Anno 2016 lopen we wereldwijd tegen diverse security uitdagingen aan. Iedere organisatie kan het doelwit zijn. Terroristische aanslagen, succesvolle hacks en het lekken van persoonlijke en/ of bedrijf kritische data.

Deze gebeurtenissen hebben onder andere geleid tot de huidige wet- en regelgeving. Om als organisatie hierop te kunnen inspelen, raden wij aan een informatiebeveiligingsbeleid in te zetten. Voor vele organisaties is dit geen aangename bezigheid, maar in vele gevallen wél essentieel! In de afgelopen blog ben ik ingegaan op het doel van het informatiebeveiligingsbeleid. In deze blog ga ik in op welke wijze een informatiebeveiligingsbeleid als onderdeel van uw organisatie kan worden ingericht.

‘Bewust risico’s nemen’ in plaats van ‘onbewust risico’s lopen’Hoeve

Het borgen van informatie wordt veelal volgens strikte uitgangspunten en randvoorwaarden binnen het beleid verzorgd. Onder het motto ‘bewust risico’s nemen’ in plaats van ‘onbewust risico’s lopen’ moet duidelijk zijn welke bedreigingen er bestaan en welk informatiebeveiligingsniveau een organisatie nodig acht. Op basis hiervan kunnen vervolgens passende maatregelen genomen worden om risico`s te kunnen voorkomen of de gevolgen daarvan op voorhand zoveel mogelijk te verminderen.

Om dit te realiseren is het van belang om de minimum vereisten in kaart te brengen waaraan de beveiliging van de informatie aan dient te voldoen. Aan te raden is dat deze set van eisen op een onafhankelijke wijze gecontroleerd wordt, zodat deze van toepassing is voor alle medewerkers, onderdelen van de organisatie, werkprocessen en informatiesystemen. Dit is de basis om het beveiligingsbeleid ook daadwerkelijk te kunnen waarborgen. Normaliter blijven er ook risico’s over welke (bewust) niet door bepaalde maatregelen opgevangen worden, maar waarvan het bewustzijn op voorhand wel aanwezig is.

Haalbaarheid en praktische invulling van het beveiligingsbeleid

Van belang is dat het informatiebeveiligingsbeleid financierbaar en praktisch blijft, zodat deze op een zo eenvoudige manier uit te voeren is. Het gaat niet alleen om de digitale informatie, maar ook om de informatie op papier. Aangezien het beveiligen van de woonkamer geen zin heeft als de voordeur open staat, is ook de fysieke beveiliging onderdeel van het informatiebeveiligingsbeleid.

De informatievoorziening bestaat qua beveiligingsproblematiek uit zeer uiteenlopende componenten. Door middel van risicoanalyses kunnen voor elke component de specifieke bedreigingen geïdentificeerd en geanalyseerd worden. Deze analyse kan vervolgens gebruikt worden om passende maatregelen te kunnen doorvoeren o.b.v. de in het informatiebeveiligingsbeleid vastgelegde minimum eisen.

Tot slot

Ik kan begrijpen dat er veel vragen over de (detail) invulling van het informatiebeveiligingsbeleid blijven bestaan. Wilt u meer weten over de wettelijke verplichting omtrent de informatiebeveiliging en de praktische invulling van de op voorhand te nemen maatregelen? Neemt u dan gerust contact met ons op.
Auteur: Oscar Otten