In deze eerste week beginnen we met een vraag omtrent het informatiebeveiligingsbeleid. Een vraag die ik met enige regelmaat krijg en waar ook altijd de vervolgvraag bij hoort wat dient er dan in zo’n informatiebeveiligingsbeleid te staan?
Hebben wij een informatiebeveiligingsbeleid nodig?
Formeel gezien is er geen noodzaak voor een informatiebeveiligingsbeleid. Een organisatie kan effectief zijn informatie beschermen door maatregelen te nemen op technisch en organisatorisch vlak zonder dat er een informatiebeveiligingsbeleid aan ten grondslag ligt.
Je mist op dat moment echter de basis en de samenhang die je kunt creëren door het juist wel op te stellen.
Maar wat moet er in?
In je informatiebeveiligingsbeleid stel je vast hoe jouw organisatie kijkt naar informatie. Hoe het gekomen is tot zijn eisen met betrekking tot de bescherming. Daarnaast leg je ook de verantwoordelijkheden vast van verschillende rollen ten opzichte van deze informatie. Dit klinkt heel abstract, maar in feite kun je het vertalen naar meerdere stappen.
1. Wat voor informatie hebben wij?
Eerst identificeer je over wat voor type informatie je beschikt als organisatie. Dit kun je doen door te inventariseren welke informatie er in je informatiesystemen zitten of doormiddel van workshops met een dwarsdoorsnede van je organisatie. Probeer hierin grondig te zijn maar hanteer in eerste instantie de 80/20 regel. Aanscherpen of verdiepen kan altijd nog! Beoordeel hierbij tevens waar mogelijk de wensen met betrekking tot beschikbaarheid, integriteit en veiligheid, dit gaat je helpen bij de risicoanalyse en de te nemen maatregelen.
2. Welke risico’s lopen wij?
Nadat je hebt vastgesteld welke informatie de organisatie grofweg heeft kun je gaan nadenken over de risico’s die je als organisatie loopt. Ik gebruik persoonlijk altijd graag een risico gedreven benadering toegespitst op de primaire bedrijfsvoering. Dit houd je pragmatisch en voorkomt ook dat je eventueel in een later stadium doorslaat met eventuele maatregelen en daarmee een negatieve impact krijgt op de bedrijfsvoering.
3. Selecteren van maatregelen
We hebben nu in feite al twee essentiële hordes genomen. We weten welke informatie we moeten beschermen en tegen welke risico’s. Nu kunnen we maatregelen nemen om deze risico’s te reduceren. Persoonlijk gebruik ik graag ISO:27002 als bron voor mijn maatregelen. ISO:27002 is een stuk concreter en tastbaarder dan ISO:27001 maar sluit hier wel naadloos op aan. Nadat we de maatregelen geselecteerd hebben dien je deze nog wel toepasselijk te maken voor jouw organisatie gezien niet elke maatregel direct geschikt is.
4. Wie is verantwoordelijk en wie is aansprakelijk?
Nu komt het neer op het vaststellen van de verantwoordelijkheden met betrekking tot informatiebeveiliging, wie speelt welke rol en welke verantwoordelijkheden en aansprakelijkheden horen daar bij? Voor een deel kun je deze bepalen aan de hand van je organisatiestructuur maar mogelijk wens je hierin ook een derde partijen te benoemen.
5. Schrijven van het beleid
In feite heb je nu alle informatie om in het informatiebeveiligingsbeleid te beschrijven hoe je tot je beveiligingseisen komt, hoe je tot je selectie van maatregelen komt en deze toepasselijk maakt en wie daarin welke verantwoordelijkheid draagt. Dit zou afdoende moeten zijn om tot een eerste concept te kunnen komen. Accepteer dat de eerste versie mogelijk nog niet volledig is of van het gewenste niveau maar blijf dit continu verbeteren.
Tips voor het schrijven van een informatiebeveiligingsbeleid:
- Heeft je organisatie geen riskmanagement methodiek begin dan klein. Kies een methodiek die aansluit bij je organisatie en waarin je kunt groeien. Het Center of internet Security heeft een methodiek ontwikkeld die hiervoor geschikt is.
- Beschrijf geen maatregelen in je informatiebeveiligingsbeleid en al helemaal geen maatregelen die niet genomen zijn. Hou hem beknopt zodat je hem eventueel ook met derde partijen kunt delen zonder daarbij essentiële informatie over jullie beheersing prijs te geven.
- Kijk online, er zijn legio voorbeelden te vinden waaruit je ideeën kunt opdoen. Google maar eens op “filetype:pdf informatiebeveiligingsbeleid”.
