1 / 19

Organisatiebeheersing en informatieveiligheid Johan.Behets @ kindengezin.be Veiligheidsconsulent 21 maart 2013

Organisatiebeheersing en informatieveiligheid Johan.Behets @ kindengezin.be Veiligheidsconsulent 21 maart 2013. Korte Inhoud. Context Kind en Gezin – Gevoelige informatie Organisatiestructuur Kind en Gezin De K&G uitdagingen binnen Informatieveiligheid

cili
Download Presentation

Organisatiebeheersing en informatieveiligheid Johan.Behets @ kindengezin.be Veiligheidsconsulent 21 maart 2013

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Organisatiebeheersing en informatieveiligheidJohan.Behets@kindengezin.beVeiligheidsconsulent21 maart 2013

  2. Korte Inhoud • Context Kind en Gezin – Gevoelige informatie • Organisatiestructuur Kind en Gezin • De K&G uitdagingen binnen Informatieveiligheid • De K&G horizontale Informatieveiligheids-initiatieven • Organisatiebeheersing en Informatieveiligheid binnen K&G • Maturiteitsniveau Organisatiebeheersing en Informatieveiligheid 7. Vragen ?

  3. 1. Context Kind en Gezin – Gevoelige informatie • Organisatie Preventieve Gezinsondersteuning • Operationele opdracht : dossiers kindjes – medisch luik • Taken / Regie / Subsidies voor kindjes met zorg • Informatie over zorg actoren : CKG’s, VC’s, .. • Regie Kinderopvang • Regie en Subsidiëring • Informatie over actoren Kinderopvang en personeel • Anonieme informatie over ouders/kindjes ivm subsidiëring • Kinderopvangzoeker • Informatie over ouders/kindjes • Adoptie • Adoptiedossiers, kandidaat ouders, voorzieningen, ..

  4. 2. Organisatie Kind en Gezin • IVA met rp binnen WVG • Centraal ( beleidsondersteunend ) vs Decentraal ( uitvoering ) • Directieteam met alle afdelingshoofden • Waarden : Open, positief, gedreven, deskundig.

  5. 3. K&G uitdagingen binnen Informatieveiligheid • Privacygevoelige informatie ..(enerzijds ) • E – government : • veilig ontsluiten van informatie naar jonge ouders • K&G Portaal : Kindopvangzoeker, kinddossiers, IKG, .. • Uitwisselen dossiers met andere zorgactoren • Veilige uitwisseling van authentieke bronnen • Aansluiten op zorgplatformen : federaal en Vlaams • E–Health/E–Birth, Vitalink, Digitaal Platform Zorg ( Kindpremie ).. • Authenticatie / autorisatie vs lage drempel / flexibiliteit

  6. 3. K&G uitdagingen binnen Informatieveiligheid 2. Openheid ..( anderzijds ) • K&G wenst intern alle informatie te delen die niet – vertrouwelijk is • K&G wenst samenwerkingsplatform met externen • K&G wenst flexibiliteit voor toegang niet – vertrouwelijke informatie : BYOD 3. Gelimiteerde budgetten ! • Geen extra budgetten, FTE’s voor informatieveiligheid • Maar.. hogere eisen naar Conformiteit, Integriteit, Availability .. • Daarom: • Evenwicht tussen K&G-domein applicaties (vertrouwelijk) en cloud-applicaties ( niet-vertrouwelijk, Office 365) • Evenwicht tussen eigen ontwikkelingen en gebruik maken van bestaande pakketten 4. Conform Privacy wetgeving ! • ..maar lange ervaring : Vaccinet ( via Fedict ), aansluitingen RR, KSZ, ..

  7. 4. Horizontale initiatieven Informatieveiligheid • Voor 2004 • Vele verticale initiatieven: ICT exploitatie, ICT ontwikkeling,HRM, gebouwenbeheer, juridische dienst, preventieadviseur, interne audit,.. 2. Na 2004 – globale initiatieven • Organisatie audit conform richtlijnen VO / ISO 17799/27002 • Uitwerking top – down : • Informatieveiligheidskader • Organisatie Informatieveiligheid ( zie hierna ) • Business Continuity • In kaart brengen van processen, informatiestromen en eigenaars informatie • Toegangsbeheer • K&G personeel : IAM systeem : synchronisatie HRM met eigen informatiesystemen • Externe actoren : UAM E - Health • Classificatie van informatie

  8. 4. Horizontale initiatieven Informatieveiligheid 3. Toekomstplannen • Momenteel herwerking strategie Informatieveiligheid • Nieuwe “release” voorgaande initiatieven • Risico analyses, audits.. • Nieuwe initiatieven • (In)formeren personeel • Ontwikkeling informatiesystemen • .. • Gericht op de vernieuwing in de omgeving: omgaan met cloud, BYOD, verhoogde beschikbaarheid van digitale documenten

  9. 5. Organisatiebeheersing • Uitgangspunten : • Management sponsoring ! • ICT is slechts onderdeel Informatieveiligheid: globaal initiatief • Rollen en verantwoordelijkheden binnen bestaande organisatie • Veiligheidsconsulent is “spin in de organisatie” • Nieuwe structuur : • Aanstellen Veiligheidsconsulent • Staffunctie ICT – afdelingshoofd ( sponsor ) en staffunctie AG • Roept SIV samen • Stuurgroep InformatieVeiligheid ( SIV ) • Afdelingshoofden centrale entiteiten en enkele provinciale • Kerngroep : diensthoofden ICT, Juridische dienst, Facility, preventie adviseur • Adviseert nieuwe initiatieven die voorbereiding nodig hebben Directiecomité

  10. 5. Organisatiebeheersing 3. Responsabiliseren bestaande formele organisatie : • Centrale Juridische dienst • Voorbereiding machtigingen en aangiftes ismafdelings juristen en inhoudelijke projectleiders • Start : privacy audit • Stemt af met veiligheidsconsulent om gevolgen te implementeren • ICT – organisatie • Veiligheidsconsulent in staffunctie ICT – afdelingshoofdRapporteert aan Administrateur-generaal • Implementatie veiligheid via ICT – staf = alle sleutelfuncties ICT • Rollen en verantwoordelijkheden worden hier toegekend • HRM – organisatie • Aansturing via SIV • Voorbeeld : aanpassen arbeidsreglement

  11. 5. Organisatiebeheersing 4. Facilitaire diensten / Preventie adviseur • Aansturing via SIV • Voorbeeld : preventieplannen 5. Dienst Evaluatie Interne Controle • Brengt processen en informatiestromen in kaart • Brengt risico’s in kaart : bijvoorbeeld privacy • Helpt in updaten van bestaande plannen, bijvoorbeeld BIA 6. AG • Veiligheidsconsulent meldt risico’s en vooruitgang veiligheidsinitiatieven

  12. 5. Organisatiebeheersing 4. Informele kerngroep : • Informele groep : Veiligheidsconsulent, jurist privacy, interne auditor, preventie adviseur, woordvoerder 5. Naleving en controle • ! Aanduiden van de eigenaars van de informatie • Eigenaar verantwoordelijk voor de toegang ( ICT = uitvoerder ) • Eigenaar kijkt toe op de naleving • Voorbeeld : HRM diensthoofd controleert via logging de inzage in digitaal personeelsdossier • Dossierbeheerders zijn zich bewust van logging • Meldingen inbreuken via (ICT) - helpdesk worden geëscaleerd via hiërarchie • Regels maken deel uit van arbeidsreglement • Controle via audits

  13. 5. Organisatiebeheersing 7. Voorbeeld Business Continuity: • Afdelingsplannen via SIV • BC – plan voor ICT = DRP : verantwoordelijke diensthoofd exploitatie • BC – plan voor communicatie = crisiscommunicatieplan : verantwoordelijke woordvoerder • ..

  14. 6. Maturiteitsniveau Organisatiebeheersing mbt Informatieveiligheid • Maturiteitsniveau = tussen 3 en 4 • Zie verder extract van documentatie

  15. Voorbeeld van het subthema ‘beveiliging’ van het thema ‘informatie en communicatie-technologie’

  16. Situering van de processen m.b.t. IT-beveiliging

  17. Situering van processen m.b.t. IT beveiliging

  18. 7. Vragen ???

More Related