Sjoerd van de Meerendonk – Directeur
Uw strategie, de wet- en regelgeving, omgeving en actualiteiten, de stakeholderanalyse en inventarisatie van de risico’s zijn de bronnen voor uw informatiebeveiligingsbeleidsplan. Zet al deze informatie op een rij. Haal er vervolgens de voornaamste conclusies en eisen uit. De antwoorden daarop zijn de input voor uw plan. Tip: houd het zo compact mogelijk. Kies alleen die zaken die echt impact hebben.
Uw beleid geeft inzicht in ‘Welke soort informatie u als organisatie verwerkt’. Waar u verplicht bent om aan te voldoen. Wat uw organisatie daarmee wil in relatie tot de veiligheid ervan. Hoe u omgaat met de dreigingen van buitenaf. Welke risico’s u bereid bent om te lopen. Vertaalt naar zaken als uw beleid rondom authenticatie. Bijvoorbeeld altijd 2-factor? Of de fysieke beveiliging om te voorkomen dat onbevoegden in uw beveiligde ruimtes kunnen komen.
Alle hoofd- en uitgangspunten en richtlijnen voor de mensen die straks de beveiliging moeten vormgeven.
In een beleidsplan voor informatiebeveiliging volgens de ISO 27001 zijn een aantal zaken standaard vastgelegd. In essentie geeft plan antwoord op de vraag hoe u als organisatie de beveiliging van informatie, duurzaam organiseert. Bij het samenstellen van het beleidsplan kijken we vanuit verschillende invalshoeken naar de organisatie. Het vertrekpunt is altijd het algemene beleidsplan en strategie van uw organisatie op (middel) langetermijn; wat zijn de commerciele ambities, klanten, producenten, beoogde innovaties.
Wat betekenen deze ambities voor uw ICT? We geven hierbij een aantal voorbeelden van zaken die u mee moet nemen in uw informatiebeveiligingsbeleidsplan. Stel u bent een zorgorganisatie die voorop wil blijven lopen met ‘de beste zorg aan huis’. Dit betekent waarschijnlijk dat uw collega’s met tablets op pad gaan. Tablets waar ook vertrouwelijke informatie over uw cliënten en hun behandeling op staat. Deze informatie is niet bedoelt om in onbevoegde handen te komen. Een ICT-maatregel is in dit geval extra beveiliging van de hardware. Een andere maatregel in lijn met de gewenste situatie is ook opleiding en bewustwording van de medewerkers die de tablets gebruiken in hun dagelijkse werk. Een ander voorbeeld is wanneer u als softwareontwikkelaar mee wilt doen aan een tender bij de overheid. Van hieruit weten we dat er doorgaans aanvullende eisen aan uw product en uw organisatie verplicht worden gesteld. Eisen die gevolgen hebben voor de inrichting en beveiliging van uw informatie en ICT.
Een andere belangrijke bron van input waar u niet omheen kunt is de wet- en regelgeving die voor uw organisatie van toepassing is. Neem de zorgorganisatie uit het vorige voorbeeld. Vanuit de overheid zijn er aanvullende eisen gesteld als het gaat om de privacy van medische persoonsgegevens. Een voorbeeld is de Wet op de Geneeskundige Behandel Overeenkomst (WGBO) waarin eisen zijn opgenomen over de bewaartermijn van medische dossiers. Deze zelfde eisen bent u verplicht mee te nemen in uw beleidsplan.
De actualiteiten en uw omgeving spelen ook een belangrijke rol. Wanneer uw organisatie bijvoorbeeld een toonaangevend bedrijf is die hoogwaardige technologie ontwikkelt, dan is de kans aannemelijk dat er andere partijen zijn die daar erg benieuwd naar zijn. In uw beleidsplan opnemen dat uw technische tekeningen, de resultaten van innovaties en andere relevante informatie essentieel is voor de continuïteit van uw organisatie spreekt in dat geval voor zich.
Wat ook kan is dat u in uw omgeving kijkt welke ‘best practices’ er zijn van organisaties die het bijzonder goed op orde hebben. Die voorbeelden kunnen voor u inspiratie en vertrekpunten zijn voor uw eigen beleid.
Met wie u te maken hebt en welke eisen zij (indirect) stellen aan uw informatiebeveiliging is ook een belangrijke bron van input voor uw beleidsplan. Een overheid als wetgever, uw klanten maar ook uw collega’s verwachten dat hun gegevens veilig zijn.
Dat geldt ook voor de risicoanalyse. Waar zitten de grootste risico’s? Welke maatregelen kunt c.q. moet u nemen om ze weg te nemen, te verkleinen of om de gevolgen in goede banen te leiden. In onze blog over dit onderwerp leggen we u uit hoe u een dergelijke analyse maakt.
Of u zonder zo’n document kunt? Nee, helaas. Het is een belangrijke basis voor de kaders en fundamentele uitgangspunten. Het geeft daarmee een basis, richting, houvast en inzicht waar het naar toe moet met uw informatiebeveiliging.
Als het om informatiebeveiliging gaat dan kunt u helemaal losgaan. De oplossingen en mogelijkheden zijn oneindig. Waar bent u? Wat doet u wel of niet? Wat is er nodig? Het beleid is een hulpmiddel om die keuzes te prioriteren, te selecteren en te plannen. Op zoek naar een gezond evenwicht tussen resultaat versus de kosten & de impact.
Het beleid is ook een instrument voor de communicatie. Communicatie richting uw eigen organisatie, klanten en stakeholders. Het is een onderdeel van de aantoonbaarheid dat het op orde is.
Nog enkele tips van onze kant.
Succes!
Blog geschreven door Sjoerd van de Meerendonk, Directeur
Volg onze Seminar over de nieuwe Cyber Securtiy eisen en zorg ervoor dat je bedrijf klaar is voor de nieuwe NIS2-richtlijnen.