Informatiebeveiligingsbeleid – Een Stapsgewijze Handleiding

Anders Bryde Thornild
By: Anders Bryde Thornild Cybersecurity | 7 december

In deze blogpost neem ik je mee door onze template voor een effectief informatiebeveiligingsbeleid. Je zal een beleid kunnen opzetten voor jouw organisatie en daarmee de informatiebeveiliging binnen je organisatie kunnen verbeteren. Het informatiebeveiligingsbeleid is een belangrijk instrument om een gezonde en goede veiligheidscultuur binnen je organisatie te creëren en te behouden.

 

Wat is het verschil tussen een informatiebeveiligingsbeleid en richtlijnen voor ICT gebruik?

Wanneer je binnen je organisatie met IT security werkt, kan het erg zinvol zijn om een informatiebeveiligingsbeleid en richtlijnen voor ICT gebruik op te stellen. Met een beleid en een set richtlijnen zet je de toon voor je ICT beveiligingswerk waardoor je beveiliging sterker wordt.

Het doel van een informatiebeveiligingsbeleid is om de organisatie een ​​algemeen kader aan te reiken dat doelstellingen bevat en de verantwoordelijkheid voor de informatiebeveiliging delegeert. Het is een klein document van slechts enkele pagina’s. Je kan het bekijken als een memo met de ambities inzake IT security van de organisatie.

Het document ‘Richtlijnen voor ICT gebruik’ vormt een groter document met daarin de regels en richtlijnen die alle medewerkers moeten naleven. Waar het beleid algemeen en strategisch is, zijn de richtlijnen concreet en inzetbaar.

In deze blogpost neem ik je mee door de template voor een effectief informatiebeveiligingsbeleid en vertel ik je waar je op moet letten bij het opstellen van een eigen beleid voor jouw organisatie.

 

Wat is een informatiebeveiligingsbeleid: stap voor stap

Het doel van het informatiebeveiligingsbeleid is, zoals eerder vermeld, om het kader te creëren voor het ICT beveiligingswerk van de organisatie. Het beleid helpt je om doelen te stellen, verantwoordelijkheden te delegeren en ontwikkelingen te rapporteren.

Ik zal nu iedere stap van de template doornemen met opmerkingen over hoe deze te gebruiken en waar je rekening mee moet houden.

We raden je ten zeerste aan om de template erbij te nemen terwijl je deze handleiding leest, omdat deze boordevol staat met nuttige voorbeelden.

Smart CTA IT-security-policy NL

Het informatiebeveiligingsbeleid bevat zeven onderdelen die je kan gebruiken en aanvullen. Deze onderdelen zijn:

  • Doel
  • Geldigheid
  • Doelstellingen
  • Organisatie en verantwoordelijkheden
  • Ontheffingen
  • Rapportering
  • Overtreding

 

Stap 1: Doel

Het eerste onderdeel waar je over moet nadenken, is het doel van het beleid. Het doel zal vrijwel altijd zijn om de kaders te stellen voor het beheer van informatiebeveiliging binnen de organisatie. In dit gedeelte kan je bijvoorbeeld zoiets schrijven als:


“Het beveiligingsbeleid definieert het kader voor het beheer van informatiebeveiliging binnen X.”

 

Stap 2: Geldigheid

Geldigheid heeft betrekking tot op wie het beleid invloed heeft. Vaak gaat het hier om alle medewerkers binnen de organisatie. Het kan echter ook betrekking hebben op consultants die voor de organisatie werken en iedereen die het IT systeem binnen de organisatie gebruikt. Het is dus aan jou om te beslissen wie er in het beleid zal worden opgenomen.

Je zou het als volgt kunnen formuleren:

“Het beveiligingsbeleid is van toepassing op alle medewerkers binnen X en de volledige toegang tot de informatiesystemen van X.”

 

Stap 3: Doelstellingen

Het derde onderdeel betreft de doelstellingen. De doelstellingen vormen in veel opzichten het centrale element van het beleid. Dit is de plek waar je definieert wat je wilt bereiken. Je zit op één lijn met je beleid wanneer de doelstellingen bereikt worden.

In onze template staan ​​8 voorbeelden van mogelijke doelstellingen die kunnen worden toegepast, aangepast of verwijderd om bij jouw organisatie aan te sluiten. Het is belangrijk om te bedenken waarom je de gekozen doelstellingen kiest en of deze realistisch zijn. De 8 voorbeelden zijn te vinden in de template; hieronder zie je één ervan:


“X gebruikt een risicogebaseerde aanpak waarbij het beveiligingsniveau en de kosten ervan gebaseerd moeten zijn op de bedrijfsrisico- en impactbeoordeling die minimaal een keer per jaar moeten worden uitgevoerd.”

De voorbeelden in onze template wijzen in de richting van reeds bestaande kaders zoals ISO 27001:2013. Dit wordt gedaan omdat het onnodig is om het wiel opnieuw uit te vinden. Het is geen enkel probleem om reeds bestaande kaders te gebruiken.

In de voorbeelden gebruiken we het woord streven een aantal keer. Sommige mensen zouden erop wijzen dat het vaag is om een ​​woord als streven te gebruiken in een doelstelling. Het gebruik van dit woord dient te worden begrepen als een begrip van de hoeveelheid werk die er nodig is om aan ISO 27001:2013 en alle AVG-voorschriften te voldoen. Voor veel organisaties zou het geen realistische doelstelling zijn om hieraan te voldoen. Door het woord ‘streven’ te gebruiken, stel je dus eisen om in de goede richting te bewegen, maar accepteer je ook dat het een traject is. Voor veel organisaties is het simpelweg onmogelijk om zich vanaf dag één aan alle regels te houden.

Het beveiligingsbeleid is een document dat altijd in ontwikkeling is en dat met regelmaat opnieuw moet worden beoordeeld. De formulering kan op verschillende momenten veranderen omdat je binnen je organisatie slimmer en beter bent geworden. Dus door het beleid elk jaar opnieuw te beoordelen en bij te schaven, zal je veranderingen in de doelstellingen zien om ze bij jouw organisatie aan te laten sluiten.

Dit zorgt ervoor dat het beleid geen oud en stoffig document wordt, maar een actief instrument in je beveiligingswerk is.


Stap 4: Organisatie en verantwoordelijkheid

Je moet de verantwoordelijkheid voor IT security binnen de organisatie delegeren. Met behulp van het beleid kan je dit effectief aanpakken.

Wellicht is het de persoon die verantwoordelijk is voor de IT die zich bezighoudt met de dagelijkse taken en activiteiten, maar er dienen tevens verantwoordelijkheden en taken op andere posities binnen de organisatie te zijn. Op alle niveaus van de organisatie, van bestuursleden tot medewerkers, dient er verantwoordelijkheid te worden gedragen.

Zoals getoond in de template kan het delegeren van de verantwoordelijkheid er bijvoorbeeld zo uitzien:

Het is belangrijk om op te merken dat het niet noodzakelijk is dat de IT afdeling de eigenaar is van ieder IT systeem. Het kan bijvoorbeeld zo zijn dat de marketingafdeling de eigenaar is van de website van het bedrijf. Daarom is het belangrijk dat het delegeren van de verantwoordelijkheden een weerspiegeling is van de realiteit van de organisatie.

  • De raad van bestuur heeft de eindverantwoordelijkheid voor de informatiebeveiliging binnen X.
  • De directie of het management is verantwoordelijk voor de managementbeginselen en delegeert specifieke verantwoordelijkheden voor beveiligingsmaatregelen, waaronder het ownership van informatiesystemen.
  • Ownership wordt vastgesteld voor elk kritisch informatiesysteem. De eigenaar bepaalt hoe beveiligingsmaatregelen worden gebruikt en beheerd in overeenstemming met het beveiligingsbeleid.
  • De IT afdeling overlegt, coördineert, controleert en rapporteert over de status van de beveiliging. De IT afdeling stelt richtlijnen en procedures op.
  • De individuele medewerker is verantwoordelijk voor het naleven van het beveiligingsbeleid en wordt hierover geïnformeerd via het ‘ICT gebruiksbeleid’.

Het is belangrijk om op te merken dat het niet noodzakelijk is dat de IT afdeling de eigenaar is van ieder IT systeem. Het kan bijvoorbeeld zo zijn dat de marketingafdeling de eigenaar is van de website van het bedrijf. Daarom is het belangrijk dat het delegeren van de verantwoordelijkheden een weerspiegeling is van de realiteit van de organisatie.

 


Stap 5: Ontheffing

Ontheffingen zijn uitzonderingen waarvoor geldt dat de verantwoordelijkheid en de doelstellingen niet van toepassing zijn. Mocht je geen duidelijke uitzonderingen hebben, kan je een ontheffing zodanig formuleren dat je het wijzigen ervan in de toekomst mogelijk maakt:

“Ontheffingen voor het informatiebeveiligingsbeleid en de richtlijnen van X worden goedgekeurd door de IT afdeling op basis van de richtlijnen die zijn opgesteld door de directie.”

 


Stap 6: Rapportering

Rapportage is belangrijk omdat het een feedbackloop en procedure creëert in het werk met betrekking tot de ICT beveiliging. De rapportage benadrukt de verantwoordelijkheden. Als de IT afdeling bijvoorbeeld moet rapporteren aan de directie, dan wordt vooruitgang gestimuleerd omdat de IT afdeling concrete resultaten moet kunnen aantonen in de rapportages.

De rapportering garandeert de vooruitgang in het werk met betrekking tot de doelstellingen en zorgt ervoor dat verantwoordelijkheden worden gerespecteerd.

Deze paragraaf zou je als volgt kunnen formuleren:

  • De IT afdeling informeert de directie over alle relevante beveiligingsproblemen
  • De status van ontheffingen wordt opgenomen in het jaarverslag van de IT afdeling aan de directie
  • De directie beoordeelt jaarlijks de beveiligingsstatus en rapporteert vervolgens aan de raad van bestuur
 


Stap 7: Overtreding

De laatste stap voor het opzetten van het informatiebeveiligingsbeleid betreft wat de gevolgen zijn indien iemand het beleid opzettelijk niet naleeft. Het kan de verantwoordelijkheid van de HR-afdeling zijn om dergelijke overtredingen af te handelen, maar het kan ook de persoon zijn die verantwoordelijk is voor de volledige ICT. Het belangrijkste is om zwart op wit te hebben wie er in actie moet komen bij een overtreding. Op die manier zorg je ervoor dat de situatie wordt aangepakt. In onze template zeggen we:
 

“Opzettelijke overtreding en misbruik worden door de IT afdeling gemeld bij de HR-afdeling en de dichtstbijzijnde autoriteit met hoofdverantwoordelijkheid. Overtreding van het informatiebeveiligingsbeleid en ondersteunende richtlijnen kan leiden tot arbeidsrechtelijke gevolgen.”

 

Smart CTA_e-book NL


Het informatiebeveiligingsbeleid is het kader voor jouw beveiliging

Deze zeven onderdelen vormen jouw beleid. Het hoeft niet meer dan enkele pagina’s in beslag te nemen, omdat het ‘slechts’ het kader vormt van het beveiligingswerk van de organisatie.

Als de ambities en doelstellingen op orde zijn, kunnen jij en je organisatie in concretere regels en richtlijnen duiken die de medewerkers na dienen te leven. Deze regels en richtlijnen staan meestal uitgeschreven in een ander document genaamd ‘Richtlijnen voor ICT gebruik’.

Het informatiebeveiligingsbeleid en de richtlijnen voor ICT gebruik vormen samen de basis voor een sterke ICT veiligheidscultuur binnen je organisatie.

Het is belangrijk om de documenten jaarlijks bij te werken om ervoor te zorgen dat ze up-to-date en inzetbaar zijn. Je moet actief met de doelstellingen en regels in die twee documenten omgaan om ervoor te zorgen dat je organisatie vooruitgang boekt.

Ik hoop dat je de template nuttig vond!