie
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.2.1.6. De betrokken veiligheidsconsulenten waken, binnen de eigen instelling,
over het veilige gebruik van de beroepskaart voor een geneeskundige
verzorging zoals vastgelegd in de artikels 42 tot en met 50 van het
Koninklijke besluit van februari 1998(*)
(*) Koninklijke besluit van 22 februari 1998 houdende uitvoeringsmaatregelen betreffende de
sosiale identiteitskaart (gepubliceerd in het Belgische staatsblad van 13 maart 1998), gewijzigd
bij het Koninklijke besluit van 8 december 1998 (Belgische staatsblad van 24 december 1998),
bij het Koninklijke besluit van 26 april 1999 (Belgische staatsblad van 19 juni 1999),
bij het Koninklijke besluit van 11 oktober 2000(Belgische staatsblad van 22 december 2001) en
bij het Koninklijke besluit van 26 mei 2002( Belgische staatsblad van 3 juli 2002).
Het OCMW maakt geen gebruik van de beroepskaart
4. Minimale Normen
4.2. Veiligheidsorganisatie
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.2.1.7. Over procedures beschikken met het oog op de communicatie van
informatie aan de veiligheidsconsulent zodanig dat hij over de gegevens
beschikt voor de uitvoering van de hem toegewezen veiligheidsopdracht.
Bijlage :
Communicatie procedure 1 veiligheidsconsulent
Datum : …../…../…….
Status : OK NOK
4. Minimale Normen
4.2. Veiligheidsorganisatie
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.2.1.8. Over procedure beschikken met als doelstelling om overleg te organiseren
tussen de verschillende betrokken partijen(*) ten einde op deze manier de
veiligheidsconsulenten nauwer te betrekken bij de werkzaamheden van de instelling
(*) De partijen waar in deze norm wordt naar verwezen zijn voornamelijk de leden van de
informaticadienst, de preventieadviseur, de veiligheidsconsulent en de diensten die de
gegevens beheren.
Bijlage :
Communicatie procedure 2 veiligheidsconsulent
Datum : …../…../…….
Status : OK NOK
4. Minimale Normen
4.2. Veiligheidsorganisatie
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.2.1.9. Elke beheerinstelling van een secundair netwerk is er toe gehouden om ten minste één keer
per semester een vergadering van de subwerkgroep “informatieveiligheid” te organiseren
voor de instellingen die deel uitmaken van haar netwerk.
Het OCMW wacht het initiatief af van de verantwoordelijke
beheersinstelling POD MI
1.
2.
3.
Maandelijks overleg tussen veiligheidsconsulenten van volgende organisaties:
1.
VVSG
Chris Boens
2.
Welzijnszorg Kempen
Kris van de water
3.
Welzijnszorg Meetjesland
Sandra Claes
4.
Welzijnskoepel West Brabant
Yvan Gielens
Drie maandelijks overleg tussen veiligheidsconsulent en de systeembeheerders van de OCMW’S
De veiligheidsconsulent is lid van V.I.C.T.O.R
Vlaamse ICT organisatie Aarlenstraat 53/4 1040 Brussel.
4. Minimale Normen
4.3.Fysieke beveiliging en beveiliging van de omgeving
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.3.1. De toegang tot de gebouwen en lokalen beperken tot de geautoriseerde
personen en een controle erop verrichten zowel tijden als buiten de werkuren
1.
2.
De elementen die betrekking hebben op de toegangscontrole werden geinventariseerd in het
individueel veiligheidsplan en adviezen werden opgesteld.
Eventueel Raadsbeslissing goedkeuring veiligheidsplan
Bijlage :
Het sleutelplan / badges identificatielijst
Datum : …../…../…….
Status : OK NOK
4. Minimale Normen
4.3.Fysieke beveiliging en beveiliging van de omgeving
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.3.2. Maatregelen treffen m.b.t. de preventie, de bescherming, interventie ingeval
van brand, inbraak of waterschade.
Controle door de veiligheidsconsulent door middel van een rondgang.
Een vragenlijst zal jaarlijks ingevuld worden met betrekking tot brand en inbraak.
Deze zal opgestuurd worden naar de instelling.
Daarna in samenwerking met de veiligheidsconsulent zullen de af tewerken punten worden
besproken en afgewerkt.
Bijlage :
Checklist brand & Inbraak
Datum : …../…../…….
Status : OK NOK
4. Minimale Normen
4.3.Fysieke beveiliging en beveiliging van de omgeving
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.3.3. Over een alternatieve stroomvoorziening beschikken waardoor de
informaticaverwerkingen zonder risico kunnen worden afgesloten.
(Voor de instellingen die een secundair netwerk beheren en/of die gegevens
leveren in het kader van de sociale zekerheid)
Bijlage :
Controle UPS
Datum : …../…../…….
Status : OK NOK
4. Minimale Normen
4.4. Logische toegangsbeveiliging
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.4.1. De toegang tot de gegevens (*) nodig voor de toepassing en de uitvoering van de
sociale zekerheid beveiligen door middel van een identificatie, authentificatie
en autorisatiesysteem.
(*) In deze norm wordt onder de term “gegevens” niet enkele de sociale persoonsgegevens verstaan
maar alle logische elementen van een informatiesysteem die voor de verwerknig ervan instaan.
Vb: programma’s, toepassingen, bestanden, systeemutilities en andere elementen van het besturingssysteem.
Bijlagen:
1.
Akkoordverklaringen OCMW netwerk gebruikers(vd KSZ)
2.
Wachtwoord beleid
3.
PC beleid
4.
Serverruimte beleid
Beschrijving procedure:
Bij personeelswissel documenten ter goedkeuring laten
ondertekenen.
4. Minimale Normen
4.4. Logische toegangsbeveiliging
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.4.2. Een systeem van regelmatig te controleren veiligheidskopieën invoeren om, ingeval van beperkte
of totale ramp, elk onherstelbaar verlies van gegevens te voorkomen (gegevens nodig voor de
toepassing en de uitvoering van de sociale zekerheid alsook de gegevens m.b.t. de toepassingen en
het besturingssysteem.
Er is een betrouwbaar back-up systeem.
Bijlage :
Controle BACK-UP
Datum : …../…../…….
Status : OK NOK
4. Minimale Normen
4.4. Logische toegangsbeveiliging
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.4.3. Een loggingsysteem implementeren voor de persoonsgegevens nodig voor de
toepassing en uitvoering van de sociale zekerheid.
Er is een logging systeem op de UNIX en LINUX server.
De softwareleverancier levert de procedure om deze te onderhouden,na te kijken en op te kuisen.
Bijlagen:
1.
De controle op de logging wordt toegevoegd
4. Minimale Normen
4.4. Logische toegangsbeveiliging
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.4.4. Een systeem en formele, geactualiseerde procedures installeren die toelaten om
veiligheidsinbreuken te decteren, op te volgen en te herstellen.
Deze norm is niet haalbaar voor het OCMW;
Om toch enigzins tegemoet te komen aan deze norm, zal er onderzocht worden of een eenvoudig
veiligheidsinbreuk detectiesysteem kan geïnstalleerd worden;
De logging in Windows NT wordt standaard bijgehouden.
Er zijn echter geen procedures voorzien omtrent het controleren van deze loggings, zodat het
detecteren en opvolgen van eventuele veiligheidsinbreuken eerder bij toeval zal gebeuren of
nadat er zich enige opvallende onregelmatigheden hebben voorgedaan.
4. Minimale Normen
4.4. Logische toegangsbeveiliging
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.4.5. Wanneer de instelling in de zone “USERID” van het prefixgedeelte van een
bericht aan de kruispuntbank, het programmanummer overneemt dat aan de
basis ligt van het bericht dat ze naar de kruispuntbank stuurt hoewel een
natuurlijke persoon aan de oorsprong van het bericht ligt, kan de
kruispuntbank, a posteriori, het programmanummer terugvinden. De
kruispuntbank kent echter de identiteit niet van de natuurlijke persoon die het
bericht verstuurde. In dat geval moet de instelling van sociale zekerheid dus
zelf de relatie leggen tussen het programmanummer dat ze overneemt in het
prefix gedeelte van het bericht dat zij naar de kruispuntbank stuurt en de
identiteit van de natuurlijke persoon die het bericht verstuurt.
Dit gedeelte wordt verzorgd door de software van
1.
De KSZ indien er met de WEB site applicatie wordt gewerkt.
2.
De SW leverancier ( logins / Schaubroeck) indien er met de APPC applicatie wordt
gewerkt.
Er is dus voldaan aan deze norm.
Datum : …../…../…….
Status : OK NOK
4. Minimale Normen
4.5. Ontwikkeling, productie en onderhoud van toepassingen.
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.5.1. Over formele en geactualiseerde procedures beschikken voor het in productie
stellen van nieuwe toepassingen en het aanpassen van bestaande toepassingen
ten einde te voorkomen dat één enkele persoon alleen de controle zou
verwerven over dit proces.
Dit gedeelte wordt volledig verzorgd door de SW leverancier.
Datum : …../…../…….
Status : OK NOK
4. Minimale Normen
4.5. Ontwikkeling, productie en onderhoud van toepassingen.
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.5.2. Over formele en geactualiseerde procedures beschikken voor de uitwerking van
documentatie bij de ontwikkeling van nieuwe en het onderhoud van bestaane
toepassingen en systemen(*)
Dit gedeelte wordt volledig verzorgd door de SW leverancier.
Datum : …../…../…….
Status : OK NOK
(*) Met de term “systeem” wordt in deze norm de logische elementen bedoeld deel uitmakend van
een informatiesysteem. Hoewel bestanden, toepassingen en zo meer (zie (* )4.4.1.) onder deze definitie
vallen, betreft het in deze context eerder componenten op “systeemniveau”. Toegepast op een IBM
mainframeomgeving kunnen de volgende voorbeelden ter verduidelijking worden aangereikt: CICS,
DB2, RACF, VTAM, OPC, TSO, SMS, JES2 bestanden met systeemparameters, een schematische
voorstelling van de logische opbouw van het informatiesysteem.
4. Minimale Normen
4.6. Netwerkbeveiliging.
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.6.1. De toegang tot de informaticasystemen beperken tot geïdentificeerde,
geauthendificeerde en geautoriseerde personen / objecten (*)
Er is een identificatie procedure die werkt met gebruikersnaam & wachtwoord.
Bijlage :
Zie veiligheidsnorm 4.4.1.
Datum : …../…../…….
Status : OK NOK
(*) “Informaticasystemen” moet begrepen worden als de fysische computerapparatuur gebruikt voor
de gegevensverwerking. In tegenstelling tot het begrip “informatiesysteem” dat zowel door fysische
als door logische gegevensverwerkende elemenen wordt genoemd.
4. Minimale Normen
4.6. Netwerkbeveiliging.
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.6.2. Een systeem en formele, geactualiseerde procedures installeren die toelaten om
veiligheidsinbreuken te detecteren, op te volgen en te herstellen.
Deze norm is niet haalbaar voor het OCMW om toch enigzins tegemoet te komen aan deze norm, zal
er onderzocht worden of een eenvoudig veiligheidsinbreukdetectiesysteem op netwerkniveau kan
geïnstalleerd worden.
Datum : …../…../…….
Status : OK NOK
4. Minimale Normen
4.6. Netwerkbeveiliging.
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.6.3. De sociale zekerheidsinstellingen van het primaire net moeten voor hun aan de
sociale zekerheid externe TCP/IP verbindingen gebruik maken van het
extranet van de sociale zekerheid(*). Voor iedere afwijking op deze maatregel
moet een gemotiveerde aanvraag bij het toezichtscomité worden ingediend.
Deze norm is niet van toepassing daar het OCMW een instelling is van het secundaire netwerk.
Datum : …../…../…….
Status : OK NOK
(*) Deze maatregel vervalt indien de betrokken instelling voor haar aan de sociale zekerheid externe
TCP/IP verbindingen gebruik maakt van een computerconfiguratie die niet gebruikt wordt voor de
verwerking van sociale persoonsgegevens of die in generlei mate verbonden is met de informatiesystemen
aangewend voor de verwerking van sociale persoonsgegevens.
4. Minimale Normen
4.6. Netwerkbeveiliging.
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.6.4. De sociale zekerheidsinstellingen van het secundaire net kunnen voor hun aan
de sociale zekerheid externe TCP/IP verbindingen gebruik maken van het
extranet van de sociale zekerheid. Voor de rechtstreekse verbindingen met hun
aan de sociale zekerheid externe TCP/IP netwerken moeten:
•
De betrokken secundaire netwerkinstellingen veiligheismaatregelen
implementeren die in overeenstemming zijn en blijven met de
maatregelen getroffen op het niveau van het extranet van de sociale
zekerheid.
•
De desbetreffende beheerinstellingen veiligheidsvoorzieningen treffen
die in overeenstemming zijn en blijven met de getroffen voorzieningen
op het niveau van het extranet van de sociale zekerheid.
Aan deze norm is voldaan daar het OCMW …………….
Datum : …../…../…….
Status : OK NOK
4. Minimale Normen
4.7. Continuiteitsplan.
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet aan de hand
van een gezamelijke methodiek, aanvaard door de werkgroep “informatieveiligheid” of elke
andere methodologie die rekening houdt met de hierin beschreven principes:
4.7.1. Een risicoanalyse uitvoeren ten einde de werking van een continuiteitsplan
mogelijk te maken.
Datum : …../…../…….
Status : OK NOK
4. Minimale Normen
4.7. Continuiteitsplan.
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet aan de hand
van een gezamelijke methodiek, aanvaard door de werkgroep “informatieveiligheid” of elke
andere methodologie die rekening houdt met de hierin beschreven principes:
4.7.2. Een continuiteitsplan uitwerken, testen en onderhouden teneinde de
opdrachten inzake socialezekerheid van de instelling te kunnen waarborgen.
Tevens moet zij in een informatica- uitwijkcentrum voorzien ingeval van
beperkte of totale ramp.
Ook deze norm is moeilijk haalbaar voor een (zeker klein) OCMW. Toch wordt in de mate van het
mogelijke , een minimaal continuiteitsplan uitgewerkt en /of contact opgenomen met de gemeente om
te kijken of dit in haar rampenplan kan opgenomen worden.
Bijlage :
Continuiteitsplan
Datum : …../…../…….
Status : OK NOK
4. Minimale Normen
4.8. Inventaris.
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.8.1. Over een permanent bijgewerkte inventaris beschikken van het:
1.
Hardware lijst
in KSZ map
2.
Personeelslijst
in KSZ map
3.
Gebruikers netwerk
in KSZ map
4.
Gebruikers inbraakalarm
in KSZ map
5.
Gebruikers & toepassingen
in KSZ map
6.
Netwerkschema
in KSZ map
7.
Softwarelijst wordt via winaudit uitgevoerd en opgeslagen per pc op
CDROM / DVD in pdf formaat.
Aan deze norm is voldaan door het OCMW
maar wordt 1 a 2 maal per jaar gecontroleerd en aangepast.
Bijlage: Alle bovenstaande lijsten zijn hierna bijgevoegd.
Winaudit is een gratis tool dat een pc volledig analyseerd en het resultaat ervan weergeeft.
Dit resultaat kan per pc wordne opgeslagen in verschillende bestandsformaten.
Het OCMW gebruikt het bekende PDF formaat.
4. Minimale Normen
4.9. Bescherming tegen virusinfecties.
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.9.1. Over een gebruikershandleiding beschikken m.b.t. het voorkomen van
virusbesmetting, het gebruik van de geïnstalleerde anti-virussoftware en de te
treffen acties ingeval van virusinfectie.
Aan deze norm is voldaan door het OCMW
Bijlage: Een handleiding van:
Het gebruik (de software) is terug te vinden via de helpfunctie.
Het voorkomen is terug te vinden in de KSZ map
Te treffen actie bij infecties is terug te vinden in de KSZ map
4. Minimale Normen
4.9. Bescherming tegen virusinfecties.
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:
4.9.2. Een geactualiseerde antivirussoftware installeren teneinde virusinfecties te
voorkomen, te decteren en te corrigeren.
Aan deze norm is voldaan door het OCMW
Bijlage:
Anti-Viruspakket:
Anti-Virusupdates:
Anti-Virusdownload:
Verantwoordelijke:
Controle of nazicht door
4. Minimale Normen
4.10. Audit.
Elke sociale zekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet
4.10.1. Tenminste één keer om de vier jaar een audit(*) organiseren met
betrekking tot de situatie van de logische en fysieke veiligheid :
Aan deze norm is voldaan door het OCMW
De aandachtpunten die tijdens de audit naar boven komen, worden door de instelling gesignaleerd
aan de werkgroep “informatieveiligheid”.
Bovendien zal een samenvatting van de audit overgemaakt worden aan het toezichtscomité.
Na verloop van 6 maanden zal een evaluatierapport meegedeeld worden aan het toezichtscomité
waarin een overzicht gegeven wordt van de ondertussen getroffen maatregelen. De originele
rapporten zullen beschikbaar moeten blijven voor het toezichtscomité zodat het deze kan raadplegen
in geval van een icident achteraf.
Bijlage: Er wordt afgewacht op antwoord van de KSZ/toezichtscomité of
de veilighedisconsulenten uit overkoepelende organisaties
(Welzijnskoepel West-Brabant, Welzijnszorg Kempen…) dit bij
elkaar mogen uitvoeren.
(*) Het betreft een audit waarbij het initiatief en de hieraan verbonden financiële inspanningen
uitgaan van de instelling zelf. De audit hoeft niet allesomvattend te zijn
5. Opleiding & Technische informatie
6. Lijst additionele documenten
6.1. Raadsbeslissingen i.v.m. veiligheid
6.2. Internet & Email reglement
6.3. Historiek Helpdesk SW-leverancier (Faxen met vraag en antwoord)
6.4. Historiek van de voornaamste veiligheidsevenementen (inbreuken/troubleshooting) en
logboek.
6.5. Briefwisseling en e-mails KSZ.
6.6. Briefwisseling en e-mails MvM.
6.7. Briefwisseling en e-mails SW-leverancier.
6.8. Briefwisseling en e-mails Toezichtcomité.
6. Additionele documenten
6.1. Raadsbeslissingen
6. Additionele documenten
6.2. Internet & Email gebruik
De toegang tot het internet en de elektronische mail mag, in principe, enkel voor professionele doeleinden worden
gebruikt. Het bestuur staat uitzonderlijk het gebruik voor privé-doeleinden toe op voorwaarde dat dit gebruik de goede
werking en de belangen van het bestuur niet schaadt en mits aan de volgende voorwaarden wordt voldaan:
- Het personeelslid mag de toegang tot het internet voor privé-doeleinden enkel tijdens de pauzetijd gebruiken;
- Het personeelslid is verplicht om bij het gebruik van de elektronische mail in voorkomend geval het privé-karakter van
de boodschap aan te geven en elke verwijzing naar het bestuur te verwijderen.
(vb. de automatische handtekening).
De gebruiker dient zijn mailbox regelmatig te consulteren.
Met betrekking tot de officiële briefwisseling vanuit het bestuur, blijven de vigerende wetgevingen hieromtrent
primeren, waardoor in bepaalde gevallen de correspondentie via email geen wettelijke basis heeft of zelfs
verboden is.
- Onderaan het mailbericht dienen verplicht voor elke gebruiker volgende zaken opgenomen te worden:
volledige naam / functie / individuele telefonische en postbereikbaarheid van de verzender.
-de volgende tekst staat verplicht onderaan het mailbericht:
"De inhoud van deze email en zijn bijlage(n) zijn vertrouwelijk en uitsluitend bestemd voor de geadresseerde(n).
Gelieve de systeembeheerder te contacteren indien U deze email verkeerdelijk zou ontvangen hebben.
Deze voetnoot bevestigt dat deze mail gecontroleerd werd op de aanwezigheid van virussen".
Het is verboden om:
1. Email te zenden, gebruikmakende van een vals of van andermans elektronisch adres;
2. Vertrouwelijke gegevens aangaande het bestuur, personeelsleden of derden te verspreiden (beroepsgeheim);
3. Elektronische boodschappen te versturen die de waardigheid van anderen kunnen schaden of waarvan de inhoud
indruist tegen de goede zeden;
4. Deel te nemen aan elektronische kettingbrieven die het informaticanetwerk van de organisatie verstoren en
ontregelen.
5. websites te raadplegen met een pornografisch of pedofiel karakter of sites die aanzetten tot discriminatie wegens ras,
etnische afkomst, godsdienst, enz…
6. Gebruikers dienen er zich van bewust te zijn dat de gebruikte protocols / programma’s en instellingen op het Internet
geen ingebouwde technieken bevatten die de vertrouwelijkheid van de berichten waarborgen.
7. Email wordt niet gebruikt voor het verzenden van grote bestanden (>10Mbyte).
8. Als je zelf mails ontvangt met grote bestanden, bv. foto’s, films, MP3, moppen,… moet je deze onmiddellijk
Verwijderen en niet opslaan op de server. Dit om overbelasting te voorkomen.
9. Open nooit een verdacht bericht van een onbekende afzender. Verwijder het uit je Postvak In & Verwijderde Items.
10. De systeembeheerder kan in samenwerking met de veiligheidsconsulent periodiek controle doen op het naleven
van de internet en email richtlijnen. Bij deze zullen internetadressen gecontroleerd worden en het aantal maal dat zij
Bezocht werden en in hoe zwaar zij zijn voor het dataverkeer op het netwerk. (Er zal in het plaatselijk infoblad van het
OCMW een lijst verschijnen met de top 10 van de meest bezochte sites.)
Er zal door de veiligheidsconsulent strikt worden toegekeken op de naleving en respecteren van de privacy van
personeel en cliënteel.
11. Voor de controle op het e-mailverkeer zal er controle zijn op de grote van de mails en welke soort bijlagen er worden
ontvangen en verzonden. De inhoud zal enkel gecontroleerd worden indien er een speciaal onderzoek wordt ingesteld
naar misbruiken van gegevens en mail. Dit kan enkel nadat de betrokkene in kennis is gesteld dat er zulk onderzoek zal
gaan gebeuren.
12. Systeembeheerder en veiligheidsconsulent zijn gebonden aan de geheimhoudingsplicht.
6. Additionele documenten
6.3. Historiek Helpdesk SW leverancier
6. Additionele documenten
6.4. Historiek veiligheidsevenementen
6. Additionele documenten
6.5. Briefwisseling & emails KSZ
6. Additionele documenten
6.6. Briefwisseling & emails MvM
6. Additionele documenten
6.7. Briefwisseling & emails SW leverancier
6. Additionele documenten
6.8. Briefwisseling & emails Toezichtscomité
Download