Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management
  3. Humanresourcemanagement

Informatiebeveiligingsbeleid

advertisement 
Informatiebeveiligingsbeleid
Inhoudsopgave
1
2
Goedkeuringinformatiebeveiligingsbeleidendistributie(BH1)
Inleiding
2.1
Toelichting
2.2
Definitievaninformatiebeveiliging
2.3
Samenhangtusseninformatiebeveiligingenprivacybescherming
2.4
Samenhangtusseninformatiebeveiligingenrisicomanagement
2.5
Doelstellinginformatiebeveiligingsbeleid
2.6
Doelstellinginformatiebeveiliging
2.7
Werkingsgebied
2.8
Verantwoordelijkheidinformatiebeveiligingsbeleid
2.9
Communicatievanhetinformatiebeveiligingsbeleid
2.10 Ondersteunendedocumentatie
2.11 Inhoudinformatiebeveiligingsbeleid
2
2
2
2
2
3
3
3
3
4
4
4
4
3
Uitgangspunteninformatiebeveiliging
4
4
Herbeoordelinginformatiebeveiligingsbeleid(BH2)
6
5
Managementsysteemvoorinformatiebeveiliging
5.1
Overzichtmanagementsysteeminformatiebeveiliging
5.2
Beleidsvorming
5.3
Risiconalyse
5.4
Planvorming
5.5
Implementatie
5.6
Monitoring,evaluatieencontrole
5.7
Cyclischproces
6
Organisatievandeinformatiebeveiliging
6.1
Directie(BH3)
6.2
Overleginformatiebeveiliging(BH4)
6.3
SecurityOfficer(BH5)
6.4
Generiekerollenvoorinformatiebeveiliging(BH5)
6.5
Goedkeuringsprocesvoormiddelenvoordeinformatievoorziening(BH6)
6.6
Geheimhoudingsovereenkomst(BH7)
6.7
Contactmetoverheidsinstanties(BH8)
6.8
Contactmetspecialebelangengroepen(BH9)
6.9
Onafhankelijkebeoordelingvaninformatiebeveiliging(BH10)
6.10 Samenwerkingmetexternepartijen(BH11,12,13)
6.11 Monitoring,controleenrapportageoverinformatiebeveiliging
Versie1.0
Pagina1van11
InformatiebeveiligingsbeleidJamesSoftwareBV
6
6
6
6
7
7
7
7
8
8
8
8
9
9
9
9
10
10
10
10
NEN7510
1 Goedkeuringinformatiebeveiligingsbeleidendistributie(BH1)
Dedirectiebehoorteenbeleidsdocumentvoorinformatiebeveiliginggoedtekeuren,
tepublicerenenkenbaartemakenaanallewerknemersenrelevanteexternepartijen.
2 Inleiding
2.1 Toelichting
DitdocumentbeschrijfthetbeleidvanJamesSoftwareB.V.("Organisatie")metbetrekking
totdebeveiligingvaninformatie.Deinformatievoorzieningisvanessentieelbelangvoorde
continuïteitvandebedrijfsvoeringvandeOrganisatieenhaarklanten.Zoweloppapierals
geautomatiseerdzijnwijenonzeklantenbijonsdagelijkswerkafhankelijkvande
beschikbaarheidvanbetrouwbareinformatie.OnzeOrganisatieenonze
informatievoorzieningwordtblootgesteldaaneengrootaantalbedreigingen,aldanniet
opzettelijkvanaard.Dezebedreigingenmakenhetnoodzakelijkomgerichtemaatregelente
treffenomderisico’stoteenaanvaardbaarniveautereduceren.Hetprocesvan
informatiebeveiligingbegintmethetdefiniërenvaneenbeleidopditpunt.Ditbeleidis
vastgelegdinhetonderhavigedocumentendoordedirectievastgesteld.
2.2 Definitievaninformatiebeveiliging
Informatiebeveiligingwordtalsvolgtgedefinieerd:
Hetsamenhangendstelselvanmaatregelendatzichrichtophetblijvendrealiserenvaneen
optimaalniveauvanbeschikbaarheid,integriteitenvertrouwelijkheidvaninformatieen
informatiesystemen.
Opgemerktwordtdatinformatiebeveiligingeensamenhangendstelselvanmaatregelen
omvat.Ditbetekentdatdeverschillendemaatregelendietezamendeinformatiebeveiliging
vormen,nietlosvanelkaarwordengetroffen,maarinonderlingerelatiemetelkaarstaan.
Hetstelselvanbeveiligingsmaatregelenheefttotdoeleenblijvendniveauvanbeveiligingte
realiseren.Dooreenzorgvuldigeborgingwordtbereiktdathetgewensteniveauvan
beveiligingookoplangeretermijnwordtgehandhaafd.
Informatiebeveiligingisgerichtophetrealiserenvaneenoptimaalniveauvanbeveiliging.
Ditoptimumwordtbereiktdooreenzorgvuldigeafwegingvankostenenbaten.
2.3 Samenhangtusseninformatiebeveiligingenprivacybescherming
Privacybeschermingrichtzichopdezorgvuldigeomgangmetpersoonsgegevens.Ditkunnen
bijvoorbeeldgegevensvanpatiëntenofvanmedewerkerszijn.Informatiebeveiligingricht
zichopdebeveiligingvanvertrouwelijkegegevens,waaronderpersoonsgegevens.De
maatregelendieinhetkadervaninformatiebeveiligingwordengetroffen,leverenduseen
bijdrageaandebeschermingvanprivacygevoeligegegevens.BinnendeOrganisatieisde
Versie1.0
Pagina2van11
InformatiebeveiligingsbeleidJamesSoftwareBV
NEN7510
SecurityOfficerverantwoordelijkvoordecoördinatievanalleactiviteitendiebetrekking
hebbenopinformatiebeveiliging.
2.4 Samenhangtusseninformatiebeveiligingenrisicomanagement
Risicomanagementrichtzichophetanalyserenenbeheersenvanrisico’swaaraande
Organisatieenhaarklantenblootstaangesteld.Dezerisico’skunnenopvelerleiterreinen
betrekkinghebben,zoalsfinanciëlerisico’sendebeschikbaarheideninzetvanpersoneel.
Informatiebeveiligingheeftbetrekkingopderisico’sdiesamenhangenmetde
informatievoorzieningendeomgangmetvertrouwelijkeinformatie.Decoördinatievan
risicomanagementisdeverantwoordelijkheidvandeSecurityOfficervandeOrganisatie.
2.5 Doelstellinginformatiebeveiligingsbeleid
Hetopstellenvanhetinformatiebeveiligingsbeleidheefttotdoeldedoelstellingenen
uitgangspuntenmetbetrekkingtotinformatiebeveiligingbinnendeOrganisatievastte
stellenenvastteleggen.Hiermeevormthetbeleiddeleidraadvoorallebetrokkenenbij
informatiebeveiligingbinnendeOrganisatie.Dedirectieachtdedoelstellingen,
uitgangspuntenenuitvoeringvanhetinformatiebeveiligingsbeleideenkritischesuccesfactor
voordecontinuïteitvandeOrganisatie.
2.6 Doelstellinginformatiebeveiliging
Zoalsindevoorgaandedefinitie(2.2)isverwoord,richtinformatiebeveiligingzichopde
volgendedrieaspectenvandeinformatievoorziening:
- beschikbaarheid,deinformatiemoetopdegewenstemomentenbeschikbaarzijn;
- integriteit,deinformatiemoetjuistenvolledigzijnendeinformatiesystemenmoeten
juisteenvolledigeinformatieopslaanenverwerken;
- vertrouwelijkheid,deinformatiemoetalleentoegankelijkzijnvoordegenediehiervoor
bevoegdis.
Informatiebeveiligingheefttotdoelhetoptredenvanbedreigingendiebovenstaande
aspectenvandeinformatievoorzieningkunnenschaden,tevoorkomenen/oftebeperken.
Bedreigingenzijnerinvelevormen.Dezekunnenfysiekvanaardzijn,zoalsbranden
wateroverlastoftechnisch,bijvoorbeeldindevormvanstoringeninprogrammatuur,
apparatuurofdestroomvoorziening.Ookdemensvormteenbedreigingdooronopzettelijk
foutenenvergissingentemakendiedeinformatievoorzieningverstorenofdooropzettelijke
kwaadaardigedaden,zoalshacking,phishing,computervirussen,computerfraude,etc.De
ervaringleertdatbedreigingenopditterreinsteedsvakervoorkomenenooksteeds
geraffineerdervanaardworden.
2.7 Werkingsgebied
HetinformatiebeveiligingsbeleidisvantoepassingopheeldeOrganisatie.Het
informatiebeveiligingsbeleidisookvantoepassingopdegegevensuitwisselingvande
Organisatiemetandereorganisaties.Hetbeleidrichtzichoponzeeigenmedewerkers,
tijdelijkpersoneel,vrijwilligersenoppersoneeldatdoorderdenwordtingezetomdiensten
teverlenenaanonzeorganisatie.
Versie1.0
Pagina3van11
InformatiebeveiligingsbeleidJamesSoftwareBV
NEN7510
2.8 Verantwoordelijkheidinformatiebeveiligingsbeleid
Dedirectieiseindverantwoordelijkvoorhetinformatie-beveiligingsbeleidenheeftditbeleid
opvastgestelddoormiddelvanditdocument.
DeSecurityOfficerisverantwoordelijkvoorhetonderhoudvanhetinformatiebeveiligingsbeleid.
2.9 Communicatievanhetinformatiebeveiligingsbeleid
Hetisvangrootbelangdathetinformatiebeveiligingsbeleidendehieruitvolgendeprincipes
enrichtlijnenbekendzijnbijallebetrokkenenbinnendeOrganisatie.DeSecurityOfficeris
verantwoordelijkvoordecommunicatievanhetbeleid.Hetbevorderenvanhet
beveiligingsbewustzijnbijmanagementenmedewerkersvormteenbelangrijk
aandachtspuntbijdezecommunicatie.
2.10 Ondersteunendedocumentatie
Ditinformatiebeveiligingsbeleidisbinnendeorganisatieverderuitgewerktindevolgende
documentenwelkezijnopgeslageninDropbox:
• H3-v1.0Risicoanalysemethode.docx
• H3-v1.0bijlageRisicoanalyseproductieomgevingWeb-applicatie.docx
• H3-v1.0bijlageRisicoanalysetechnischbeheerenchangemanagement.docx
• H3-v1.0bijlageRisicoanalyseomgangbedrijfsmiddelen.docx
• H7-v1.0Beheervanbedrijfsmiddelen.docx
• H7-v1.0bijlageInventarisatieenclassificatievanbedrijfsmiddelen.xlsx
• H8-v1.0Personeeleninformatiebeveiliging.docx
• H8-v1.0bijlageRichtlijnenaanvaardbaargebruikbedrijfsmiddelenen
informatiebeveiligingsincidenten.docx
• H9-v1.0Fysiekebeveiligingenbeveiligingvandeomgeving.docx
• H10-v1.0Beheervancommunicatie-enbedieningsprocessen.docx
• H11-v1.0Toegangsbeveiliging.docx
• H12-v1.0Verwervingontwikkelingenonderhoudvaninformatiesystemen.docx
• H13-v1.0Beheervaninformatiebeveiligingsincidenten.docx
• H14-v1.0Bedrijfscontinuïteitsbeheer.docx
• H15-v1.0Naleving.docx
2.11 Inhoudinformatiebeveiligingsbeleid
Inhoofdstuk2zijndeuitgangspuntenvastgelegddiewordengehanteerdbijdetoepassing
vaninformatiebeveiligingbinnendeOrganisatie.Inhoofdstuk3wordtaandachtbesteedaan
hetmanagementsysteemvoorinformatiebeveiliging.Hoofdstuk4beschrijftdeOrganisatie
vaninformatiebeveiliging.
3 Uitgangspunteninformatiebeveiliging
BijdetoepassingvaninformatiebeveiligingbinnendeOrganisatiewordendevolgende
uitgangspuntengehanteerd:
Versie1.0
Pagina4van11
InformatiebeveiligingsbeleidJamesSoftwareBV
NEN7510
1. DeOrganisatiestreefternaaraantoonbaartevoldoenaandenormNEN7510,
Informatiebeveiligingindezorg.
2. DeOrganisatievoldoetaanalle,vantoepassingzijnde,wet-enregelgeving.Indit
verbandwordengenoemd:
Wetbeschermingpersoonsgegevens(WBP)
BesluitBSNindezorg
3. InformatiebeveiligingisbinnendeOrganisatiezoingerichtdatderechtenvan
betrokkenen(patiëntenvanklantenvandeOrganisatie,medewerkers,bezoekers,
leveranciers)dievoortvloeienuitdeWetBeschermingPersoonsgegevens,worden
gerespecteerdenkunnenwordengeëffectueerd.
4. Beveiligingvaninformatieiseenonderdeelvandeintegrale
managementverantwoordelijkheid.AlleonderdelenvandeOrganisatiehebben
hiertoeverantwoordelijkhedenvoorinformatiebeveiligingtoegewezenen
vastgelegd.
5. WanneerdeOrganisatiesamenwerkingsverbandenaangaatmetexternepartijen,
hetzijinhoudelijk,hetzijvoordeontwikkelingofhetbeheervande
informatievoorziening,wordtnadrukkelijkaandachtbesteedaan
informatiebeveiliging.Afsprakenhieroverwordenschriftelijkvastgelegdenopde
nalevinghiervanwordttoegezien.
6. Bedrijfsmiddelenzijnvolgenseengestructureerdemethodegeclassificeerdnaarde
aspectenbeschikbaarheid,integriteitenvertrouwelijkheid.
7. Bijdeaanname,tijdenshetdienstverbandeningevalvanontslagvanmedewerkers
wordtnadrukkelijkaandachtbesteedaandebetrouwbaarheidvanmedewerkersen
aandewaarborgingvandevertrouwelijkheidvaninformatie.
8. DeOrganisatievoerteenactiefbeleidomhetbeveiligingsbewustzijnvan
managementenmedewerkerstestimuleren.HiertoevoertdeSecurityOfficer
periodiekbewustwordingscampagnesuitenbiedthijdeonderdelenvande
Organisatiehiervoorcommunicatiemiddelenaan.
9. DeOrganisatiebeschiktovergedragsregelsvoorhetgebruikvan(algemene)
informatievoorzieningen.Opdenalevingvandezegedragsregelswordttoegezien.
10. Bijovertredingvanderegelgevingvoorinformatiebeveiligingzaldedirectie
disciplinairemaatregelentreffen.
11. DeOrganisatieheeftmaatregelengetroffenvoordefysiekebeveiligingvanmensen
enmiddelen,waarondervertrouwelijkeinformatieenapparatuurwaaropdeze
informatieisopgeslagen.
12. DeOrganisatieheeftmaatregelengetroffenvoordebeveiligingenhetbeheervande
operationeleinformatie-encommunicatievoorzieningen.Maatregelentegenallerlei
vormenvankwaadaardigeprogrammatuur(computervirussen,spam,spyware,
phishing,etc.)vormenhierineenbelangrijkonderdeel.
13. DeOrganisatieheeftmaatregelengetroffenwaardoorisgewaarborgddatalleen
geautoriseerdemedewerkersgebruikkunnenmakenvandeinformatie-en
communicatievoorzieningen.
14. Bijdeontwikkelingenaanschafvaninformatiesystemenbestedenopdrachtgevers,
projectleiders,ontwikkelaarsenbeheerdersinallefasenvanhetaanschaf-of
ontwikkelingsprocesnadrukkelijkaandachtaaninformatiebeveiligingendragenzij
zorgvoorderealisatievandegesteldebeveiligingseisen.
Versie1.0
Pagina5van11
InformatiebeveiligingsbeleidJamesSoftwareBV
NEN7510
15. DeOrganisatieheeftadequatemaatregelengetroffen,waardoordebeschikbaarheid
vandebedrijfsprocessenendehierbijgebruikteinformatie(systemen)is
gewaarborgd.Hetbeherenvaneencontinuïteitsplan,hetinrichtenvaneen
crisisorganisatieenhetoefenenvandegetroffenmaatregelenvormenhiervaneen
onderdeel.
16. Alsonderdeelvanhetmanagementsysteemvoorinformatiebeveiligingwordtbinnen
deOrganisatiedoorinterneenexternepartijentoegezienopdenalevingvanhet
informatiebeveiligingsbeleid.
17. DeOrganisatiebeschiktovermiddelenvoorhetmeldenenafhandelenvan
beveiligingsincidenten.Deevaluatievandeafhandelingvanbeveiligingsincidenten
wordtbenutvoordeverbeteringvaninformatiebeveiliging.
4 Herbeoordelinginformatiebeveiligingsbeleid(BH2)
Hetinformatiebeveiligingsbeleidbehoortmetgeplandetussenpozen,nahetoptredenvan
eenomvangrijkinformatiebeveiligingsincidentofzodrazichbelangrijkewijzigingen
voordoen,tewordenbeoordeeldomtebewerkstelligendathetgeschikt,toereikenden
doeltreffendblijft.
Hetinformatiebeveiligingsbeleidwordtiedere2jaarherbeoordeeld.
5 Managementsysteemvoorinformatiebeveiliging
5.1 Overzichtmanagementsysteeminformatiebeveiliging
Hetmanagementsysteemvoorinformatiebeveiligingomvatdevolgendevijfstappeno.b.v.
deDemmingcirkel:beleidsvorming->risico-analyse->planvorming->implementatie->
monitoring,evaluatie,controle(waarnadecirkelopnieuwbegintmethetbeleidsvorming,
etc).
DesamenhangtussendezevijfstappenendeDeming-cirkelisalsvolgt:
• Plan
:BeleidsvormingenRisicoanalyse
• Do
:PlanvormingenImplementatie
• Check
:Monitoring,evaluatieencontrole
• Act
:Hetverbeterproces
Indevolgendeparagrafenwordendezevijfstappentoegelicht.
5.2 Beleidsvorming
Zoalsookaangegeveninparagraaf1,starthetmanagementsysteemvoor
informatiebeveiligingmethetopstellenvanhetinformatiebeveiligingsbeleid.Inditbeleid
wordendedoelstellingenenuitgangspuntenvoorinformatiebeveiligingvandeOrganisatie
vastgelegd.Hiermeevormthetbeleiddeleidraadvoordeoverigestappenvanhet
managementsysteem.
5.3 Risiconalyse
Detweedestapvanhetmanagementsysteemvoorinformatiebeveiligingbestaatuit
risicoanalyse.Hetanalyserenvanderisico’sheefttotdoel:
Versie1.0
Pagina6van11
InformatiebeveiligingsbeleidJamesSoftwareBV
NEN7510
-
Inzichttekrijgenindekwaliteitendeeffectiviteitvandebestaande
beveiligingsmaatregelen.
Inzichttekrijgeninderisico’sdiederealisatievanhetgewenstebeveiligingsniveauin
gevaarkunnenbrengen.
Hetgewensteniveauvaninformatiebeveiligingvasttestellenindevormvaneen
classificatievanbedrijfsprocessen,informatiesystemenengegevensverzamelingen.
Keuzestekunnenmakenvoorhetbeheersenvanrisico’s.
Prioriteitentebepalenvoordeverbeteringvandebestaandesituatie.
Voorhetuitvoerenvaneenrisicoanalysewordtdemethodegehanteerddieisvastgelegdin
hetdocument"Risicoanalysemethode".
Overdeuitkomstenvandeanalysevandebestaandesituatievoorinformatiebeveiliging
wordtgerapporteerdaandedirectie.
5.4 Planvorming
Opbasisvandeuitkomstenvanderisicoanalysewordteenverbeterplanopgesteld.Indit
planwordendeverbeteractiviteitenvoorderealisatievanhetgewenstebeveiligingsniveau
opprojectmatigewijzevastgelegd.
Hetinformatiebeveiligingsplanwordtvastgestelddoordedirectie.
5.5 Implementatie
Aandehandvanhetverbeterplanwordtdeimplementatievandeaanvullende
beveiligingsmaatregelenterhandgenomen.Ditbetekentonderanderehetopstellenvan
richtlijnenenproceduresvoorinformatiebeveiliging,hetinvoerenvan
beveiligingshulpmiddelenenhetvoorlichtenenopleidenmedewerkers.
5.6 Monitoring,evaluatieencontrole
Delaatstestapvanhetmanagementsysteemvoorinformatiebeveiligingbestaatuit
monitoring,evaluatieencontrole.Monitoringbetrefthetcontinubewakenvanhetniveau
vaninformatiebeveiligingbinnendeOrganisatie.Daarwaarditniveauingevaarkomtdoor
hetoptredenvanbedreigingentreedtincidentmanagementinwerkingomhetgewenste
beveiligingsniveautewaarborgenofzosnelmogelijkteherstellen.
5.7 Cyclischproces
Hetmanagementsysteemvoorinformatiebeveiligingomvateencontinuencyclischproces.
Ditbetekentdatopbasisvandeuitkomstenvanevaluatiesencontrolesofdoornieuwe
ontwikkelingendenoodzaakaanwezigkanzijnhetinformatiebeveiligingsbeleidaante
passen,eennieuwerisicoanalyseuittevoeren,extramaatregelentetreffenofde
implementatiehiervanaantepassen.Ookishetmogelijkdatnieuweontwikkelingen,zoals
deintroductievannieuwebedrijfsprocessenofinformatiesystemen,aanleidinggevenom
hetinformatiebeveiligingsbeleidteheroverwegen.Eendergelijkebeoordelingvindt
minimaaléénmaalperdriejaarplaatsenwordtgeïnitieerddoordeSecurityOfficer.
Versie1.0
Pagina7van11
InformatiebeveiligingsbeleidJamesSoftwareBV
NEN7510
6 Organisatievandeinformatiebeveiliging
6.1 Directie(BH3)
Dedirectiebehoortinformatiebeveiligingbinnendeorganisatieactiefteondersteunendoor
duidelijkrichtingtegeven,betrokkenheidtetonenenexplicietverantwoordelijkhedenvoor
informatiebeveiligingtoetekennenenteerkennen.
Dedirectieheeftdevolgendetakenm.b.t.informatiebeveiliging:
• Dedirectieformuleertinformatiebeveiligingsdoelstellingen
• Hetisdeverantwoordelijkheidvandedirectieomhetinformatiebeveiligingsbeleidte
formuleren,tebeoordelenengoedtekeuren
• Dedirectiemoetzorgenvoordemiddelendienodigzijnvoorinformatiebeveiliging
• Dedirectiemoetplannenenprogramma’sinitiërenomhetinformatiebeveiligingsbewustzijnopeenvoldoendepeiltekrijgenentehouden
• Dedirectiemoetrollenenverantwoordelijkhedenvoordeinformatiebeveiligingin
toekennen
• DedirectiebenoemteenSecurityOfficer
• Dedirectiecontroleertofhetinformatiebeveiligingsbeleidendehieruit
voorvloeidenderichtlijnenenprocedureswordennageleefdindeOrganisatie.De
SecurityOfficervoorzietdedirectievandejuisteinformatieomhaarcontrolerende
taakuittekunnenoefenen.
6.2 Overleginformatiebeveiliging(BH4)
DeportefeuillehouderdirectieendeSecurityOfficeroverleggenregelmatigbilateraalover
informatiebeveiliging.Inditoverlegwordtaandachtbesteedaan(voortgangs)rapportages,
voorstellenvoorwijzigingenvanhetinformatiebeleid,investeringsvoorstellenvoor
beveiligingsmaatregelen,etc.Ditoverlegwordtiederkwartaalgehoudenenvakerindien
hieraanleidingvooris.
6.3 SecurityOfficer(BH5)
DeSecurityOfficerisdespininhetwebmetbetrekkingtotinformatiebeveiligingbinnende
Organisatie.DeSecurityOfficerheeftdevolgendetaken:
- hetvoorbereidenvandebeleidsvormingm.b.t.informatiebeveiliging
- hetcoördinerenvandeimplementatievanbeveiligingsmaatregelen
- hetmonitoringencontrolevaninformatiebeveiligingsmaatregelenbinnendeOrganisatie
- hetsignalerenvantekortkomingenindenalevingvanhetinformatiebeveiligingsbeleid
- hetvoorlichtenenstimulerenvanhetbeveiligingsbewustzijnbijallebetrokkenen
- evaluatieenadvies,hetadviserenvandedirectieoverinformatiebeveiliging
- hetopstellenencoördinerenvaneenverbeterplanm.b.t.informatiebeveiliging
- hetcoördinerenvandeimplementatievanbeveiligingsmaatregelen
- hetcentraalregistrerenvanICT-beveiligingsincidenten
- hetanalyserenenbeoordelenvanvanICT-beveiligingsincidenten
- hetcentraalinformerenvangebruikersover(potentiële)ICT-beveiligings-incidenten;
- hetcoördinerenvandeuitvoeringvanpreventieveenherstelacties.
DeSecurityOfficerrapporteertaandedirectie.
Versie1.0
Pagina8van11
InformatiebeveiligingsbeleidJamesSoftwareBV
NEN7510
6.4 Generiekerollenvoorinformatiebeveiliging(BH5)
Vooriederinformatiesysteemengegevensverzamelingwordendevolgenderollenende
bijbehorendeverantwoordelijkhedentoegewezen.
Rol
Verantwoordelijkheden
Functioneelbeheerder
Steltdefunctionelespecificatiesop,
stuurthetontwikkel-,testen
acceptatieprocesaanenis
verantwoordelijkvoorhetin
productienemenvannieuwe
releases
Ontwikkelaar/
Ontwikkelthetinformatiesysteem,
applicatiebeheerder
conformde(beveiligings)eisendie
doordeSecurityOfficerzijngesteld
endoerapplicatiebeheer.
Technischbeheerder
Exploitatievandetechnische
infrastructuur.Ziettoeopeenjuiste
technischewerkingvande
technischeinfrastructuur
Gebruiker
Toepassingvanhetinformatiesysteem.Nalevingvanbeveiligingsrichtlijnenen-procedures
Deverschillendebetrokkenenmakenonderlingafsprakenoverdeuitvoeringvande
(beveiligings)takenenleggendezedesgewenstvastindienstverlenings-overeenkomsten
(SLA’s).
6.5 Goedkeuringsprocesvoormiddelenvoordeinformatievoorziening(BH6)
Dedirectiesteltvoldoendemiddelenterbeschikkingomdeplanningvande
informatiebeveiligingtekunnenuitvoeren.DegeringeomvangvandeOrganisatiemaaktdat
ergeenformelegoedkeuringsproceduresbenodigdzijn.
6.6 Geheimhoudingsovereenkomst(BH7)
Eisenvoorvertrouwelijkheiddieeenweerslagvormenvandebehoeftevandeorganisatie
aanbeveiligingvaninformatiebehorenineengeheimhoudingsovereenkomstteworden
vastgesteld.Bijpersoneelsledenmeteendienstbetrekkingisgeheimhoudingonderdeelvan
dearbeidsovereenkomst.Bijoverigepersoneelsledenenleverancierswordtditvastgelegd
alsonderdeelvandedienstverleningsovereenkomstofineenseparateovereenkomst.
6.7 Contactmetoverheidsinstanties(BH8)
•
DeOrganisatieheeftgeprobeerdomcontactteleggenmethetNationaalCyber
SecurityCentrum.Ditisafgewezen,deOrganisatiewerdverwezennaarcommerciële
dienstverleners.
Versie1.0
Pagina9van11
InformatiebeveiligingsbeleidJamesSoftwareBV
NEN7510
•
•
Inhetdocument"NEN7510,Werkenmet"vanhetNEN-instituutwordtaangegeven
datdeAutoriteitpersoonsgegevensgeencontactpersonenaanindividuelepartijen
toewijst.
Depolitieonderhoudtookgeencontactenmetindividuelebedrijvenalsditnietstrikt
noodzakelijkis.
6.8 Contactmetspecialebelangengroepen(BH9)
InformatiebeveiligingiseenbelangrijkkennisdomeinvoordeOrganisatie.Kenniswordt
ingewonnenvia:
• deSecurityOfficervandemanagedhostingprovider
• jaarlijkse"Threatreports"uitgegevendooronderandereVerizon
• blogs,zoalswww.threatpost.comvanbeveilingsbedrijfKaspersky
• nieuwsbrievenvanbeveiligingsbedrijfFOX-ITenhetSANSinstituut
• hetNationaalCyberSecurityCentrum
6.9 Onafhankelijkebeoordelingvaninformatiebeveiliging(BH10)
Deinformatiebeveiligingwordtperiodiekdooreenexterneauditor,dieisaangeslotenbij
Norea,beoordeeld.Ditgebeurt1maalinde3jaar.
6.10 Samenwerkingmetexternepartijen(BH11,12,13)
Desamenwerkingmetexternepartijenkangevolgenhebbenvoordeinformatiebeveiliging
vandeOrganisatie.Voordesamenwerkingmetexternepartijentenbehoevevan
ontwikkelingenhostingvandeWeb-applicatiedienteenrisicoanalyseuitgevoerdte
wordenconformderisicoanalysemethodevandeOrganisatie.Erzalgeenaparte
risicoanalyseuitgevoerdwordenmaardezezalwordenmeegenomeninderisicoanalysevan
debedrijfsmiddelenvandeOrganisatie.Noodzakelijkebeheersmaatregelenterbescherming
vanbedrijfsmiddelendienengeïmplementeerdteworden.Indeovereenkomsten
begeleidendedocumentatie(zoalsSLA's,geheimhoudingsovereenkomsten)metextere
partijendientaandachttewordenbesteedaaninformatiebeveiligingenwordenprocedures
naderuitgewerkt
6.11 Monitoring,controleenrapportageoverinformatiebeveiliging
Monitoringbetrefthetcontinubewakenvanhetniveauvaninformatiebeveiligingbinnende
Organisatie.Daarwaarditniveauingevaarkomtdoorhetoptredenvanbedreigingentreedt
incidentmanagementinwerkingomhetgewenstebeveiligingsniveautewaarborgen,c.q.zo
snelmogelijkteherstellen.
Metbetrekkingtotinformatiebeveiligingwordendevolgendecontrolevormen
onderscheiden:
• operationelecontroleopdenalevingvanhetinformatiebeveiligingsbeleidende
hieruitvoortvloeienderichtlijnenenmaatregelen
• controleopdevoortgangvandeimplementatieenborgingvanhet
informatiebeveiligingsbeleidendehieruitvoortvloeienderichtlijnenenmaatregelen
• onafhankelijkecontrole.
Versie1.0
Pagina10van11
InformatiebeveiligingsbeleidJamesSoftwareBV
NEN7510
OperationelecontroleopdenalevingvanbeleidenrichtlijnenwordtverrichtdoorSecurity
Officer.DeSecurityOfficerrapporteertiederemaanddeaandedirectie.
Voortgangscontroleen-rapportagem.b.t.devoortgangvandeimplementatievan
informatiebeveiligingbinnendeOrganisatie.DeSecurityOfficerrapporteertiederemaand
devoortgangaandedirectie.
Onafhankelijkecontrolemetbetrekkingtotinformatiebeveiligingwordtuitgevoerddooreen
onafhankelijkeauditor.
Versie1.0
Pagina11van11
InformatiebeveiligingsbeleidJamesSoftwareBV
NEN7510
Related documents
De Directie Natuur en Milieu is een jong
De Directie Natuur en Milieu is een jong
Met een gezond netwerk, een goed werkende organisatie!
Met een gezond netwerk, een goed werkende organisatie!
Operationele structuur
Operationele structuur
Informatiebeveiliging
Informatiebeveiliging
Informatiebeveiliging in de zorg: NEN 7510 nieuw
Informatiebeveiliging in de zorg: NEN 7510 nieuw
Adel-en Ridderorden
Adel-en Ridderorden
OPENBAAR Tweede Kamer tav Parlementaire werkgroep
OPENBAAR Tweede Kamer tav Parlementaire werkgroep
KLAAR MET STUDEREN! Even voorstellen: We are on to it! ON2IT`s
KLAAR MET STUDEREN! Even voorstellen: We are on to it! ON2IT`s
Verslag vergadering Oudervereniging dd 20-04
Verslag vergadering Oudervereniging dd 20-04
IC TS ecurity - Brinkman Uitgeverij
IC TS ecurity - Brinkman Uitgeverij
Voor onze opdrachtgever zijn wij op zoek naar een: Service Delivery
Voor onze opdrachtgever zijn wij op zoek naar een: Service Delivery
Strategie - beleid
Strategie - beleid
Download
advertisement