De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Minimale Normen Versie 2009

GepubliceerdAlbert Bosmans Laatst gewijzigd meer dan 9 jaar geleden

Verwante presentaties

Presentatie over: "Minimale Normen Versie 2009"— Transcript van de presentatie:

1 Minimale Normen Versie 2009
OCMW: …………….. Minimale Normen Versie 2009 ISMS (Information Security Management System)

2 1. Voor Beschouwing Het document “Richtlijnen inzake veiligheid op het niveau van de instellingen die deel uitmaken van het netwerk dat wordt beheerd door de Kruispuntbank van de Sociale Zekerheid” legt de door iedere instelling na te streven veiligheidsdoeleinden vast. De in dit document beschreven minimale veiligheidsnormen daarentegen zijn door de socialezekerheidsinstellingen verplicht na te leven indien zij een toegang willen bekomen en behouden tot het netwerk van de Kruispuntbank. De normen hebben dus een bindende waarde. De controle op de naleving ervan geschiedt door het invullen van een vragenlijst die via de Kruispuntbank ter evaluatie aan het sectoraal comité van de sociale zekerheid en van de gezondheid wordt overgemaakt. Het behoort tot de verantwoordelijkheid van de instelling de vragenlijst correct in te vullen en over de naleving van de normen te waken. Het sectoraal comité van de sociale zekerheid en van de gezondheid kan desgevallend controles ter plaatse (laten) uitvoeren teneinde op het terrein te peilen naar de naleving van de minimale veiligheidsnormen door de socialezekerheidsinstellingen. Sommige instellingen zijn gehuisvest in verschillende gebouwen of beschikken over (kleine) regionale bureaus. Ook daar moeten de minimale veiligheidsnormen nageleefd worden, in het bijzonder op het vlak van de fysieke beveiliging (toegangsbeveiliging, brandveiligheid, ...).

3 2. Toepassingsgebied en interpretatie
2.1 Toepassingsgebied van de normen De hierna toegelichte minimale veiligheidsnormen gelden voor de instellingen van sociale zekerheid, zoals vermeld in artikel 2, eerste lid, 2° van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid 1. De implementatie en de verificatie van de minimale veiligheidsnormen bij derden die voor rekening van een socialezekerheidsinstelling sociale gegevens van persoonlijke aard verwerken 2 behoren in eerste instantie tot de verantwoordelijkheid van de instelling die aan de derde werkzaamheden toevertrouwt. Op basis van de vragenlijsten die door de instellingen ingevuld teruggestuurd worden, kan het sectoraal comité van de sociale zekerheid en van de gezondheid in deze instellingen controles laten uitvoeren door een externe instantie met betrekking tot de naleving van specifieke aspecten van de minimale veiligheidsnormen. Verder zijn de normen in beginsel enkel van kracht op de verwerking van sociale gegevens van persoonlijke aard. De minimale normen moeten echter ook worden toegepast in het kader van beraadslaging nr. 21/2004 van 12 juli 2004, waarbij een aantal instellingen van sociale zekerheid door de Commissie voor de Bescherming van de Persoonlijke Levenssfeer werden gemachtigd om onder bepaalde voorwaarden toegang te hebben tot het Rijksregister en om het identificatienummer van het Rijksregister te gebruiken voor het verrichten van hun taken inzake personeelsbeheer. Tot slot dient er te worden opgemerkt dat deze minimumnormen voor herziening vatbaar zijn. Ze zullen aldus worden aangepast in functie van de evolutie die zich op wettelijk, technisch of ander vlak voordoet. Om deze doelstelling te realiseren, zal de werkgroep “Informatieveiligheid” van het Algemeen Coördinatiecomité regelmatig de minimale veiligheidsnormen evalueren en eventueel bijwerken. Indien sommige minimumnormen aangepast moeten worden of minimumnormen toegevoegd moeten worden, zal de werkgroep “Informatieveiligheid” een voorstel voorleggen. De instellingen die tot het netwerk van de Kruispuntbank wensen toe te treden, moeten over een geactualiseerd meerjarenplan beschikken waarin de maatregelen worden vermeld om aan de normen te voldoen. Het sectoraal comité van de sociale zekerheid en van de gezondheid kan hiervan een kopie opvragen. 2.2 Interpretatie van de normen De sociale instellingen dragen de verantwoordelijkheid om, in functie van hun specifieke situatie en al naargelang de belangrijkheid van de te beveiligen werkingsmiddelen, de meest aangewezen beveiligingsmaatregelen te implementeren.

4 4. Minimale normen – structuur ISO 27002:2007
3. Beoogde doelstelling De minimale veiligheidsnormen beogen: • de naleving van de toepasselijke wettelijke en reglementaire verplichtingen, voorzien in de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid en haar uitvoeringsbesluiten (onder meer het koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid) – de gecoördineerde teksten van deze uitvoeringsbesluiten zijn beschikbaar op de website van de Kruispuntbank van de Sociale Zekerheid. • de machtiging van de socialezekerheidsinstelling of meewerkende instelling tot deelname aan het netwerk van de Kruispuntbank. 4. Minimale normen – structuur ISO 27002:2007 In de volgende paragrafen worden de minimumnormen gedefinieerd volgens de structuur en de nummering van de ISO norm.

5 5. Beleid voor informatieveiligheid
Onderwerp Minimumnorm Status Info 5.1 Information Security Policy 3. Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: • over een formeel, geactualiseerd en door de Directie goedgekeurd beleid voor informatieveiligheid beschikken. 3 Deze Information Security Policy (ISP) kadert in een beheerssysteem voor informatieveiligheid: de werkgroep “Informatieveiligheid” heeft het initiatief genomen voor de ontwikkeling van een ISMS (Information Security Management System) gebaseerd op de ISO norm, teneinde tegemoet te komen aan een behoefte van de instellingen van het netwerk om over een gestructureerd en gemeenschappelijk veiligheidsbeleid te beschikken. Het ISMS is een geïntegreerd systeem dat moet toelaten een optimale beveiliging van de informatie te bereiken. De concrete maatregelen om een optimale informatieveiligheid te bereiken zijn “beleidsmaatregelen” of “controles”. ISMS wordt beschouwd als de gemeenschappelijke methodologie die door de instellingen van het netwerk toegepast moet worden om tot een optimale informatieveiligheid te komen. Het is de verantwoordelijkheid van de instellingen van sociale zekerheid om het ISMS aan te passen aan hun specifieke situatie en aan de omvang van de te beveiligen werkingsmiddelen. Voor wat de implementatie ervan betreft, dient de informatieveiligheidsconsulent van iedere instelling een beslissing van zijn hiërarchie te verkrijgen. Het gemeenschappelijk ISMS werd als volgt goedgekeurd door het Algemeen Coördinatiecomité: “Het betreft een basisdocument voor intern gebruik door de instellingen. Het ISMS, dat gebaseerd is op de ISO norm, bevat de na te leven krachtlijnen. Tussen de veiligheidsconsulent en het leidend personeel dient een permanent overleg georganiseerd te worden.”

6 6. Organisatie van de informatieveiligheid
Onderwerp Minimumnorm Status Info 6.1 Organisatie veiligheid Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: • In haar schoot een informatieveiligheidsdienst inrichten die wordt geleid door een veiligheidsconsulent, of die taak toevertrouwen aan een erkende gespecialiseerde informatieveiligheidsdienst. De informatieveiligheidsdienst heeft een adviserende, stimulerende, documenterende en controlerende opdracht (in de zin van het KB van 1993). Met het oog op de veiligheid van de sociale gegevens die door zijn instelling worden verwerkt en met het oog op de bescherming van de persoonlijke levenssfeer van de personen op wie deze sociale gegevens betrekking hebben, staat de veiligheidsconsulent in voor: 1° het verstrekken van deskundige adviezen aan de persoon belast met het dagelijks bestuur; 2° het uitvoeren van opdrachten die hem door de persoon belast met het dagelijks bestuur worden toevertrouwd. • De identiteit van haar veiligheidsconsulent en zijn eventuele adjuncten meedelen aan het sectoraal comité van de sociale zekerheid en van de gezondheid. Voor de instellingen van het secundaire netwerk moet de identiteit meegedeeld worden aan de beheersinstelling. • In het bezit zijn van een veiligheidsplan dat door de verantwoordelijke instantie van de betrokken instelling werd goedgekeurd. 4 De partijen waar in deze norm naar wordt verwezen zijn voornamelijk de leden van de informaticadienst (ontwikkeling en productie), de preventie-adviseur, de veiligheidsconsulent en de diensten die de gegevens beheren.

7 6. Organisatie van de informatieveiligheid
Onderwerp Minimumnorm Status Info 6.1 Organisatie veiligheid Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: • Over de nodige werkingskredieten beschikken die door de verantwoordelijke instantie van de betrokken instelling werden goedgekeurd, teneinde te kunnen voorzien in de uitvoering van haar veiligheidsplan en de uitvoering door de veiligheidsdienst van de haar opgedragen taken. • Aan de Kruispuntbank het aantal uren meedelen dat ze officieel aan de veiligheidsconsulent en aan zijn eventuele adjuncten heeft toegekend voor de uitvoering van hun taken. • De communicatie van informatie aan de veiligheidsconsulent zodanig organiseren dat hij over de gegevens beschikt voor de uitvoering van de hem toegewezen veiligheidsopdracht en om overleg te organiseren tussen de verschillende betrokken partijen4 teneinde op deze manier de veiligheidsconsulent nauwer te betrekken bij de werkzaamheden van de instelling. 4 De partijen waar in deze norm naar wordt verwezen zijn voornamelijk de leden van de informaticadienst (ontwikkeling en productie), de preventie-adviseur, de veiligheidsconsulent en de diensten die de gegevens beheren.

8 6. Organisatie van de informatieveiligheid
Onderwerp Minimumnorm Status Info 6.2 Beslissingsplatform5 Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: • beschikken over een beslissingsplatform voor de validatie en de goedkeuring van de veiligheidsmaatregelen. 6.3 Secundair netwerk Elke beheersinstelling van een secundair netwerk is ertoe gehouden om minstens één keer per semester relevante informatie uit te wisselen met haar secundair netwerk, bijvoorbeeld door een vergadering van de subwerkgroep "Informatieveiligheid" te organiseren voor de instellingen die deel uitmaken van haar netwerk. NVT 6.4 Veilig gebruik van de beroepskaart voor geneeskundige verzorging De betrokken veiligheidsconsulenten waken, binnen de eigen instelling, over het veilige gebruik van de beroepskaart voor geneeskundige verzorging zoals vastgelegd in de artikelen 42 tot en met 50 van het koninklijk besluit van 22 februari 5 Het beslissingsplatform zorgt voor de sturing van het veiligheidsbeleid: herziening van het beleid, bijstelling van de beveiligingsmaatregelen, opstelling van beveiligingsplannen, de vaststelling van verantwoordelijkheden en het toezicht op veranderende bedreigingen en incidenten. 6 Koninklijk besluit van 22 februari 1998 houdende uitvoeringsmaatregelen inzake de sociale identiteitskaart (gepubliceerd in het Belgisch Staatsblad van 13 maart 1998); gewijzigd bij het koninklijk besluit van 8 december 1998 (Belgisch Staatsblad van 24 december 1998), bij het koninklijk besluit van 26 april 1999 (Belgisch Staatsblad van 19 juni 1999), bij het koninklijk besluit van 11 december 2000 (Belgisch Staatsblad van 21 december 2001) en bij het koninklijk besluit van 26 mei 2002 (Belgisch Staatsblad van 3 juli 2002).

9 7. Beheer van bedrijfsmiddelen
Onderwerp Minimumnorm Status Info 7.1 Bescherming van de bedrijfsmiddelen Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:: • zich ervan vergewissen dat de dragers van de persoonsgegevens en de informaticasystemen die deze gegevens verwerken in geïdentificeerde en beveiligde lokalen geplaatst worden, overeenkomstig hun indeling. Deze lokalen zijn enkel toegankelijk voor de gemachtigde personen en enkel tijdens de uren die voor hun functie gerechtvaardigd zijn. 7.2 Inventaris Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: • over een permanent bijgewerkte inventaris beschikken van het informaticamateriaal en de software.

10 8. Medewerkers-gerelateerde veiligheid
Onderwerp Minimumnorm Status Info 8.1 Internet en Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: • een gedragscode opstellen en toepassen voor internet- en gebruik. 8.2 Omgang met persoonsgegevens • de interne en externe medewerkers die betrokken zijn bij de verwerking van persoonsgegevens op de hoogte stellen van de vertrouwelijkheids- en veiligheidsplichten t.a.v. deze gegevens.

11 9. Fysieke beveiliging en beveiliging van de omgeving
Onderwerp Minimumnorm Status Info 9.1 Fysieke toegangsbeveiliging Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: • de toegang tot de gebouwen en lokalen beperken tot de geautoriseerde personen en een controle erop verrichten zowel tijdens als buiten de werkuren. 9.2 Brand, inbraak, water • maatregelen treffen m.b.t. de preventie, de bescherming, de detectie, het blussen en de interventie in geval van brand, inbraak of waterschade. 9.3 Stroomvoorziening • over een alternatieve stroomvoorziening beschikken om de verwachte dienstverlening te waarborgen.

12 10. Operationeel beheer Onderwerp Minimumnorm Status Info 10.1
Toegang tot informaticasystemen door informatiebeheerders7 Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: • de toegang van informatiebeheerders tot informaticasystemen beperken door identificatie, authentificatie, en autorisatie. 10.2 Detectie veiligheidsinbreuken • een systeem en formele, geactualiseerde procedures installeren die toelaten om veiligheidsinbreuken te detecteren, op te volgen en te herstellen in verhouding tot het technisch/operationeel risico. Windows Audit via Groups Policy 10.3 Externe TCP/IP verbinding – primair netwerk De socialezekerheidsinstellingen van het primaire net moeten: • voor hun aan de sociale zekerheid externe TCP/IP-verbindingen gebruik maken van het Extranet van de sociale zekerheid8. Voor iedere afwijking op deze maatregel moet een gemotiveerde aanvraag via de veiligheidsdienst van de KSZ worden ingediend . 10.4 Externe TCP/IP verbinding – secundair netwerk De socialezekerheidsinstellingen van het secundaire netwerk kunnen voor hun aan de sociale zekerheid externe TCP/IP-verbindingen gebruik maken van het Extranet van de sociale zekerheid9. Voor de rechtstreekse verbindingen met hun aan de sociale zekerheid externe TCP/IP-netwerken moeten: • de betrokken secundaire netwerkinstellingen veiligheidsmaatregelen implementeren die in overeenstemming zijn en blijven met de maatregelen getroffen op het niveau van het Extranet van de sociale zekerheid; • de desbetreffende beheersinstellingen veiligheidsvoorzieningen treffen die in Overeenstemming zijn en blijven met de getroffen voorzieningen op het niveau van het Extranet van de sociale zekerheid. 7 De informatiebeheerder is eenieder die in het kader van zijn verantwoordelijkheden met betrekking tot een ICT-systeem over toegangsrechten beschikt die ruimer zijn dan het louter functionele gebruik van de gegevens. Het gaat onder meer om ontwikkelaars, systeembeheerders, gegevensbeheerders, software-ontwikkelaars en –beheerders, netwerkbeheerders, consultants en onderaannemers. 8 Deze maatregel vervalt indien de betrokken instelling voor haar aan de sociale zekerheid externe TCP/IP-verbindingen gebruik maakt van een computerconfiguratie die niet gebruikt wordt voor de verwerking van sociale gegevens van persoonlijke aard of die in generlei mate verbonden is met het (de) informatiesyste(e)m(en) aangewend voor de verwerking van sociale gegevens van persoonlijke aard. 9 Deze maatregel vervalt indien de betrokken instelling voor haar aan de sociale zekerheid externe TCP/IP-verbindingen gebruik maakt van een computerconfiguratie die niet gebruikt wordt voor de verwerking van sociale persoonsgegevens of die in generlei mate verbonden is met het (de) informatiesyste(e)m(en) aangewend voor de verwerking van sociale persoonsgegevens.

13 10. Operationeel beheer Onderwerp Minimumnorm Status Info 10.5
Bescherming tegen malware10. Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: • over geactualiseerde systemen beschikken ter bescherming (voorkoming, detectie en herstel) tegen malware. 10.6 Nagaan van veiligheidsvereisten voor in productiename • nazien dat, vooraleer nieuwe of belangrijke evoluties van bestaande systemen in productie genomen worden, de projectverantwoordelijke nagaat of aan de veiligheidsvereisten voldaan werd die aan het begin van de ontwikkelingsfase vastgesteld werden (zie deel “Ontwikkeling”). 10.7 Veiligheid op netwerkniveau • nazien dat de netwerken gepast beheerd en gecontroleerd worden zodanig dat ze beveiligd zijn tegen bedreigingen en de beveiliging afdoende garanderen van de systemen en toepassingen die het netwerk gebruiken. 10.8 Beheer van extranetfluxen • de lijst van de openstaande stromen op het extranet van de sociale zekerheid up-to-date houden. 10.9 Back-up policy en procedures • een systeem van regelmatig te controleren veiligheidskopieën (back-up) invoeren om, in geval van beperkte of totale ramp, onherstelbaar verlies van gegevens te voorkomen (gegevens nodig voor de toepassing en de uitvoering van de sociale zekerheid alsook de gegevens m.b.t. de toepassingen en het besturingssysteem). 10 Malware : vb. virus, worm, Trojaans paard, spam, spyware

14 10. Operationeel beheer Onderwerp Minimumnorm Status Info 10.10
Loggingtoegang Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: • een loggingsysteem implementeren voor de persoonsgegevens nodig voor de toepassing en uitvoering van de sociale zekerheid. OK Logging standaard in windows Logging standaard in Softwarepakket van leverancier 10.11 Zone “USERID” Wanneer de instelling in de zone “USERID” van het prefixgedeelte van een bericht aan de Kruispuntbank, het programmanummer overneemt dat aan de basis ligt van het bericht dat ze naar de Kruispuntbank stuurt alhoewel een natuurlijk persoon aan de oorsprong van het bericht ligt, kan de Kruispuntbank, a posteriori, het programmanummer terugvinden. De Kruispuntbank kent echter de identiteit niet van de natuurlijke persoon die het bericht verstuurde. In dat geval moet de instelling van sociale zekerheid dus zelf de relatie leggen tussen het programmanummer dat ze overneemt in het prefixgedeelte van het bericht dat zij naar de Kruispuntbank stuurt en de identiteit van de natuurlijke persoon die het bericht verstuurt. 10.12 Vermijden single point of control Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet over procedures beschikken: • voor het in productie stellen van nieuwe toepassingen en het aanpassen van bestaande toepassingen • teneinde te voorkomen dat een enkele persoon alleen de controle zou verwerven over dit proces.

15 11. Toegangsbeveiliging Onderwerp Minimumnorm Status Info 11.1
Beveiliging gegevens Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: • de toegang tot de gegevens11 nodig voor de toepassing en de uitvoering van de sociale zekerheid beveiligen door middel van een identificatie-, authentificatie- en autorisatiesysteem. 11.2 Toelatingen sectoraal comité • zich vergewissen van het bestaan van de noodzakelijke machtigingen van het sectoraal comité voor de toegang tot sociale gegevens van persoonlijke aard beheerd door een andere instelling. 11.3 Toegang op afstand • de gepaste maatregelen treffen, in functie van het toegangsmedium12, voor de beveiliging van de online-toegang van buiten de instelling tot de persoonsgegevens van de instelling. 11.4 Bescherming van gegevens op mobiele media 13 • de gepaste maatregelen nemen indien persoonsgegevens worden opgeslagen op mobiele media die de beveiligingsperimeter van de instelling kunnen verlaten. 11 In deze norm wordt onder de term “gegeven” niet enkel de sociale persoonsgegevens verstaan maar alle logische elementen van een informatiesysteem die voor de verwerking ervan instaan. Voorbeelden zijn: programma’s, toepassingen, bestanden, systeemutility’s en andere elementen van het besturingssysteem. 12 Toegangsmedium : vb. internet, gehuurde verbinding, privaat netwerk, draadloos. 13 Mobiele media: verwijderbaar flashgeheugen, draagbare harddisk, laptop, PDA, …

16 12. Ontwikkeling en onderhoud van systemen
Onderwerp Minimumnorm Status Info 12.1 Informatieveiligheid in het kader van projecten Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: • over procedures beschikken voor de ontwikkeling van nieuwe systemen of belangrijke evoluties van bestaande systemen zodat door de projectverantwoordelijke rekening wordt gehouden met de veiligheidsvereisten die in dit document beschreven worden. OK Via softwareleverancier 12.2 Documentatie • over procedures beschikken voor de uitwerking van documentatie bij de ontwikkeling van nieuwe en het onderhoud van bestaande toepassingen en systemen. 12.3 Gestructureerde ontwikkelingsaanpak • een gestructureerde aanpak gebruiken om de veilige ontwikkeling van systemen na te streven.

17 13. Beheer van incidenten in verband met informatieveiligheid
Onderwerp Minimumnorm Status Info 13.1 Belangrijke incidenten 14 Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: • ervoor zorgen dat de dienst Informatieveiligheid door de verantwoordelijke dienst op de hoogte gesteld wordt van belangrijke incidenten die de informatieveiligheid in het gedrang kunnen brengen alsook van de maatregelen die genomen worden om aan deze incidenten het hoofd te bieden. 14 Voorbeelden van belangrijke incidenten: brand, waterschade, malware-aanvallen, intrusiepogingen (fysiek of logisch), diefstal of verlies van draagbare computers, loggingonderbreking, …

18 14. Continuiteitsbeheer Onderwerp Minimumnorm Status Info 14.1
Risico-Analyse Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: • A - een continuïteitsplan uitwerken, testen en onderhouden. Dit continuïteitsplan moet gebaseerd zijn op een risico-analyse om de opdracht van de instelling in het kader van de sociale zekerheid te kunnen waarborgen. • B - een informatica uitwijkcentrum voorzien in geval van beperkte of totale ramp.

19 15. Naleving Onderwerp Minimumnorm Status Info 15.1 Externe audit 15
Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: • tenminste één keer om de vier jaar een externe audit organiseren met betrekking tot de situatie van de logische en fysieke veiligheid. 15 Het betreft een audit waarbij het initiatief en de hieraan verbonden financiële inspanningen uitgaan van de instelling zelf. De audit hoeft niet allesomvattend te zijn.

20 16. Handhaving, opvolging en herziening
Minimumnorm 16.1 De wijziging van de minimale normen geeft aanleiding tot • de voorlegging van het voorstel tot wijziging van de minimale veiligheidsnormen aan het Beheerscomité van de Kruispuntbank (goedgekeurd tijdens de vergadering van 27 november 2007); • de voorlegging van de gewijzigde vragenlijst aan het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid afdeling Sociale Zekerheid (goedgekeurd tijdens de vergadering van 4 september 2007); • het opsturen van de gewijzigde en goedgekeurde minimale veiligheidsnormen naar de verantwoordelijken voor het dagelijks bestuur van de instellingen van sociale zekerheid die hun beheerscomité ervan op de hoogte brengen; • de nieuw-toegevoegde minimale normen treden in werking één jaar na de goedkeuring door het Beheerscomité van de Kruispuntbank, in casu 1 januari 2009, het gaat over volgende minimale normen: o 6.2, 7.1, 8.1, 8.2, 10.1, 10.6, 10.7, 10.8, 11.2, 11.3, 11.4, 12.1, 12.3, 13.1 Jaarlijks zal een vragenlijst opgestuurd worden naar de sociale instellingen teneinde de naleving van de minimale veiligheidsnormen te evalueren. De onderwerpen van specifieke veiligheidsmaatregelen die goedgekeurd werden op het niveau van het Algemeen Coördinatiecomité en die nog niet opgenomen werden in een herziene versie van de minimale normen, zullen proactief opgenomen worden in de jaarlijkse vragenlijst.

21 17. Sanctie Minimumnorm 17.1 Indien het sectoraal comité van de sociale zekerheid en van de gezondheid vaststelt dat een socialezekerheidsinstelling tekortschiet wat de naleving van deze normen betreft, kan het comité de Kruispuntbank verzoeken om geen gevolg meer te verlenen aan de door die instelling verstuurde voorleggingen. Het spreekt echter vanzelf dat, alvorens die maatregel kan worden genomen, het sectoraal comité van de sociale zekerheid en van de gezondheid de persoon ondervraagt die belast is met het dagelijks bestuur van de betrokken instelling.

22 6.1.6 Communicatieprocedure Veiligheidsconsulent -OCMW
Doel: Deze communicatieprocedure is bedoeld voor beide partijen en is een 2 richtingsverkeer, opdat de veiligheidsconsulent over de nodige gegevens zou beschikken voor de uitvoering van de hem toegewezen veiligheidsopdracht. Overeenkomsten. Informatie, inlichtingen, uitnodigingen, afspraken en dagelijkse werkzaamheden worden verzonden via Frequentie bezoeken: Dit wordt overeengekomen met het OCMW ( zie kader bovenaan). Prioriteiten worden apart beschouwd en zullen niet meegerekend worden als bezoeken Bij een bezoek zal een verslag worden opgesteld door de veiligheidsconsulent. Verschillende vergaderingen zullen worden georganiseerd. Door de veiligheidsconsulent en de systeembeheerders van de verschillende OCMW’s 4X / J. Maandelijkse vergaderingen enkel met de verschillende veiligheidsconsulenten Met de POD MI In het OCMW is een veiligheidsmap(1) aanwezig die na de afspraak geraadpleegd en aangevuld kan worden door de veiligheidsconsulent. Deze map wordt achter slot bewaard(2) en omvat alle documenten(3) i.v.m. veiligheid (vnl. de KSZ ) of minimaal de referenties waar deze gevonden kunnen worden. Er hoeft geen dubbel bijgehouden te worden door de veiligheidsconsulent De ethische gedragscode van de veiligheidsconsulent zal als bijlage worden toegevoegd. (1) ook wel KSZ-veiligheidsmap of kortweg KSZ-map genoemd. (2) genaamd “de plaats van bewaring” . (3) elementen van het veiligheidsplan, procedures, rapporten, inventaris (laatste kopij max. 6 maand oud),documentatie enz. i.v.m. de veiligheidsnormen van de KSZ; deze lijst is niet exhaustief maar omvat minimaal alle elementen zoals opgegeven in de minimale veiligheidsnormen – Ref: V1/V1/ normen19.infoveiligheid Akkoord verklaring De plaats van bewaring …KSZ map of veiligheidsmap………………….… Contact persoon (sleutelbewaarder) …Systeembeheerder…………………………….… Opgemaakt te …….....……OP……..……… Voor akkoord, De Secretaris De Systeembeheerder De Veiligheidsconsulent

23 6.1.6 Communicatieprocedure Veiligheidsconsulent – OCMW - Preventieadviseur
Doel: Procedure met als doel overleg te organiseren tussen de verschillende betrokken partijen, teneinde op deze manier de veiligheidsconsulent nauwer te betrekken bij de werkzaamheden van de instelling. Overeenkomsten. Telkens de noodzaak zich voordoet zal het OCMW de verschillende betrokken partijen op de hoogte brengen, zodat er, indien nodig geacht door één van beide partijen , zo spoedig mogelijk een overleg kan worden georganiseerd tussen enerzijds de veiligheidsconsulent en anderzijds de preventieadviseur en / of de systeembeheerder.* Het OCMW zorgt steeds voor de uitwisseling van relevante documenten, aanbevelingen en/of opmerkingen omtrent alle veiligheidsaspecten tussen enerzijds de veiligheidsconsulent en anderzijds de preventieadviseur en/of systeembeheerder.* Jaarlijks doet de preventieadviseur samen met de arbeidsgeneesheer zijn rondgang in de gebouwen van het OCMW. Een meerwaarde kan zijn, de veiligheidsconsulent hierbij mee uitt te nodigen. (*) Naar gelang de aard en relevantie van het veiligheidsaspect. Bij besprekingen, maatregelen, of incidenten die de fysieke veiligheid aanbelangen zal respectievelijk aandacht worden besteed aan het overleg tussen veiligheidsconsulent en preventieadviseur. Bij aspecten omtrent de logische beveiliging zal dit overleg voornamelijk gebeuren tussen veiligheidsconsulent en de systeembeheerder van het OCMW.

24 7.2 Inventaris hardware & software
Toestel Aantal Omschrijving Server Computer Monitor Printer Flatbedscanner Router Telefooncentrale Kopieerapparaat Software Licentie LINUX OS / WINDOWS OS Windows XP Windows Vista Office 2003 Office 2007 Winsoc + NOB

25 7.2 Inventaris personeel Naam Functie Indienst Uitdienst Bezit Code
Alarm Inlognaam Wachtwoord (netwerk) (Toepassing) R

26 9.1 Ontvangst & terug sleutel
Deel I : Ontvangst sleutel(s) / badge Secretaris, Ik …………………………..…….. verklaar hierbij de sleutel(s) / badge te hebben overhandigd. Gebruiker, Ik ……………………………...…..verklaar hierbij de sleutel(s) / badge te hebben ontvangen. * Beide partijen hebben een kopij ontvangen. Handtekening Secretaris Handtekening Gebruiker Datum : ……/……/……..… Deel II : Teruggave sleutel(s) / badge Ik ……………………………….. verklaar hierbij de sleutel(s) / badge te hebben ontvangen. Ik …………………………..……..verklaar hierbij de sleutel(s) / badge te hebben overhandigd. Deel III : Lijst sleutel(s) / badge Sleutel Omschrijving Ontvangst Teruggave Opmerking Opmerking Bij verlies van de sleutel / badge, dit direct melden aan secretaris / personeelsdienst. Bij het uit dienst treden bezorg ik de sleutel / badge terug aan de secretaris / personeelsdienst .

27 9.1 Sluitingsprocedure Deel I : Opening van het OCMW door het personeel (Dit is een voorbeeld) De opening van het OCMW gebeurt bij voorkeur steeds door een minimum van personeelsleden. Controleer bij aankomst steeds de buitenomgeving (braaksporen op ramen en/ of deuren, aanwezigheid verdachte personen en/of voertuigen). Open de buitendeur en sluit ze achter u vermits het OCMW nog niet toegankelijk is voor de burger. Controleer vlug de binnenzijde van het kantoor (vooral ramen en deuren die niet van buiten af kunnen gecontroleerd worden ). Hou belangrijke telefoonnummers steeds bij de hand (politiekantoor, veiligheidsverantwoordelijke). Voorzie een extern trefpunt(dat wil zeggen een verzamelplaats) van waaruit je kunt telefoneren in geval van noodzaak. Ga naar het trefpunt : zorg dat al je collega’s daar samenkomen. Enkel personeelsleden ontvangen een toegangscode voor het alarm. Deel II : Sluiting van het OCMW Bezoek na het vertrek van de laatste client alle voor het publiek toegankelijke lokalen en controleer Of niemand is achter gebleven. Of er geen voorwerpen werden achter gelaten. Of alle ramen en deuren slotvast zijn. Berg alle documenten op in afgesloten kasten en verwijder de sleutels van de kasten. Verdeel de sleutels van het lokaal over verschillende personen of berg ze op in een door de verantwoordelijken gekende plaatst. Respecteer het ‘CLEAN DESK’ principe (garandeert een vlottere binnencontrole ‘s anderendaags). Elke werknemer die het OCMW verlaat dient ervoor te zorgen dat de deur slotvast is. De laatste vergrendelt het inbraaksysteem en controleert de aanduiding op het klavier, deze moet op veilig staan. Alle voor het publiek niet toegankelijke lokalen worden tijdens de openingsuren het best slotvast gehouden. Hierdoor is de controle bij de sluiting een stuk eenvoudiger. Deel III : Opening van het OCMW voor het cliënteel. Open op het voorziene uur de toegangsdeur(en) Draag er zorg voor dat alle documenten die niet nodig zijn veilig opgeborgen zijn in afsluitbare kasten. Waak erover dat alle officiële stempels buiten handbereik van de cliënten verblijven Verlaat uw werkplek nooit als gevoelige documenten of voorwerpen binnenhandbereik van de cliënten liggen. CLEAN DESK PRINCIPE Enkel gemachtigd personeel van het OCMW wordt toegelaten tot de (beveiligde) personeelszone. Bij twijfel: Ga te rade bij een collega. of ga over tot identificatie aan het loket. Ga het cliënteel afhalen aan de balie en vergezel hem weer naar de uitgang

28 9.3 UPS procedure Doel UPS Type UPS Merk UPS : Type UPS :
Heeft als doel na te gaan of de UPS test geslaagd is of niet. Door de UPS zonder stroom te plaatsen zal men kunnen nagaan of de batterij nog functioneert aan de hand van de aangesloten apparatuur die operationeel blijft kan men ook zien hoelang de batterij stroom levert. Men kan hier de status van de batterij uit afleiden. Type UPS Merk UPS : Type UPS : Sterkte UPS : Aankoop UPS : In garantie : Batterij reeds vervangen : UPS Software geïnstalleerd : Aangesloten toestellen: Server : Monitor : Andere : Rapport UPS Vorige periode: : Huidige periode : Aard UPS : Opmerkingen :

29 10.5 Malwareprocedure Instelling Verantwoordelijke
Alle PC’s zijn voorzien van het anti-virus programma Norton. En daarnaast gebruikt men terminals systeemsoftware licentie :Virus scan en Spyware scan (te samen in één suite). . De virusscan suite wordt elke dag automatisch mee opgestart en scant automatisch binnenkomende bestanden of bestanden die moeten verwerkt worden De scansoftware word automatisch van een update voorzien. Verantwoordelijke Verantwoordelijk : Lutgarde Jakemyn Vervanger bij afwezigheid : Is er een controle op de computer : NEE Is er een anti-virus handleiding : JA, digitaal in het software pakket Is er een anti-virus uitbreek procedure : JA, ontvangen van de veiligheidsconsulent Software Geinstalleerd Updates Verwerking Leverancier Opmerkingen Virus scan JA Automatisch Norton Spyware scan Defender NEE Microsoft Gratis meegeleverd met VISTA / apart installeren in XP

30 10.5 Preventie procedure Bepaal uw beveiligingsbehoeften
Virussen komen onverwacht. Zorg ervoor dat scanners zijn geconfigureerd om alle gegevensbronnen te scannen. Wanneer u bijvoorbeeld een diskette in het station laat zitten terwijl u de computer opstart, kan een virus in het geheugen worden geladen Voordat de scanner bij toegang wordt gestart, als de scanner niet is geconfigureerd om diskettte scannen. Voer regelmatig updates uit Zorg ervoor dat u werkt met de meest recente versie van het Het dat-bestand Het scanprogramma Het product. Met de functie AutoUpdate kunt u elk van deze onderdelen selectief bijwerken. Voorkom inbraken, zodat u omgeving niet wordt geïnfecteerd Met de volgende functies kunt u inbraken voorkomen: Toegangsbeveiliging. Bufferoverloopbeveiliging. Beleid voor ongewenste programma's. Scriptscanner. Detecteer inbraken, en stop deze voordat ze schade aanrichten Met de volgende functies kunt u inbraken detecteren: Scannen bij toegang. Scannen op aanvraag. scannen.

31 10.5 Wat te doen bij infectie
Systeemherstel utischakelen Wanneer uw computer is geïnfecteerd, wordt er mogelijk een back-upbestand van het virus opgeslagen in de map voor systeemherstel. Daarom schakelt u deze optie eerst uit. Dat gaat als volgt:Selecteer 'Deze computer' (klik met de rechtermuisknop erop), 'Eigenschappen‘, tabblad 'Systeemherstel‘ Selecteer 'Systeemherstel uitschakelen. Klik op 'Toepassen‘, Klik op ‘OK’ en start 'daarna de pc opnieuw op. Start u pc in de veilige modus dat maakt het makkelijker virussen en andere infecties te verwijderen. Dit gaat als volgt: Zet u pc aan, u ziet informatie voorbij komen, maar voordat Windows begint moet u op de toets F8 drukken. Begin maar enkele seconden nadat u u pc aangezet heeft, elke seconde 1 keer op F8 te drukken, dan komt u wel in het scherm dat de mogelijkheid geeft u pc in veilige modus te starten. Verschillende scans uitvoeren 1) Volledige virusscan Let er op dat uw antivirus programma up-to-date is.   Als u uw antivirus programma niet kunt updaten vanuit het programma zelf, omdat u geen internetverbinding heeft, zult u de updates op een andere computer moeten downloaden en handmatig op u pc installeren. Het kan zijn dat uw antivirus programma nog uitgeschakeld is door een van de besmettingen. Deïnstalleert het en installeer het opnieuw. Werkt dat nog niet, ga dan door met stap 3 en probeer het daarna nogmaals.  Laat Windows normaal opstarten, voer met uw standaard antivirus programma een volledige scan uit en laat elke ongerechtigheid verwijderen. 2) Spywarescan Ook deze stap moet uitgevoerd worden. Er zijn drie redelijke gratis spyware removers: Windows defender, SpybotSpy adaware: ook Nederlandstalig. (kies wel de personal edition,) Het is verstandig minimaal twee van deze programma's u pc te laten scannen. Geen van de programma's zal alle spyware kunnen herkennen en verwijderen. 3) Trojanscan Installeer specifieke Trojaanscanners en laat volledige scans uitvoeren. Antivirus programma's gebruiken signaturen (specifieke stukjes programmacode) van virussen en andere malware voor detectie en vinden daarmee ook veel, maar niet alle Trojaanse. Trojaanscanners hebben toegevoegde waarde omdat ze ook andere technieken gebruiken. Enkele goede Trojaanscanners zijn: Ewido Security Suite, A-squared, Trojan Remover, Deze laatste heeft enkele goede utilities om bijv. verminkte internetinstellingen te herstellen. 4) Rootkitscan Rootkits worden gebruikt om virussen, backdoors en andere malware onzichtbaar hun werk te laten doen. Ze maken daarvoor vaak ingrijpende wijzigingen in diverse systeeminstellingen. Voor detectie van rootkits gebruikt u de twee volgende utilities: rootkitrevealer van sysinternals.com, blacklight van F-secure: 5) Detectie met een firewall Ook een firewall kan behulpzaam zijn om te detecteren of er nog ongewenste programma's op uw pc aanwezig zijn die poorten openzetten. Als u een firewall installeert, zal alles wat naar binnen of naar buiten wil eerst om toestemming moeten vragen.

32 10.9 Back-up procedure Periodiciteit back-up Verantwoordelijke back-up
Vervanger bij afwezigheid : Plaats van bewaring : Resultaat back-up : Dagelijks Printer Soort back-up : Cleaning tapes : Is er een sub back-up : NEE JA (Zie subbackup procedure) Rapport back-up Vorige periode : september 2008 Huidige periode : Aard: Back-up : Restore : Opmerkingen :

33 10.9 SUB-Back-up procedure
DEEL I Verklaring OCMW:…………………….. Ik ondergetekende…………………………………., secretaris van het OCMW…………………………….. Geef aan de onderstaande gebruikers, met name de verantwoordelijke en de vervanger, de toestemming om een externe harde schijf te gebruiken als sub back-up in het OCMW DEEL II Gebruik Deze heeft als doel een dagelijkse subback-up of 2de back-up te maken. Deze mag nooit de hoofdback-up vervangen. De sub back-up betreft een data back-up en geen systeem back-up.(Het is eerder een synchronisatie dan een back-up). De bewaarplaats van de externe harddisk zal altijd achter slot of in een kluis van het OCMW zijn.(Verlaat het OCMW nooit) De externe harddisk zal nooit onbewaakt achter gelaten worden tijden de diensturen of bij gebruik van de externe harddisk. De externe harddisk zal geincrypteerd gebruikt worden alsook voorzien zijn van een wachtwoord. DEEL III Verantwoordelijke Verantwoordelijke : Vervanger bij afwezigheid :

34 11.1 Machtigingssoftware Deel I : Verklaring Toepassing
Datum : ……………………… Ik ondergetekende ……………………………….., secretaris van het OCMW : …………..…………………. geef aan: de gebruiker : ……………………………... …………………………..…. Tewerk gesteld op het OCMW :………….……………………. als :………….……………………. De onderstaande toegangsmachtigingen. De Secretaris, ………………… Toepassing Toegestane rechten Opmerking A = all (Lezen / Schrijven) R = readonly (enkel lezen) N = no access (niets)

35 13.1 Incidenten Register* Incident Datum Schade Oplossing(mogelijke)
*Dit wordt jaarlijks in de server ruimte geplaatst en op het einde van het jaar wordt dit toe gevoegd aan KSZ map /

36 15.2 Controle beveiliging serverruimte
Omschrijving Ja Nee Opmerking Gesloten / Beperkte toegang Branddeur en / of Brandmuren Geen brandbare producten Absoluut rookverbod Brandalarm aanwezig C02 brandblusser aanwezig Inbraakalarm aanwezig UPS aanwezig Beveiligd tegen blikseminslag Klimaatregeling aanwezig Afgeschermd tegen water Waterdicht plafond Waterleidingen uitgerust met kranen Gescheiden kabels (elek & data) Controle op onderhoudswerken Schema bekabeling Naam Functie Datum Algemene opmerking Veiligheidsconsulent

37 15.3 Controle beveiliging archiefruimte
Omschrijving Ja Nee Opmerking Gesloten / Beperkte toegang Branddeur en / of Brandmuren Geen brandbare producten Absoluut rookverbod Brandmelder aanwezig C02 brandblusser aanwezig Inbraakdetektor aanwezig Is er een gemachtigd persoon aangeduid Is er een lijst met de aanwezige dossiers Is er een lijst met de afwezige dossiers Is het archief vocht vrij Zijn er waterleidingen aanwezig Is er een papier versnipperaar Worden oude dossier correct verwijderd Naam Functie Datum Algemene opmerking Veiligheidsconsulent

38 15.4 Controle beveiliging computer
Omschrijving Ja Nee Opmerking Windows versie Anti virus Anti Spyware Firewall (lokaal) Firewall (extern) Anti spam Windows update (actief) Anti-virus update (actief) Antispyware update (actief) Software KSZ Software KSZ updates Schermbeveiliging Inloggen met CTRL + ALT + DEL toetsen Wachtwoord windows Aantal karakters: Wachtwoord software KSZ Aantal karakters Moeilijkheidsgraad wachtwoord windows Moeilijkheidsgraad wachtwoord software KSZ Naam Functie Datum Algemene opmerking Veiligheidsconsulent

39 15.5 Controle beveiliging netwerk
Omschrijving Ja Nee Opmerking ADSL ROUTER (draad) ROUTER WIFI SERVER WINDOWS SERVER LINUX Globale firewall Wachtwoord gebruik op server Automatische updates op server WIFI Wachtwoord WIFI encryptie (WEP , WPA, WPA2…) Andere beveiliging (MACadres, IP-range..) Gedeactiveerde netwerk aansluitpunten Toegang op afstand : VPN gebruik Toegang op afstand : Remote control Naam Functie Datum Algemene opmerking Veiligheidsconsulent

Download ppt "Minimale Normen Versie 2009"

Verwante presentaties

LCMS 1.3 Kort samenvatting “Wat is het verschil met CEDRIC?”

LCMS 1.3 Kort samenvatting “Wat is het verschil met CEDRIC?”
De zin en onzin van escrow

De zin en onzin van escrow
Digitaal wedstrijd formulier Presentatie scheidsrechters Versie sept 2013.

Digitaal wedstrijd formulier Presentatie scheidsrechters Versie sept 2013.
ongewenste indringers op de computer

ongewenste indringers op de computer
Digitaal wedstrijd formulier Presentatie scheidsrechters.

Digitaal wedstrijd formulier Presentatie scheidsrechters.
7 december 2011 Modernisering van de bevolkingsdiensten O pneming van de geboorten door gemeente van gebeurtenis in het Rijksregister. Naar een volledige.

7 december 2011 Modernisering van de bevolkingsdiensten O pneming van de geboorten door gemeente van gebeurtenis in het Rijksregister. Naar een volledige.
HET IN OVEREENSTEMMING BRENGEN VAN HET RIJKSREGISTER MET HET BESTAND VAN DE AFGEVOERDEN GEHOUDEN DOOR DE KRUISPUNTBANK VAN DE SOCIALE ZEKERHEID ADVIES.

HET IN OVEREENSTEMMING BRENGEN VAN HET RIJKSREGISTER MET HET BESTAND VAN DE AFGEVOERDEN GEHOUDEN DOOR DE KRUISPUNTBANK VAN DE SOCIALE ZEKERHEID ADVIES.
Bestelprocedure GIDP – Katholiek Secundair Onderwijs Regio Mechelen.

Bestelprocedure GIDP – Katholiek Secundair Onderwijs Regio Mechelen.
LG SOFTWARE UPDATE P990 (FOTA = Firmware Over The Air) Augustus 2011.

LG SOFTWARE UPDATE P990 (FOTA = Firmware Over The Air) Augustus 2011.
Verhoor door AIG Uw rechten en plichten

Verhoor door AIG Uw rechten en plichten
Nieuwe project-m.e.r.-regelgeving Project-m.e.r.-screening Dienst Mer

Nieuwe project-m.e.r.-regelgeving Project-m.e.r.-screening Dienst Mer
Workshop harde schijf indelen

Workshop harde schijf indelen
11 januari 2010 www.computerherstel.ontheweb.nl. 11 januari 2010 www.computerherstel.ontheweb.nl “Van elke drie pc’s heeft er een geen goede beveiliging.

11 januari januari “Van elke drie pc’s heeft er een geen goede beveiliging.
11 januari 2010 www.paginaplus.nl. 11 januari 2010 www.paginaplus.nl “Van elke drie pc’s heeft er een geen goede beveiliging tegen virussen en spionnen”

11 januari januari “Van elke drie pc’s heeft er een geen goede beveiliging tegen virussen en spionnen”
Provinciale ronden mei 2008

Provinciale ronden mei 2008
Klik op “Tijdelijke werkloosheid invoeren”. Vul hier uw gebruikersnaam en wachtwoord in of gebruik uw elektronische identiteitskaart.

Klik op “Tijdelijke werkloosheid invoeren”. Vul hier uw gebruikersnaam en wachtwoord in of gebruik uw elektronische identiteitskaart.
Internet beveiliging checklist. Overzicht Wensen Internetgebruik Risico’s Internetgebruik Oorzaken van onveilige situaties Beveiligingsbeleid Checklist.

Internet beveiliging checklist. Overzicht Wensen Internetgebruik Risico’s Internetgebruik Oorzaken van onveilige situaties Beveiligingsbeleid Checklist.
BOK - QLICT contract Wat vooraf ging – de stichting BOK: Oprichting (2000) De Enschedese besturen besloten tot krachtenbundeling Alle schoolbesturen zijn.

BOK - QLICT contract Wat vooraf ging – de stichting BOK: Oprichting (2000) De Enschedese besturen besloten tot krachtenbundeling Alle schoolbesturen zijn.
Wet algemene bepalingen omgevingsrecht

Wet algemene bepalingen omgevingsrecht
Dienstencatalogus 24 november 2010. Programma Wat is een productencatalogus Alle componenten op een rij – De generieke informatie – De specifieke informatie.

Dienstencatalogus 24 november Programma Wat is een productencatalogus Alle componenten op een rij – De generieke informatie – De specifieke informatie.

Verwante presentaties

Ads door Google