In deze blogpost neem ik je mee door onze template voor een effectief informatiebeveiligingsbeleid. Je kunt deze template en handleiding als voorbeeld gebruiken om een beveiligingsbeleid voor jouw organisatie te schrijven en daarmee de informatiebeveiliging binnen je organisatie te verbeteren. Een effectief informatiebeveiligingsbeleid is een belangrijk instrument om een gezonde en goede IT veiligheidscultuur binnen je organisatie te creëren en te behouden.
Inhoudsopgave
Wat is het verschil tussen een informatiebeveiligingsbeleid en richtlijnen voor ICT gebruik?
Wanneer je binnen je organisatie met IT security werkt, kan het erg zinvol zijn om een informatiebeveiligingsbeleid en richtlijnen voor ICT gebruik op te stellen, ongeacht de grootte van je organisatie. Met een beleid en een set richtlijnen zet je de toon voor je ICT beveiligingswerk, waardoor je beveiliging sterker wordt.
Informatiebeveiligingsbeleid
Het doel van een informatiebeveiligingsbeleid is om de organisatie een algemeen kader aan te reiken dat doelstellingen bevat en de verantwoordelijkheid voor de informatiebeveiliging delegeert. Het is een klein document van slechts enkele pagina’s. Je kan het zien als een memo met de ambities omtrent IT security binnen je organisatie.
Richtlijnen voor ICT gebruik
Het document ‘Richtlijnen voor ICT gebruik’ vormt een groter document met daarin de regels en richtlijnen die alle medewerkers moeten naleven. Waar het informatiebeveiligingsbeleid algemeen en strategisch is, zijn de richtlijnen voor ICT gebruik concreet en inzetbaar.
Het kan bijvoorbeeld gaan om richtlijnen rond wachtwoordsterkte, veilig gebruik van wifi en internet of e-mailveiligheid met betrekking tot persoonlijke gegevens.
In deze blogpost neem ik je mee door de template voor een effectief informatiebeveiligingsbeleid en vertel ik je waar je op moet letten bij het opstellen van een IT beveiligingsbeleid voor je eigen organisatie.
Luister naar onze podcast over het IT-beveiligingsbeleid
Wat is een informatiebeveiligingsbeleid: stapsgewijze handleiding
Het doel van het informatiebeveiligingsbeleid is, zoals eerder vermeld, om het kader te creëren voor het ICT beveiligingswerk van de organisatie. Het beleid helpt je om doelen te stellen, verantwoordelijkheden te delegeren en ontwikkelingen te rapporteren.
Ik zal nu iedere stap van de informatiebeveiligingsbeleid template doornemen met opmerkingen over hoe je deze kunt gebruiken en waar je rekening mee moet houden.
We raden je ten zeerste aan om de template erbij te pakken terwijl je deze handleiding leest, omdat deze vol met nuttige voorbeelden staat.
Het informatiebeveiligingsbeleid bevat zeven onderdelen die je kunt gebruiken en aanvullen. Deze onderdelen zijn:
- Doel
- Geldigheid
- Doelstellingen
- Organisatie en verantwoordelijkheden
- Ontheffingen
- Rapportering
- Overtreding
Het eerste onderdeel waar je over moet nadenken, is het doel van het informatiebeveiligingsbeleid. Het doel zal vrijwel altijd zijn om kaders te stellen voor het beheer van informatiebeveiliging binnen de organisatie. In dit gedeelte kan je bijvoorbeeld schrijven:
“Het beveiligingsbeleid definieert het kader voor het beheer van informatiebeveiliging binnen X.”
Stap 2: Geldigheid
Geldigheid heeft betrekking tot op wie het IT beveiligingsbeleid invloed heeft. Vaak gaat het hier om alle medewerkers binnen de organisatie. Het kan echter ook betrekking hebben op consultants die voor de organisatie werken en iedereen die het IT systeem binnen de organisatie gebruikt. Het is dus aan jou om te beslissen wie er in het beleid zal worden opgenomen.
Je zou het als volgt kunnen formuleren:
“Het beveiligingsbeleid is van toepassing op alle medewerkers binnen X en de volledige toegang tot de informatiesystemen van X.”
Stap 3: Doelstellingen
Het derde onderdeel betreft de doelstellingen. De doelstellingen vormen in veel opzichten het centrale element van het beleid. Dit is de plek waar je definieert wat je wilt bereiken. Je zit op één lijn met je informatiebeveiligingsbeleid wanneer de doelstellingen bereikt worden.
In onze template staan 8 voorbeelden van mogelijke doelstellingen die kunnen worden toegepast, aangepast of verwijderd om bij jouw organisatie aan te sluiten. Het is belangrijk om te bedenken waarom je de gekozen doelstellingen kiest en of deze realistisch zijn. De 8 voorbeelden zijn te vinden in de template; hieronder zie je één ervan:
““X gebruikt een risicogebaseerde aanpak waarbij het beveiligingsniveau en de kosten ervan gebaseerd moeten zijn op de bedrijfsrisico- en impactbeoordeling die minimaal een keer per jaar moeten worden uitgevoerd.”
De voorbeelden in onze IT beveiligingsbeleid template wijzen in de richting van reeds bestaande kaders, zoals ISO 27001. Dit wordt gedaan omdat het onnodig is om het wiel opnieuw uit te vinden wanneer je een beveiligingsbeleid schrijft. Het is geen enkel probleem om reeds bestaande kaders te gebruiken.
In de voorbeelden gebruiken we het woord streven een aantal keer. Sommige mensen zouden kunnen denken dat het vaag is om een woord als ‘streven’ te gebruiken in een doelstelling, maar we gebruiken dit woord als erkenning voor de hoeveelheid werk dat nodig is om te voldoen aan ISO 27001 en alle AVG-regelgeving. Voor veel organisaties zou het niet realistisch kunnen zijn om hieraan te voldoen. Door het woord ‘streven’ te gebruiken, stel je dus eisen om in de goede richting te bewegen, maar accepteer je ook dat het een traject is. Voor veel organisaties is het simpelweg onmogelijk om zich vanaf dag één aan alle regels te houden.
Het informatiebeveiligingsbeleid is een document dat altijd in ontwikkeling is en dat met regelmaat opnieuw moet worden beoordeeld. De formulering kan op verschillende momenten veranderen omdat je organisatie veiliger is geworden. Door het beleid elk jaar opnieuw te beoordelen en bij te schaven, zal je veranderingen in de doelstellingen zien die aansluiten bij jouw organisatie.
Regelmatig je IT-beveiligingsbeleid herzien zorgt ervoor dat het beleid geen oud en stoffig document wordt, en een actief instrument in je beveiligingswerk blijft.
Stap 4: Organisatie en verantwoordelijkheid
De verantwoordelijkheid voor IT-beveiliging moet in de hele organisatie worden gedelegeerd. Het beleid kan hiervoor een effectief middel zijn.
Je kunt ervoor kiezen om een medewerker aan te stellen die toezicht houdt op de hele IT-afdeling en zich bezighoudt met de dagelijkse taken en operaties, of het kan ook de functionaris voor gegevensbescherming zijn. Je moet er echter voor zorgen dat andere medewerkers in je organisatie ook betrokken en verantwoordelijk zijn voor IT-beveiliging. Het doel is om medewerkers op elk niveau van de organisatie te stimuleren actief mee te werken aan het versterken van de IT-beveiliging.
Zoals weergegeven in de template voor IT-beveiligingsbeleid, kan het delegeren van de verantwoordelijkheid er bijvoorbeeld zo uitzien:
- De raad van bestuur heeft de eindverantwoordelijkheid voor de informatiebeveiliging binnen X.
- De directie of het management is verantwoordelijk voor de managementbeginselen en delegeert specifieke verantwoordelijkheden voor beveiligingsmaatregelen, waaronder ownership van informatiesystemen.
- Ownership wordt vastgesteld voor elk kritisch informatiesysteem. De eigenaar bepaalt hoe beveiligingsmaatregelen worden gebruikt en beheerd in overeenstemming met het beveiligingsbeleid.
- De IT afdeling overlegt, coördineert, controleert en rapporteert over de status van de beveiliging. De IT afdeling stelt richtlijnen en procedures op.
- De individuele medewerker is verantwoordelijk voor het naleven van het informatiebeveiligingsbeleid en wordt hierover geïnformeerd via het ‘ICT gebruiksbeleid’.
Het is belangrijk om op te merken dat het niet noodzakelijk is dat de IT afdeling de eigenaar van ieder IT systeem is. Het kan bijvoorbeeld zo zijn dat de marketingafdeling de eigenaar is van de website van het bedrijf. Daarom is het belangrijk dat het delegeren van de verantwoordelijkheden een weerspiegeling is van de realiteit van de organisatie.
Stap 5: Ontheffing
Ontheffingen zijn uitzonderingen waarvoor geldt dat de verantwoordelijkheid en de doelstellingen niet van toepassing zijn. Mocht je geen duidelijke uitzonderingen hebben, kan je een ontheffing zodanig formuleren dat je het wijzigen ervan in de toekomst mogelijk maakt:
“Ontheffingen voor het informatiebeveiligingsbeleid en de richtlijnen van X worden goedgekeurd door de IT afdeling op basis van de richtlijnen die zijn opgesteld door de directie.”
Stap 6: Rapportering
Rapportage is belangrijk omdat het een feedbackloop en procedure creëert in het werk met betrekking tot de ICT beveiliging. De rapportage benadrukt de verantwoordelijkheden. Als de IT afdeling bijvoorbeeld moet rapporteren aan de directie, dan wordt vooruitgang gegarandeerd omdat de IT afdeling concrete resultaten moet kunnen aantonen in de rapportages.
Rapportage zorgt daarom voor vooruitgang in de richting van de doelstellingen en zorgt ervoor dat verantwoordelijkheden worden gerespecteerd.
Deze paragraaf zou je als volgt kunnen formuleren:
- De IT afdeling informeert de directie over alle relevante beveiligingsproblemen.
- De status van ontheffingen wordt opgenomen in het jaarverslag van de IT afdeling aan de directie.
- De directie beoordeelt jaarlijks de beveiligingsstatus en rapporteert vervolgens aan de raad van bestuur.
Stap 7: Overtreding
De laatste stap voor het opzetten van het informatiebeveiligingsbeleid betreft wat de gevolgen zijn als iemand het beleid opzettelijk niet naleeft. Het kan de verantwoordelijkheid van de HR-afdeling zijn om dergelijke overtredingen af te handelen, maar het kan ook de persoon zijn die verantwoordelijk is voor de volledige ICT afdeling. Het belangrijkst is om zwart op wit te hebben wie er in actie moet komen bij een overtreding. Op deze manier zorg je ervoor dat de situatie goed kan worden afgehandeld. In onze template hebben we geschreven:
“Opzettelijke overtreding en misbruik worden door de IT afdeling gemeld bij de HR-afdeling en de dichtstbijzijnde autoriteit met hoofdverantwoordelijkheid. Overtreding van het informatiebeveiligingsbeleid en ondersteunende richtlijnen kan leiden tot arbeidsrechtelijke gevolgen.”
Het informatiebeveiligingsbeleid is het kader voor jouw beveiliging
Deze zeven onderdelen vormen jouw informatiebeveiligingsbeleid. Het hoeft niet meer dan enkele pagina’s in beslag te nemen, omdat het ‘slechts’ het kader vormt van het beveiligingswerk van de organisatie.
Als de ambities en doelstellingen op orde zijn, kunnen jij en je organisatie in concretere regels en richtlijnen duiken die de medewerkers na dienen te leven. Deze regels en richtlijnen staan meestal uitgeschreven in een ander document genaamd Richtlijnen voor ICT gebruik.
Het informatiebeveiligingsbeleid en de richtlijnen voor ICT gebruik vormen samen de basis voor een sterke ICT veiligheidscultuur binnen je organisatie.
Het is belangrijk om de documenten jaarlijks bij te werken om ervoor te zorgen dat ze up-to-date en inzetbaar blijven. Je moet actief met de doelstellingen en regels in de twee documenten omgaan om ervoor te zorgen dat je organisatie vooruitgang boekt.
Bereik de doelen in je IT-beveiligingsbeleid door continu te leren
Ik hoop dat je de template voor het IT-beveiligingsbeleid nuttig vond! Onthoud dat het schrijven van een IT-beveiligingsbeleid slechts één stap is naar een sterkere beveiligingscultuur binnen je organisatie. Alleen je medewerkers vertellen over je informatiebeveiligingsbeleid, hoewel noodzakelijk, is niet voldoende om goede IT-beveiligingsgewoonten te bevorderen. We raden aan om continu te leren over IT-beveiligingsbedreigingen door middel van bewustwordingstraining en phishing-tests. Als we je met deze methoden kunnen helpen een sterkere beveiligingscultuur te bereiken, aarzel dan niet om contact op te nemen met ons team.
Je kunt ook onze video over het opstellen van een IT-beveiligingsbeleid hier bekijken