Beveiligingsbeleid, beveiligingsplan en besturing

Van onbewust risico lopen, naar bewust risico nemen; dat is het doel van informatiebeveiliging. Organisaties borgen een betrouwbare dienstverlening door het vaststellen van een gebalanceerde set aan organisatorische en technische maatregelen tegen een acceptabel kostenniveau. De geselecteerde maatregelen en de onderbouwing hiervan worden vastgelegd in een informatiebeveiligingsbeleid, terwijl een informatiebeveiligingsplan de organisatie helpt om het vastgestelde beveiligingsbeleid (gefaseerd) toe te passen.

ISO 27001, ISO 27002 en NEN7510

Steeds meer organisaties kiezen ervoor om hun informatiebeveiligingsbeleid te baseren op de (internationale) norm ISO 27001 en de bijhorende ISO 27002. Voor organisaties in de zorg is er de NEN 7510 welke is gebaseerd op de ISO 27001 en ISO 27002, maar specifiek is toegeschreven naar de gezondheidszorg.

ISO 27001 is een standaard die beschrijft hoe een organisatie ervoor zorgt dat haar informatiebeveiliging actueel en doeltreffend blijft én maakt dit aantoonbaar. Dat gebeurt via een reeks van processen en procedures die ook wel een Information Security Management System (ISMS) wordt genoemd. ISO 27001 beschrijft dus eigenlijk aan welke eisen een goed ISMS dient te voldoen. De achterliggende gedachte is dat wanneer er op de juiste momenten en op de juiste manier aandacht wordt gegeven aan informatiebeveiligingsrisico’s, dit continu resulteert in passende maatregelen die het risico tot een acceptabel niveau verlagen.

De ISO 27001 geeft in bijlage A een overzicht van een groot aantal organisatorische en technische maatregelen. Deze kunnen genomen worden als het risico hier aanleiding toe geeft. Je zou dus kunnen stellen dat de ISO 27002 een verlengstuk vormt van de ISO 27001. Het is als het ware een handreiking waarin een aantal potentiële maatregelen in detail zijn uitgewerkt zodat je wat te kiezen hebt.

Het is dus ISO 27001 die er met behulp van een ISMS op toe ziet dat de juiste maatregelen worden geselecteerd en geïmplementeerd. ISO 27002 geeft een opsomming van een flink aantal maatregelen die hierbij ter beschikking staan. Om deze reden is ISO 27001 certificeerbaar, en ISO 27002 niet. Maar vergis je niet. Een auditor kijkt bij certificering van ISO 27001 ook naar de wijze waarop je geselecteerde maatregelen uit de ISO 27002 hebt geïmplementeerd.

Baseline

Een baseline beschrijft het minimum beveiligingsniveau van een organisatie, en is geschreven voor eigenaren van bedrijfsprocessen, systemen en applicaties. Deze eigenaren zijn belast met de taak om passende maatregelen te nemen om de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening te borgen. Baselines volgen doorgaans de structuur van de ISO 27002 en geven per onderdeel concreet aan welke maatregelen de organisatie dient te nemen voor het realiseren van een passende informatiebeveiliging.

Voor overheidsorganisaties is er de Baseline Informatiebeveiliging Overheid (BIO) welke de andere sectorale baselines per 1 januari 2020 vervangt (zoals de BIR en de BIG). De BIO beschrijft de wijze waarop overheidsorganisaties invulling dienen te geven aan de door Forum Standaardisatie verplicht gestelde standaarden op het gebied van informatiebeveiliging: ISO 27001:2017 en ISO 27002:2017. Implementatie van de BIO en aanverwante standaarden vindt plaats middels het comply-or-explain principe. Dit betekent dat er van de voorgeschreven / geadviseerde beheersmaatregelen mag worden afgeweken, mits hier valide argumenten aan ten grondslag liggen.

Pragmatische insteek

Een volledige implementatie van de ISO 27001 en de bijhorende best-practice ISO 27002 gaat veel organisaties te ver. Niet alleen vanwege de administratieve last die een volledig geïmplementeerd en certificeerbaar ISMS met zich meebrengt, maar ook omdat men gevoelsmatig vaak eerst de basis op orde wil brengen. Voor dergelijke organisaties hanteert Baaten ICT Security een pragmatische aanpak die is afgestemd op het karakter en de risico’s van de organisatie.. Er wordt gestart met een passende basis waarmee de organisatie ervaring op kan doen met het besturen van informatiebeveiliging. Vervolgens kan de organisatie haar informatiebeveiliging gefaseerd laten doorgroeien aan de hand van haar risk appetite.

Ook een baseline wordt in een dergelijke situatie pragmatisch ingestoken. Door de selectie van een gebalanceerde set beheersmaatregelen ontstaat een beveiligingsniveau dat enerzijds past het type organisatie, en anderzijds bij de hedendaagse realiteit en de dreigingen die daarin voorkomen. Ook zal er per beheersmaatregel worden gekeken naar een geschikte ‘diepgang’ en ‘compleetheid’. Er worden uiteraard niet zomaar dingen weggelaten, want juist dan ontstaan er onnodige risico’s. Ook in het geval van een pragmatische insteek wordt er nog steeds gekeken naar best-practices (wat doen andere organisaties), geadviseerde werkwijzen vanuit overheden en het bedrijfsleven, en de expert opinie van specialisten op het gebied van informatiebeveiliging.

Relevante steekwoorden

ISMS, information security management system, regie op informatiebeveiliging, ISO 27001, NEN 7510, ISO 27002, baseline, BIO, classificatie, risicocriteria, kwaliteitshandboek, impact analyse, verantwoordelijkheden en bevoegdheden, eigenaar, procedures, richtlijnen, patch proces, risico analyse, wijzingenbeheer, incidentmanagement.

Ondersteuning & advies

Baaten ICT Security helpt u graag met het opzetten, actualiseren, en implementeren van uw informatiebeveiligingsbeleid, informatiebeveiligingsplan en/of baseline informatiebeveiliging.


Neem contact op voor een vrijblijvende kennismaking!