A.5 Informatiebeveiligingsbeleid

A.5InformatiebeveiligingsbeleidVerwijzingen
A.5.1.1 Informatiebeveiligingsbeleid

1. Bestaat er een informatiebeveiligingsbeleid?
2. Zijn alle beleidsdocumenten goedgekeurd door het management?
3. Zijn alle beleidsdocumenten gecommuniceerd aan het personeel?
Informatiebeveiligings-beleidsdocument
A.5.1.2 Herziening van het informatiebeveilingbeleid

1. Is het informatiebeveiligings onderhevig aan veranderingen?
2. Wordt het informatiebeveiligingsbeleid met enige regelmaat herzien?
3. Wordt het informatiebeveiligingsbeleid herzien als er veranderingen plaatsvinden?

Het informatiebeveiligingsbeleid is het raamwerk waar in grote lijnen beschreven wordt hoe men binnen de organisatie met informatiebeveiliging omgaat en welk belang er aan gehecht wordt. Ook dient het als raamwerk dat verwijst naar meer gedetailleerde beleidsdocumenten over specifieke onderwerpen.

De navolgende zaken moeten in dit document aan de orde komen:

  • De directie, management of raad van bestuur van de organisatie moet in dit document haar steun uitspreken en het belang van informatiebeveiliging voor de organisatie uitleggen.
  • Er moet aangegeven worden wat de risico’s zijn met betrekking tot computerinbraken en datalekken.
  • Verantwoordelijkheden met betrekking tot informatiebeveiliging moeten beschreven zijn voor alle personeelsleden. Voor zowel voor hen die een actieve rol spelen als het reguliere personeel (beschrijving van rollen zoals die van security officer maar ook geboden en verboden voor reguliere personeelsleden).
  • Beschrijf in hoofdlijnen wat er moet gebeuren om de veiligheid van de informatie te kunnen waarborgen (risico analyses, classificeren van informatie en het beheren van de systemen et cetera)
  • Beschrijf de wettelijke bepalingen waaraan moet worden voldaan, zowel algemene, (bijvoorbeeld AVG en GDPR) als bedrijfstak specifieke regel- en wetgeving. En alle verdere van toepassing zijnde wetten met betrekking tot copyright en computermisbruik.
  • Het document moet een verwijzing bevatten naar sancties voor personeelsleden die zich niet aan het informatiebeveiligingsbeleid houden.

Verdere opmerkingen:

Het informatiebeveiligingsbeleid dient een levend document te zijn. De ontwikkelingen in de techniek, politiek en de maatschappij staan niet stil. Het is dus belangrijk dat er met enige regelmaat (minimaal een keer per jaar) gekeken wordt of het beleid nog up to date is. Zorg er ook voor dat dit op een planning staat.

Zorg dat het beleid realistisch is en dat dit wordt afgestemd met de werkvloer. Uiteindelijk zal het beleid voor het grootste gedeelte door de werknemers uitgevoerd en gedragen moeten worden.

Vermijd zoveel mogelijk ambtelijke taal en jargon. Het is juist de bedoeling dat iedereen, zowel binnen als buiten de organisatie begrijpt wat er in het beleidsdocument staat.

Het informatiebeveiligingsbeleid moet vooral de geest weergeven van wat men probeert te bereiken en niet elk onderwerp tot in de kleinste details willen beschrijven.

Voorbeeld informatiebeveiligingsdocument:

Informatiebeveiligingsbeleidsdocument

Informatiebeveiligingsbeleid

Door:

Versie 0.1

Voorwoord

Als directie/management/raad van bestuur vinden wij een goede en veilige informatievoorziening essentieel voor onze organisatie. Dit geldt zowel voor de informatie in elektronische vorm als informatie die op een andere wijze wordt opgeslagen (bijvoorbeeld op papier of andere media). Wij hebben goede informatie nodig voor het leveren van kwaliteit. Anderzijds hebben we ook de verantwoordelijk naar onze eigen organisatie, onze klanten, leveranciers en het algemene publiek, dat we op een veilige manier omgaan met de informatie die aan ons toevertrouwd wordt.
Ook willen we benadrukken dat informatiebeveiliging niet alleen de verantwoordelijkheid is van het ICT-personeel of de directie, maar dat iedereen binnen de organisatie hier continu aandacht voor dient te hebben. De wereld om ons heen verandert razendsnel en dit betekent dat de dreigingen ook steeds anders zullen zijn. Het is daarom dat wij van iedereen binnen de organisatie verwachten dat hij of zij waakzaam is en volledige medewerking zal verlenen aan dit beleid.
Namens de Directie/Raad van Bestuur/Management

[naam]

  • 1 Inleiding
    1.1 Toelichting
    Het doel van dit beleid is om informatie van de [organisatienaam] en haar belanghebbenden (derden, klanten of klanten en het algemene publiek) te beschermen binnen een beveiligde omgeving. Dit beleid informeert het personeel, klanten, leveranciers en andere personen die toegang hebben tot de faciliteiten van [organisatienaam], over de regels die van toepassing zijn op het bewaren, gebruiken en verwijderen van informatie.
    Het is het doel van de organisatie is dat:
  • Informatie wordt beschermd tegen onbevoegde toegang of misbruik.
  • De vertrouwelijkheid van informatie wordt gewaarborgd.
  • De integriteit van de informatie wordt gehandhaafd.
  • De beschikbaarheid van informatie / informatiesystemen wordt gehandhaafd voor dienstverlening.
  • Planningsprocessen voor bedrijfscontinuïteit worden gehandhaafd.
  • Regelgevende, contractuele en wettelijke vereisten zullen worden nageleefd.
  • Fysieke, logische, omgevings- en communicatiebeveiliging worden gehandhaafd.
  • Overtreding van dit beleid kan leiden tot disciplinaire maatregelen of strafrechtelijke vervolging.
  • Wanneer informatie niet meer bruikbaar is, wordt deze op een veilige manier verwijderd.
  • Alle informatiebeveiligingsincidenten worden gerapporteerd aan de daartoe aangewezen functionaris [aangeven wie dit is binnen de organisatie].

Dit informatiebeveiligingsbeleid heeft betrekking op:

  • Iedereen binnen de organisatie die toegang heeft tot informatiemiddelen of technologie. Dit omvat gebruikers, klanten en leveranciers.
  • Technologieën of diensten die worden gebruikt om toegang te krijgen tot informatiebronnen van [organisatienaam] of deze te verwerken.
  • Informatiemiddelen die namens de organisatie door de organisatie of een externe dienstverlener worden opgeslagen.
  • Informatie die voor een functioneel doel wordt overgedragen van en / of naar de organisatie
  • Informatie van derden, openbare, maatschappelijke of andere informatie die de organisatie opslaat, beheert of gebruikt namens een andere partij.
  • Interne en / of externe processen die worden gebruikt om informatie organisatie te verwerken, over te dragen of op te slaan.

1.2 Definitie van informatiebeveiliging

Informatiebeveiliging wordt als volgt gedefinieerd:
Informatiebeveiliging verwijst naar de processen en methodologieën die zijn ontworpen en geïmplementeerd om gedrukte, elektronische of enige andere vorm van vertrouwelijke, privé- en gevoelige informatie of gegevens te beschermen tegen onbevoegde toegang, gebruik, misbruik, openbaarmaking, vernietiging, wijziging of verstoring.

1.3 Doelstelling informatiebeveiligingsbeleid

  • Bevorderen van een holistische benadering van informatiebeveiligingsbeheer.
  • Het beschermen van de informatie en technologie van de organisatie tegen inbreuken op vertrouwelijkheid, integriteit en beschikbaarheid.
  • Het uitdragen van een aanpak die bruikbaarheid en veiligheid effectief in evenwicht houdt.
  • Het bevorderen van een cultuur binnen de organisatie die veiligheidsbewustzijn hoog in het vaandel heeft staan en het uitdragen van de gedachte dat informatiebeveiliging de verantwoordelijkheid van iedereen is binnen de organisatie.

1.4 Doelstelling informatiebeveiliging

  • Beschikbaarheid bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden, storingen en incidenten). Kenmerken van beschikbaarheid zijn tijdigheid, continuïteit en robuustheid.
  • Integriteit geeft de mate aan waarin de informatie actueel en correct is. Kenmerken zijn juistheid, volledigheid en geautoriseerdheid van de transacties.
  • Vertrouwelijkheid of exclusiviteit is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden. Het waarborgt dat alleen geautoriseerden toegang krijgen en dat informatie niet kan uitlekken.
  • Toerekenbaarheid geeft de garanties dat bij een transactie waarin twee partijen betrokken zijn aantoonbaar is dat beide partijen deel hebben genomen aan de transactie; bijvoorbeeld een verzender kan aantonen dat de ontvanger ontvangen heeft en de ontvanger kan aantonen wie de verzender was.
    (bron: Wikipedia)

1.5 Bereik
Het informatiebeveiligingsbeleid is van toepassing op de gehele organisatie. Zoals personeel, tijdelijke medewerkers en medewerkers van leveranciers die op enige manier toegang hebben tot faciliteiten of gegevens van onze organisatie. Het beleid is ook van toepassing op mogelijke gegevensuitwisseling met andere organisaties.

1.6 Verantwoordelijkheid informatiebeveiligingsbeleid
De directie/Management/Raad van Bestuur is eindverantwoordelijk voor het informatiebeveiligingsbeleid en heeft dit beleid op [datum] vastgesteld.
De [Security Officer/informatiebeveiligingsfunctionaris] is verantwoordelijk voor het opstellen en onderhouden van het informatiebeveiligingsbeleid.

1.7 Uitwerking informatiebeveiligingsbeleid
Het informatiebeveiligingsbeleid is verder uitgewerkt in de navolgende documenten:
Specifieke zaken zoals reglementen, handboeken en gedragscodes dienen in losse documenten beschreven worden. Zoals bijvoorbeeld:

  • Handboeken
  • Reglementen
  • Plannen
    Beschrijf hieronder welke documenten er allemaal in gebruik zijn die betrekking hebben op informatiebeveiliging. Het is verstandig om deze documenten samen met het informatiebeveiligingsbeleid te publiceren op een prominente plek op het intranet van de organisatie.

2 Uitgangspunten informatiebeveiliging

De volgende uitgangspunten worden gehanteerd:

  • De organisatie voldoet aan alle, van toepassing zijnde, wet- en regelgeving.
  • De organisatie stimuleert het beveiligingsbewustzijn van management en medewerkers en stelt daarvoor ook middelen beschikbaar (online training etc.)
  • De organisatie heeft gedragsregels voor het gebruik van informatievoorzieningen. Bij overtreding van deze regels kunnen door de directie/management/raad van bestuur sancties opgelegd worden zoals dit is vastgelegd in de van toepassing zijnde arbeidsovereenkomst of CAO (bijvoorbeeld disciplinaire maatregelen of ontslag).Bij een geconstateerd misdrijf zal er altijd aangifte worden gedaan bij de politie.
  • Systemen zijn voldoende beschermd tegen onbevoegde toegang.
  • Systemen worden tegen diefstal en beschadiging op een kosteneffectief niveau beveiligd.
  • Er worden passende maatregelen genomen om de beschikbaarheid van het informatiesysteem te verzekeren, in overeenstemming met het belang ervan (bedrijfscontinuïteit).
  • Elektronische gegevens kunnen worden hersteld in geval van verlies van de primaire bron. D.w.z. storing of verlies van een computersysteem. Het is de taak van alle systeemeigenaren om een back-up van gegevens te maken en gegevens te herstellen tot een niveau dat in overeenstemming is met het belang ervan (Disaster Recovery).
  • De gegevens worden met een hoge mate van nauwkeurigheid onderhouden.
  • Systemen worden gebruikt voor het beoogde doel en er zijn procedures om ontdekt of gemeld misbruik te corrigeren.
  • Het personeel van de organisatie heeft geen recht op privacy met betrekking tot hun gebruik van de tot de organisatie behorende informatiesystemen. De daartoe gerechtigd functionarissen van de organisatie hebben toegang tot de persoonsgegevens in alle informatiesysteem (mailboxen, logboeken voor webtoegang, bestandsopslag, applicaties enz.) kunnen deze controleren. Het is ook mogelijk dat de controle op een geautomatiseerde wijze plaatsvindt.

3 Organisatie van informatiebeveiliging

Hieronder worden de verschillende taken en rollen beschreven met betrekking tot informatiebeveiliging. Dit kan per organisatie sterk verschillen afhankelijk van de grootte en de sector waarin men actief is en de eventuele wet- en regelgeving die daarvoor geldt.

3. 1 Rollen

Eindverantwoordelijke
Een directielid of een teamlid van het managementteam.
Security Officer / informatiebeveiligingsfunctionaris
De persoon die ervoor zorgt en bewaakt dat de noodzakelijk maatregelen ingevoerd, onderhouden en uitgevoerd worden. Dit betekent niet dat deze persoon dit ook zelf moet uitvoeren, maar wel de regie houdt over alles wat met informatiebeveiliging te maken heeft. Waar nodig worden experts of derden ingezet onder toezicht van de security officer.
Rapportage:
Eens per maand rapporteert de security officer/informatiebeveiligingsfunctionaris aan de directie alle relevante zaken m.b.t. informatiebeveiling, waaronder:

  • Bevindingen
  • Overzicht van monitoring gegevens
  • Overzicht van veiligheidsincidenten
  • Overzicht van bedreigingen
  • Aanbevelingen

3.2 Noodhulpteam

In geval van incidenten en calamiteiten met betrekking tot informatiebeveiliging is er een noodhulpteam beschikbaar, bestaande uit relevant personeel dat op zeer korte termijn opgeroepen kan worden om een incident of calamiteit te bestrijden.
Denk hierbij aan de security officer/informatiebeveiligingsfunctionaris, technisch personeel, zowel uit eigen gelederen als van leveranciers, vertegenwoordigers van het managementteam, HR, de afdeling communicatie en juridische zaken.