Anno 2016 lopen we wereldwijd tegen diverse security uitdagingen aan. Iedere organisatie kan het doelwit zijn. Terroristische aanslagen, succesvolle hacks en het lekken van persoonlijke en/ of bedrijfskritische data. 

Deze gebeurtenissen hebben onder andere geleid tot de huidige wet- en regelgeving. Om als organisatie hierop te kunnen inspelen, raden wij aan een informatiebeveiligingsbeleid in te zetten. Voor vele organisaties is dit geen aangename bezigheid, maar in vele gevallen wél essentieel! De komende twee blogs ga ik u meer vertellen over het nut en de wijze waarop een informatiebeveiligingsbeleid ingericht kan worden.

Wat houdt een informatiebeveiligingsbeleid in?

Het informatiebeveiligingsbeleid definieert hoe met data en informatie op verschillende beveiligingsniveaus omgegaan dient te worden. Een goed informatiebeveiligingsbeleid omvat het ontwerpen, implementeren en onderhouden van een verscheidenheid aan samenhangende maatregelen. Dit geldt voor zowel organisatorisch, communicatief als technologisch gebied. Het informatiebeveiligingsbeleid is bedoeld om proactief te kunnen handelen in het geval beveiligingsrisico’s zich voordoen. Het richt zich specifiek op de wijze hoe security risico’s voorkomen kunnen worden of een acceptatie kennen binnen de organisatie.

Doel informatiebeveiligingsbeleid
Het informatiebeveiligingsbeleid heeft als doel om de omvattende data binnen de organisatie beschikbaar te stellen, controleerbaar te stellen en te borgen. Het biedt daarmee:

  • Een formele basis als kader voor alle activiteiten op het gebied van informatiebeveiliging;
  • Kaders omtrent informatiebeveiligingsniveau door een set van minimum eisen vast te leggen;
  • Een onafhankelijke controle van het informatiebeveiligingsniveau met behulp van een toetsingskader.

Informatiebeveiligingsbeleid als onderdeel van uw organisatie

In een positieve situatie is het informatiebeveiligingsbeleid onderdeel van het totale bedrijfsbeleid. Een beleid dat door directie duidelijk dient te worden gecommuniceerd en waarvan de bedrijfsbelangen voor iedereen geldt die werkzaamheden uitvoert onder verantwoordelijkheid van de betreffende organisatie. Het management heeft de verantwoordelijkheid om zowel de fysieke- als logische beveiliging te structureren en met regelmaat te toetsen op kwaliteit. Bij met name het management blijft dit een doorlopend proces.

Een goed informatiebeveiligingsbeleid is onderhevig aan veranderingen vanwege zowel wijzigingen vanuit de business als technologie dat continu in beweging is. Daarnaast bestaan er de nodige regelgeving en richtlijnen die organisaties dwingen om bepaalde maatregelen te treffen. Denk hierbij aan de Wet Bescherming Persoonsgegevens (WBP), maar ook aan normenkaders zoals o.a. ISO27001/ 27002 en NEN7510.

Tot slot

In het volgende blog ga ik verder in op de informatiebeveiliging als onderdeel van uw organisatie. Wilt u tussentijds meer weten over de wettelijke verplichting omtrent informatiebeveiliging en het praktisch invullen van op voorhand te nemen maatregelen? Neemt u dan gerust contact met ons op.