Thema-audit Informatiebeveiliging

Auditdoelstellingen

Lokale besturen werken met vertrouwelijke en persoonsgevoelige gegevens. Burgers kunnen vaak ook niet weigeren dat hun gegevens door hun lokale bestuur worden verwerkt. In de thema-audit Informatiebeveiliging gaat Audit Vlaanderen na of de bestaande beheersmaatregelen voldoen om redelijke zekerheid te hebben over

  • de beschikbaarheid van gegevens;
  • de integriteit van gegevens;
  • de bescherming van de vertrouwelijkheid van gegevens.
Controleprogramma

Concreet werd uitgegaan van de ISO-standaarden 27001 en 27002 voor het beheersen van informatiebeveiliging en van de richtsnoeren informatiebeveiliging m.b.t. persoonsgegevens en gegevens van de Kruispuntbank voor Sociale Zekerheid. Volgend overzicht toont de elementen waarop de beheersmaatregelen worden geëvalueerd in deze thema-audit:

Thema-audit Informatiebeveiliging controleprogramma

Technische testen

Telkens werden naast de traditionele auditwerkzaamheden ook technische testen uitgevoerd om de effectiviteit van de beheersmaatregelen in de praktijk uit te testen. Bij die technische testen werd onder andere de situatie nagebootst waarbij een buitenstaander naar de gebouwen van het bestuur komt, zich aansluit op het netwerk en van daaruit probeert toegang te krijgen tot vertrouwelijke en persoonsgevoelige gegevens binnen het interne netwerk.

Klankbordgroep

Eind februari 2018 werden enkele voorlopige vaststellingen uit de thema-audit besproken met een klankbordgroep. Tijdens deze vergadering waren vertegenwoordigers van volgende partijen aanwezig:

  • VVSG, ECG, VVP
  • Verschillende veiligheidsconsulenten
  • Cipal-Schaubroeck, Cevi, Remmicom
  • Het Facilitair Bedrijf, POD MI
  • V-ICT-OR

De voorgelegde bevindingen werden bevestigd en alle partijen bevestigden de nood aan een professionelere aanpak van informatiebeveiliging en pragmatische oplossingen. Hoewel duidelijk is dat verschillende aspecten best overkoepelend worden opgenomen, zijn er geen engagementen aangegaan om tot een dergelijke overkoepelende actie te komen. Dat maakt dat, ondanks de goedheid van alle aanwezige partijen, er nog geen platform is om effectief aan de slag te gaan.