Informatieveiligheid

Erkende gespecialiseerde veiligheidsdienst

In onze intensief verbonden wereld zijn we er ons allemaal van bewust dat beveiliging een belangrijke nieuwe conditie is om goed te werken. Het volstaat echter niet dat we ons hiervan bewust zijn, we moeten het ook nog in de praktijk brengen. Op dit vlak kunnen we gelukkig zijn. Alle openbare administraties leveren reeds jarenlang ernstige en volgehouden inspanningen om het veiligheidsniveau van hun ICT-omgeving permanent op een hoger niveau te brengen.

Smals ondersteunt deze inspanningen door een eigen initiatief dat uw veiligheidsbeleid moet ondersteunen. Dit initiatief is de “erkende gespecialiseerde veiligheidsdienst” (EGVD).

Omdat er nu eenmaal een Koninklijk Besluit is dat het bestaan van deze dienst oplegt

Het koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid legt het bestaan van deze erkende dienst op. Onze inspanningen gebeuren evenwel vanuit de overtuiging dat deze noodzakelijk zijn om een goede werking van de overheden op basis van elektronische gegevensuitwisseling te garanderen. De belangrijkste rol ligt bij de administraties zelf. Wij helpen u waar wij kunnen.

Méér dan veiligheidsexperten, méér dan veiligheidstechnici: veiligheidsmensen

Natuurlijk zijn de medewerkers van de dienst experten en technici. Maar zij zijn in de eerste plaats veiligheidsmensen. Dit wil zeggen dat expertise en techniek volledig ondergeschikt zijn aan het te bereiken objectief: hoe kunnen we én goed werken én veilig werken. Daarom zijn onze veiligheidsconsulenten gericht op interactie met medewerkers van operationele diensten. Daarom implementeren zij niet zelf, maar bekijken zij het systeem. En vooral daarom zijn het medewerkers die zelf uit de praktijk komen en heel goed weten wat het beheer van ICT inhoudt zodat er geen onmogelijke eisen op tafel komen.

Mensen met specifieke opdrachten

De erkende gespecialiseerde veiligheidsdienst (EGVD) voert volgende opdrachten uit:

  • Voor instellingen die omwille van hun aard geen eigen veiligheidsverantwoordelijke kunnen aanduiden, kan de EGVD een specialist ter beschikking stellen.
  • Het verstrekken van deskundige adviezen aan het Sectoraal Comité of aan u.
  • Het organiseren van vormingen inzake informatiebeveiliging.
  • Het auditeren van de informatiebeveiliging op vraag van het Sectoraal Comité of op uw vraag.

Of wat concreter, de EGVD helpt u met

  • Het definiëren en voorstellen van de veiligheidsstrategie.
    • Het houden van gesprekken met diverse afdelingshoofden om de behoeften inzake interne veiligheid te leren kennen.
    • Opvolgen van ISO-normen.
    • Uitwerken van een beleidsplan.
    • Voorstellen van het beleidsplan aan de directie.
    • Aanpassen van het beleidsplan in functie van veranderende omstandigheden.
  • Het vertalen van de veiligheidsstrategie in een concrete aanpak op bedrijfsniveau en het coördineren van deze concrete aanpak (top-down).
    • Opstellen van het beveiligingsbeleid (Information Security Policy).
    • Omschrijven van de verantwoordelijkheden van alle afdelingen en functies inzake informatiebeveiliging.
    • Uitwerken en beheren van een classificatie van de bedrijfsmiddelen: welke middelen zijn er, hoe belangrijk zijn deze, hoe kunnen we deze beschermen.
    • Uitwerken van adviezen m.b.t. beveiligingseisen van het personeel (bvb. welke opleidingen kunnen voorzien worden, …).
    • Uitwerken van algemene richtlijnen inzake fysieke beveiliging (bvb. fysische toegangscontrole) en beveiliging van de omgeving (bvb. brandbeveiliging) alsook toegangsbeveiliging (wie heeft toegang tot welke bedrijfsmiddelen).
    • Actief aansturen op en opvolgen van het operationele veiligheidsbeleid bij de verschillende afdelingen inzake systemen die reeds operationeel zijn en bij de ontwikkeling en het onderhoud van bestaande systemen.
    • Aansturen op het uitwerken en toepassen van een continuïteitsbeleid zodat bij belangrijke incidenten de continuïteit van systemen en processen gegarandeerd is (bvb. uitwerken van back-upsystemen, …).
    • Toezien op de naleving van de veiligheidsstrategie door de verschillende afdelingen.
  • Het begeleiden van alle afdelingen/functies bij het definiëren en implementeren van hun specifieke verantwoordelijkheden inzake informatieveiligheid en toezien op de naleving ervan.
    • Contacten onderhouden met de diverse afdelingshoofden inzake informatieveiligheid.
    • Voorstellen doen om informatieveiligheid te verbeteren, verzekeren en hierover afstemmen met de betrokkenen.
    • Advies geven ter voorbereiding op externe audits.
    • Opvolgen van de naleving van gemaakte afspraken inzake informatieveiligheid in de diverse afdelingen.
    • Een formele audit uitvoeren.
  • Verlenen van praktisch advies en het uitwerken van praktische policies inzake specifieke vragen m.b.t. veiligheidsbehoeften van andere afdelingen (bottom-up).
    • Opvangen van specifieke vragen i.v.m. informatieveiligheid.
    • Uitwerken van praktische oplossingen voor specifieke vragen i.v.m. informatieveiligheid.
    • Op vraag geven van informatie over nieuwe veiligheidssystemen: bvb. intrusion detection system.
  • Actieve deelname aan veiligheidsactiviteiten in de schoot van de instelling.
    • Actieve participatie in werkgroepen (bvb. werkgroep informatieveiligheid in kader van sociale zekerheid, Kruispuntbank).
    • Voorstellen doen en adviezen geven m.b.t. besproken topics binnen deze fora.