Informatiebeveiliging verankeren in het arbeidsreglement
Om haar doelstellingen voor informatiebeveiliging te bereiken stelde Wervik informatiebeveiligingsrichtlijnen op. Deze richtlijnen zijn de operationele vertaling van de beleidslijnen voor informatiebeveiliging. Ze geven op een duidelijke en eenvoudige manier aan hoe werknemers dienen om te gaan met de ICT-omgeving. Het arbeidsreglement is een handig instrument om deze richtlijnen aan elke medewerker, ongeacht zijn takenpakket, op te leggen.
Het arbeidsreglement van Wervik bevat verschillende artikelen inzake informatieveiligheid zoals:
- Een ICT-code voor het gebruik van de computer- en netwerkinfrastructuur (hardware en software), e-mail, internet, intranet, printers, kopieermachines, telefonie, gsm en fax evenals eventueel toekomstige elektronische media;
- Een reglement voor occasioneel telewerk;
- Het verwerken van persoonsgegevens;
- Een incidentenprocedure inzake informatieveiligheid (Algemene Verordening Gegevensbescherming);
- Een code voor het gebruik van sociale media;
- Een code voor het gebruik van gsm’s en/of smartphones;
- De verplichtingen van medewerkers in het kader van gegevensbescherming en het informatieveiligheidsbeleid;
- Een gedragscode voor informatiebeheerders;
- Disciplinaire stappen bij een inbreuk tegen de regels omtrent informatieveiligheid.
Wervik legt de verwachtingen ten aanzien van haar medewerkers op een duidelijke een eenvoudige manier uit. Daarnaast motiveert het lokaal bestuur ook waarom deze regels van toepassing zijn en hoe ze de risico’s voor informatiebeveiliging beperken. Het arbeidsreglement geeft ook aan welke disciplinaire maatregelen er bij niet-naleving gelden.
Stappenplan voor implementatie
- Ga na over welke informatiebeveiligingsaspecten je organisatiebrede afspraken wil maken;
- Lijst de afspraken op. Je kan inspiratie vinden in het arbeidsreglement van het lokaal bestuur Wervik, de ICT-code van het OCMW Lokeren, maar ook in die van gemeente- en OCMW Erpe-Mere of die van de Vlaamse overheid;
- Maak de richtlijnen voor informatiebeveiliging bekend bij bestaand en nieuw personeel;
- Breng de richtlijnen voor informatiebeveiliging geregeld onder de aandacht, bijvoorbeeld op een personeelsdag of naar aanleiding van een incident;
- Voer controles uit op de naleving van de richtlijnen voor informatiebeveiliging. Bepaal wie welke controles uitvoert en met welke frequentie.
Tips voor opzet in een organisatie
- Leg uit waarom de regels noodzakelijk zijn;
- Hou er rekening mee dat niet elke onderwerp van toepassing is op alle werknemers, pas je communicatie aan naargelang de doelgroep.
- Vermijd technisch jargon en gebruik voor iedereen verstaanbare taal.
Welke risico’s worden afgedekt door de implementatie van deze goede praktijk?
- De organisatie kan de juistheid, volledigheid en actualiteit van gegevens onvoldoende garanderen;
- Medewerkers zijn zich niet bewust van hun rollen en verantwoordelijkheden inzake informatiebeveiliging;
- Medewerkers installeren zelf programma’s waardoor software niet meer goed werkt of waardoor kwetsbaarheden in het systeem kunnen ontstaan;
- De organisatie laat zaken op hun beloop en treedt niet op tegen inbreuken omdat het onduidelijk is wat er tegen kan gebeuren.
Contactpersoon
DPO
Andranik Grigoryan
andranik.grigoryan@c-smart.be