De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

ICT Informatieveiligheid (IV) Infosessie

GepubliceerdElemér Molnár Laatst gewijzigd meer dan 5 jaar geleden

Verwante presentaties

Presentatie over: "ICT Informatieveiligheid (IV) Infosessie"— Transcript van de presentatie:

1 ICT Informatieveiligheid (IV) Infosessie
Groep Humane Wetenschappen 20 juni 2019

2 Agenda 14u-15u Context Plan van aanpak Dataclassificatie ICT IV-coördinatie Verantwoordelijkheden Volgende stappen 15u-17u ICT-normenkader Richtlijnen voor ICT-beheer Opslagwijzers en documentatie Self-assessments Verbeteringstrajecten ICT Werkgroep IV

3 Context IT Security Audit 2014 AVG (GDPR) 2016/2018
Stuurgroep Informatieveiligheid – voorz. B. Lambrecht Conceptwerkgroep – voorz. E. Heylen ICT Werkgroep 2017 – voorz. W. Van Holder Universiteitsbrede ICT-aanpak Groepen + Kulak + ICTS In overleg met groepsbeheerders en algemeen beheer Focus op “wat” i.p.v. “hoe” Stabiel, onderhoudbaar Geen discussie over specifieke producten (invulling) Goedgekeurd door Gebu V/ R.1.1 / A.2.1 op 12 maart 2019 ICT Werkgroep IV

4 ICT-aanpak IV Bescherming van (persoons)gegevens i.f.v. risico
Technische en organisatorische maatregelen Welk soort data?  welke oplossingen? Dataclassificatiemodel voor identificatie van het risico ICT-normenkader voor veilige ICT-oplossingen Opslagwijzers om de medewerkers te helpen kiezen ICT Werkgroep IV

5 Dataclassificatiemodel
Breed toepassingsgebied Administratie en onderzoek, afgestemd met RDM stuurgr. Persoons (AVG)- en andere gegevens Focus op vertrouwelijkheid Drie risiconiveaus Strikt Vertrouwelijk Vertrouwelijk Niet Vertrouwelijk ICT Werkgroep IV

6 ICT Werkgroep IV

7 Classificatie vragen Bevat de dataset bijzondere persoonsgegevens?
Veroorzaakt openbaarmaking van de gegevens grote schade aan de organisatie of aan personen? Zijn er contractuele, wettelijke, regelgevende of andere redenen om de data als Strikt Vertrouwelijk te behandelen? Moet iedereen toegang hebben tot de informatie? Zijn er andere redenen om de gegevens als Niet Vertrouwelijk te behandelen?

8 Bijzondere persoonsgegevens
Ras of etnische afkomst Politieke opvattingen Religieuze of levensbeschouwelijke overtuigingen Lidmaatschap van een vakbond Genetische gegevens Biometrische gegevens Gegevens over gezondheid Gegevens over het seksuele leven Gerechtelijke gegevens ICT Werkgroep IV

9 ICT-normenkader Veiligheidsstandaarden voor ICT-oplossingen
Minimumvereisten; strenger mag; breder dan AVG “Comply or explain”  uitzonderingsverzoeken ICT Werkgroep IV

10 Infosessie deel 2 Infosessie deel 2
ICT Werkgroep IV

11 Link met dataclassificatie en AVG
ICT Werkgroep IV

12 Opslagwijzers Infosessie deel 2
Richtlijnen voor ICT-beheerders om het aanbod op elke werkplek inzake IV inzichtelijk maken voor medewerkers ICT-oplossingen documenteren en aangeven voor welke niveaus van vertrouwelijkheid ze geschikt zijn Per werkplek een opslagwijzer maken die aangeeft welke oplossingen gebruikt dienen te worden Overgangsperiode voorzien waarin de huidige ICT- oplossingen nog niet voldoen aan de normen ICT Werkgroep IV

13 Opslagwijzer ICT Werkgroep IV

14 ICT IV-coördinatie Overgangsperiode met zelf-evaluaties en verbeteringstrajecten nodig om ICT-oplossingen te conformeren naar het normenkader ICT-informatieveiligheidscoördinatoren aangeduid op groepsniveau, Kulak en centraal niveau, met ondersteunende rol naar de ICT-beheerders adviserende rol t.a.v. beleidsverantwoordelijken, RDM, ECs evaluerende rol bij audits, ICT-datalekken en IV-incidenten Tijdelijk verhoogde ICT-activiteit, afhankelijk van beschikbare kennis en arbeidskracht Opportuniteit voor betere interoperabiliteit, standaardisatie en schaalvoordelen binnen de groep en over de groepen heen ICT Werkgroep IV

15 ICT IV-coördinatoren BMW Kulak Roel Bex Brecht Samyn Centraal W&T
Bart Denys Bart Swennen, vertegenwoordiger van: Backup: Kris Hermans Dept. CW: Bart Swennen HW Dept. ESAT: Frank Schoeters Dept. Fys/Ster: Filip Sevenants Wim Van Holder Fac. Wetensch.: Bavo Meuwis Backup: Dirk Rober Groep W&T: Ronny Moreas ICT Werkgroep IV

16 Verantwoordelijkheden
De eerste verantwoordelijkheid voor naleving van de ICT-normen ligt bij de beleidsverantwoordelijken van de faculteiten/ departementen/afdelingen. Waar er reeds een sterke governance is vanuit de groep, kan het eerste niveau ook door de groep worden ingevuld. Elke faculteit/departement/afdeling is verantwoordelijk voor de naleving van de ICT-normen door ICT-aanbieders/beheerders/ gebruikers in de onderliggende organisatie (diensten en onderzoeksgroepen). Waar uitzonderingsverzoeken niet volstaan: delen van de organisatie identificeren met eigen governance, bijv. specifieke onderzoeksgroepen, en aparte verantwoordelijke aanduiden. HW: ICT-aanspreekpunten voor IV-coördinatie per fac/dept/afd Lokale ICT ondersteuning voor de gebruikers cfr. Wie-is-Wie ICT Werkgroep IV

17 ICT-aanspreekpunten IV
ICT Werkgroep IV

18 Interacties ICT Werkgroep IV

19 Volgende stappen Mensen in staat stellen het risiconiveau van gegevens in te schatten Dataclassificatiemodel promoten voor identificatie van gegevens (ook op papier) Het lokale ICT-aanbod inzichtelijk maken naar bescherming van gegevens toe Opslagwijzers opstellen, te beginnen met de huidige, best mogelijke oplossingen Huidige oplossingen documenteren cfr. template Zelf-evaluaties van oplossingen uitvoeren t.o.v. het ICT-normenkader Afvinken van technische en organisatorische minimumeisen Risico’s lokaal bespreken, vorm en rapportering naar groep/audit nog te bepalen Verbeteringstrajecten plannen Toekomstige oplossingen formuleren om (grootste) risico’s (eerst) aan te pakken Met ondersteuning van en in samenwerking met de ICT IV-coördinator(en) Met oog voor interoperabiliteit, standaardisatie en schaalvoordelen in/tussen groepen Medewerkers de weg naar de gepaste oplossingen laten vinden Opslagwijzers voor elke werkplek toegankelijk maken voor iedereen, vanuit elk proces: RDM, ICT, EC… Informatieveiligheid zo gebruiksvriendelijk en transparant mogelijk implementeren in verbeteringstrajecten ICT Werkgroep IV

20 Vragen? ICT Werkgroep IV

21 Deel 2 ICT-normenkader Richtlijnen voor ICT-beheer Opslagwijzers en documentatie Self-assessments Verbeteringstrajecten Evaluatie ICT Werkgroep IV

22 ICT-normenkader ICT Werkgroep IV Zie notes voor opmerkingen

23 ICT-normenkader ICT Werkgroep IV Zie notes voor opmerkingen

24 ICT-normenkader ICT Werkgroep IV Zie notes voor opmerkingen

25 ICT-normenkader ICT Werkgroep IV Zie notes voor opmerkingen

26 ICT-normenkader ICT Werkgroep IV Zie notes voor opmerkingen

27 ICT-normenkader ICT Werkgroep IV Zie notes voor opmerkingen

28 Documentatie template
ICT Werkgroep IV

29 Documentatie template
ICT Werkgroep IV

30 Documentatie template
ICT Werkgroep IV

31 Opslagwijzer template
ICT Werkgroep IV

32 Opslagwijzer voorbeeld (as-is)
KU Leuven - GHUM - Faculteit PPW - Files ID STG-KUL-GHUM-PPW-FILES Beschrijving Opslaan van (Office) bestanden in het algemeen Doelgroep KU Leuven Universiteit - Groep Humane Wetenschappen - Faculteit Psychologie en Pedagogische Wetenschappen Verantwoordelijke beleid Nathalie De Swaef Verantwoordelijke ICT Wim Van Holder Online opslag Offline opslag Opmerking Strikt Vertrouwelijk Mogelijk te delen buiten KU Leuven SharePoint Media te versleutelen met BitLocker (Windows) FileVault (Mac) Enkel Windows encryptiesleutels worden centraal beheerd Enkel te delen binnen KU Leuven Afgeschermde J: en K: shares SharePoint Niet gedeeld I: schijf of K:\# PERSONAL folder Vertrouwelijk I:\# Public of J:\# Public Media bij voorkeur te versleutelen met BitLocker (Windows) J: of K: schijf Niet Vertrouwelijk Box Removable media (USB, externe HDD) Encryptie niet verplicht Harde schijf ICT Werkgroep IV

33 Opslagwijzer voorbeeld
FICTIEF VOORBEELD 2 KU Leuven - Groep - Faculteit B - Files ID STG-KUL-GRP-FACB-FILES Beschrijving Opslaan van (Office) bestanden in het algemeen Doelgroep 50000xxx KU Leuven - Groep - Faculteit B Verantwoordelijke beleid X Verantwoordelijke ICT Y Online opslag Offline opslag Opmerking Strikt Vertrouwelijk KU Leuven Office 365 met multifactor authenticatie en versleuteling van de individuele bestanden Versleuteling van de individuele bestanden, ongeacht het medium Office 365 is encrypted at rest Vertrouwelijk met multifactor authenticatie Media te versleutelen met BitLocker (Windows) FileVault (Mac) Enkel Windows encryptiesleutels worden centraal beheerd Niet Vertrouwelijk Te delen Removable media (USB, externe HDD) Encryptie niet verplicht Niet gedeeld Harde schijf ICT Werkgroep IV

34 Publicatie Groepsstandaarden, documenten, oplossingen…
Verwijzingen naar ICTS… Faculteit/departement/afdeling Verwijzingen naar ghum, ICTS… Ontsluiting opslagwijzers binnen KU Leuven: TBD ICT Werkgroep IV

35 Self-assessments Per lokaal aangeboden/gebruikte oplossing het ICT- normenkader overlopen en afvinken (nee / ja / ja maar) met commentaar (extra kolommen in XLSX). Ter illustratie van mogelijke technieken, zie bijv. ENISA "State of the art" in IT security ate-of-the-art-in-it-security/ Vraag ondersteuning aan de ICT IV-coördinator(en)! ICT Werkgroep IV

36 Verbeteringstrajecten
Beginnen met opslagwijzer in te vullen met de best mogelijke as-is oplossingen Voor de gaps in de self-assessments, 3 opties: Huidige oplossing/aanpak fixen Migratie naar nieuwe oplossing (to-be) Niet meer aanbieden (obsolete) Uitzonderingsverzoek = acceptatie van het risico! Geen trucje om u van het probleem te ontdoen… Prioriteren in functie van noodzaak, voordeel, effort/kost Quick wins, meerjarenplan, budget  beleid Met advies van ICT IV-coördinatoren vd groep(en) Standaardisatie, schaalvoordelen, interoperabiliteit… ICT Werkgroep IV

37 Evaluatie Situatie – risico’s – plannen
Verwachting audit: via ICT IV-coördinator Eerst op niveau faculteit/departement/afdeling (met beleid) Dan op niveau groep  groepsbestuur Consolidatie door Bureau IV op niveau KU Leuven Rapportage format en timing TBA ICT Werkgroep IV

38 Nuttige links ICT Information Security HW
KU Leuven Privacy en Informatieveiligheid KU Leuven ICT aanpak voor informatieveiligheid  ENISA "State of the Art" in IT Security (guidelines) ICT Werkgroep IV

39 Vragen? ICT Werkgroep IV

Download ppt "ICT Informatieveiligheid (IV) Infosessie"

Verwante presentaties

K. U. L E U V E N - L U D I T Juli 2006 LinSam-AD 1/1819 april 2007 • FSW (Fac.Soc.Wet.) - CIB (Ind.Beleid) willen authenticatie op LDAP. • FSW wil Centrale.

K. U. L E U V E N - L U D I T Juli 2006 LinSam-AD 1/1819 april 2007 • FSW (Fac.Soc.Wet.) - CIB (Ind.Beleid) willen authenticatie op LDAP. • FSW wil Centrale.
Gegevens/Informatie/Kennis

Gegevens/Informatie/Kennis
DSH : praktische afspraken Leuven 2 februari 2009.

DSH : praktische afspraken Leuven 2 februari 2009.
Testdata Management Ketentest

Testdata Management Ketentest
Instrument en methodiek Door projectgroep NFU (Anke, Ellen, Els, Roel)

Instrument en methodiek Door projectgroep NFU (Anke, Ellen, Els, Roel)
Het opzetten van een kwaliteitssysteem

Het opzetten van een kwaliteitssysteem
Accreditatierichtlijn beveiliging van bestanden

Accreditatierichtlijn beveiliging van bestanden
Dé complete online werkplek met de kracht van Office 365

Dé complete online werkplek met de kracht van Office 365
© Universiteitsbibliotheek Groningen METIS Aanleverloket Metis/Repositories Henk Druiven Henk Ellermann Afdeling Digitale Bibliotheek Vz. Universiteitsbibliotheek/RuG.

© Universiteitsbibliotheek Groningen METIS Aanleverloket Metis/Repositories Henk Druiven Henk Ellermann Afdeling Digitale Bibliotheek Vz. Universiteitsbibliotheek/RuG.
Applicatieplatform congres 12 & 13 maart. Sneak Preview Technologie van morgen MS SQL server bij REAAL Peter de Visser IT Architect

Applicatieplatform congres 12 & 13 maart. Sneak Preview Technologie van morgen MS SQL server bij REAAL Peter de Visser IT Architect
Digitaal Sociaal Huis Samenwerkingsproject Vlaams-Brabantse sociale huizen 2 februari 2009.

Digitaal Sociaal Huis Samenwerkingsproject Vlaams-Brabantse sociale huizen 2 februari 2009.
Dit wordt het DSH Herent, 7 april 2008. Wettelijk kader Decreet van 3 maart 2008 Deadline van 22 mei 2009 voor het “sociaal huis” Minimale vereisten:

Dit wordt het DSH Herent, 7 april Wettelijk kader Decreet van 3 maart 2008 Deadline van 22 mei 2009 voor het “sociaal huis” Minimale vereisten:
Cloud voor uw bestuur? Wij gaan samen met u op onderzoek. Nabespreking.

Cloud voor uw bestuur? Wij gaan samen met u op onderzoek. Nabespreking.
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.

SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
Maandag 20 juni 2005Lokaal Sociaal Beleid Gent Infovergadering LSB-FORUM KINDEROPVANG (Lokaal Overleg Kinderopvang)

Maandag 20 juni 2005Lokaal Sociaal Beleid Gent Infovergadering LSB-FORUM KINDEROPVANG (Lokaal Overleg Kinderopvang)
Grupo Mercator. Universidad Politécnica de Madrid1 Watse Castelein SDI ontwikkeling en monitoring in Spanje Wageningen – 14.

Grupo Mercator. Universidad Politécnica de Madrid1 Watse Castelein SDI ontwikkeling en monitoring in Spanje Wageningen – 14.
Roadmap Toekomstbeeld 2016 Informatievoorziening Zorg en Ondersteuning

Roadmap Toekomstbeeld 2016 Informatievoorziening Zorg en Ondersteuning
Introductie OHSAS 18001.

Introductie OHSAS
1 1 ZO ZEIST Bouwen aan Brieven november 2010. 2 Doelen Programma Dienstverlening aansluiten wensen en behoeften klant voldoen aan wettelijke eisen denken.

1 1 ZO ZEIST Bouwen aan Brieven november Doelen Programma Dienstverlening aansluiten wensen en behoeften klant voldoen aan wettelijke eisen denken.
Edukoppeling certificering

Edukoppeling certificering

Verwante presentaties

Ads door Google