Informatiebeveiligingsbeleid

/ Informatiebeveiliging / Door

ISO 27001 gaat over informatiebeveiliging en daar hoort een informatiebeveiligingsbeleid bij. Maar in de norm staan meer onderwerpen waar beleid voor gemaakt moet worden. Je kan dit zien als sub-beleid, want deze beleidsuitgangspunten moeten een verbijzondering zijn van het informatiebeveiligingsbeleid. Maar wat moet er nu precies instaan en wat is dat nu eigenlijk “beleid”?

De norm en beleid

Als eerste maar eens de norm doornemen op de term beleid. Je ziet dan dat er op diverse plekken in de norm gesproken wordt over beleid. Hieronder een opsomming van de hoofdstukken:

  • 5.1 Leiderschap en betrokkenheid
  • 5.2 Beleid
  • A.5.1.1 Beleidsregels voor Informatiebeveiliging
  • A.6.2.1 Beleid voor mobiele apparatuur
  • A.6.2.2 Telewerken
  • A.9.1.1 Beleid voor toegangsbeveiliging
  • A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen
  • A.10.1.2 Sleutelbeheer
  • A.11.2.9 ‘Clear desk’- en ‘clear screen’-beleid
  • A.12.3.1 Back-up van informatie
  • A.13.2.1 Beleid en procedures voor informatietransport
  • A.14.2.1 Beleid voor beveiligd ontwikkelen
  • A.15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties

Wat is beleid

Wanneer je beleid opzoekt in Wikipedia, dan krijg je de volgende definitie: Beleid is het stellen van doelen, middelen en een tijdpad in onderlinge samenhang. Liefst zijn plaats en tijd omschreven. Onder beleid wordt dus verstaan het aangeven van de richting en de middelen waarmee men gestelde organisatiedoelen wil gaan realiseren binnen de gestelde periode.

In de ISO 27000 wordt beleid als volgt gedefinieerd: Algehele intentie en richting die formeel door de directie wordt onderschreven.

Tot zover de definities, maar nu de vraag: “En hoe nu verder?”.

Beleid definiëren

Kijk nog eens goed naar jouw missie en visie. Wat staat daarin dat jouw bedrijf doet? Dit is een beging voor het opstellen van beleid.

Denk ook nog even aan de klanttevredenheid, het beschermen van persoonsgegevens of een veilige werkomgeving.

Vervolgens ga je bepalen wat je met informatiebeveiliging wilt bereiken; wat is je doel. Door dit te doen, maak je een link naar de missie en visie van jouw bedrijf. Maar niet alleen naar de missie en visie, maar ook naar de algemene doelstellingen van jouw organisatie. Denk hierbij aan klanten die jou aanbevelen (klanttevredenheid), het hanteren van OWASP richtlijnen of gebruiken van sterke wachtwoorden (beschermen van persoonsgegevens) en een prettige werksfeer (veilige werkomgeving).

ISO 27001 en de eisen aan beleid

De norm stelt op diverse plekken eisen aan het beleid. De belangrijkste eisen zijn:

  • Het beleid moet passend zijn voor het doel van de organisatie (het beleid moet dus aansluiten bij de strategische richting van jouw organisatie)
  • Het beleid moet informatiebeveiligingsdoelstellingen bevatten
  • Het beleid moet vastgelegd zijn
  • Het beleid moet worden gecommuniceerd binnen de organisatie
  • Het beleid moet een verbintenis bevatten tot continue verbetering van het managementsysteem voor informatiebeveiliging

Hulp nodig

Heb je hulp nodig bij het opstellen van jouw informatiebeveiligingsbeleid? Neem dan contact met mij op.