Informatiebeveiligingsbeleid

Vergelijkbare documenten
Informatiebeveiligingsbeleid

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Informatiebeveiligingsbeleid

Beleid Informatiebeveiliging InfinitCare

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Aantoonbaar in control op informatiebeveiliging

Strategisch Informatiebeveiligingsbeleid Hefpunt

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

Informatiebeveiliging en Privacy; beleid CHD

Gemeente Alphen aan den Rijn

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Voorschrift Informatiebeveilging Rijksdienst (VIR) Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Informatiebeveiligingsbeleid Drukkerij van der Eems

Privacy- en informatiebeveiligingsplan

Informatiebeveiligings- en privacy beleid

Internet Beveiliging en Privacy (IBP) Beleid Aloysius

Informatiebeveiligings- en privacy beleid (IBP)

Definitieve versie d.d. 24 mei Privacybeleid

Informatiebeveiligingsbeleid SBG

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Voorstel Informatiebeveiliging beleid Twente

Plan

Informatiebeveiligingsbeleid van de Gemeenschappelijke Regeling Samenwerking de Bevelanden

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Berry Kok. Navara Risk Advisory

Beleidsplan Informatiebeveiliging en privacy

CONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Hoe operationaliseer ik de BIC?

Informatiebeveiligingsbeleid Opsteller: Roza van Cappellen

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Beveiligingsbeleid Stichting Kennisnet

Informatieveiligheidsbeleid

Informatiebeveiligings- en privacy beleid. PC Basisschool De Morgenster

Checklist Beveiliging Persoonsgegevens

Privacybeleid gemeente Wierden

Informatiebeveiliging- en privacy beleid (IBP)

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

BEWERKERSOVEREENKOMST

ISO 27001:2013 INFORMATIE VOOR KLANTEN

BEWERKERSOVEREENKOMST

INFORMATIEBEVEILIGINGS- EN PRIVACYBELEID

Informatiebeveiligingsbeleid

Beleid Informatieveiligheid Weerbaar en Bewust

Informatieveiligheid, de praktische aanpak

Thema 2: aanschaf en gebruik van e-healthtoepassingen

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Verklaring van Toepasselijkheid

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid

Informatiebeveiliging voor overheidsorganisaties

Informatiebeveiligingsbeleid Heemstede

Informatiebeveiligings- en privacy beleid. Buitenpost, april 2018 vastgesteld door de directeur- bestuurder op

Voorwoord. Peter Truijens. directeur-bestuurder Samenwerkingsverband Passend Onderwijs IJmond

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

informatiebeveiliging

Informatiebeveiligings- en privacy beleid Coöperatie SWV 25-05

VOORBEELD INFORMATIE- BEVEILIGINGSBELEID GEMEENTEN

Informatiebeveiliging

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Raadsmededeling - Openbaar

Informatiebeveiligingsbeleid extern

Algemeen privacybeleid gemeente Asten 2018

De maatregelen in de komende NEN Beer Franken

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Informatiebeveiligingsplan

Informatiebeveiligings- en privacy beleid

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Informatiebeveiliging als proces

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Informatieveiligheids- en privacybeleid September 2018

Informatiebeveiligingsbeleid. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Informatiebeveiligings- en privacybeleid

Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.

BSH Bewerkersovereenkomst

Informatiebeveiligingsbeleid Zorgbalans

Informatieveiligheid in de steiger

ISO 27001:2013 Informatiebeveiligingsbeleid extern

Transcriptie:

Informatiebeveiligingsbeleid 2016-2017 Strategisch beleid Versie 1.0 Datum Januari 2016 Auteur Specialist Informatiebeveiliging

Inhoudsopgave 1. Inleiding... 4 1.1 Doel van dit document... 4 1.2 Informatiebeveiliging... 4 1.3 Waarom informatie beveiligen?... 4 1.4 Werkingsgebied... 4 1.5 Opbouw van het document... 5 2. Informatiebeveiligingsbeleid Stichting Inlichtingenbureau... 6 3. Uitgangspunten Informatiebeveiliging Stichting Inlichtingenbureau... 8 3.1 Het belang van informatie(veiligheid)... 8 3.2 Visie... 8 3.3 Doelstelling... 9 3.4 Uitgangspunten... 9 3.5 Risicobenadering... 9 3.6 Doelgroepen... 10 3.7 Scope... 10 3.8 Informatiebeveiliging en architectuur... 11 4. Organisatie van informatiebeveiliging... 11 4.1 Interne organisatie... 11 4.2 Taken en rollen... 12 4.3 Functioneel overleg... 13 4.4 Rapportage en escalatielijn voor informatiebeveiliging... 13 4.5 Externe partijen... 14 4.6 ICT crisisbeheersing en landelijke samenwerking... 14 4.7 Beleidscyclus... 14 4.8 Relatie met overige documenten... 15 4.9 Planning & Control cyclus... 16 Informatiebeveiligingsbeleid 2016-2017 Strategisch Beleid 1.0 Pagina 2

1. Inleiding 1.1 Doel van dit document Dit document geeft invulling aan het informatiebeveiligingsbeleid van het Inlichtingenbureau. Het beschreven beleid is gebaseerd op eerder bestaand beleid, het Suwinet normenkader en het GGK normenkader. De opbouw van het document volgt die van het voorbeeldbeleid van de Baseline Informatiebeveiliging Rijksoverheid (BIR). Binnen de kaders van wet- en regelgeving kan het IB eigen invulling geven aan uitgangspunten, doelstellingen of maatregelen in het informatiebeveiligingsbeleid. Ook kunnen risicoanalyses aanleiding geven tot het nemen van additionele beveiligingsmaatregelen. In dit document zijn een groot aantal beleidsuitgangspunten nader uitgewerkt en zijn beveiligingseisen en- maatregelen opgenomen die voor alle processen en systemen van het IB gelden. Een beheerstructuur voor informatiebeveiliging maakt onderdeel uit van dit document. Hiermee worden verantwoordelijkheden voor informatiebeveiliging belegd en wordt informatiebeveiliging ingebed in de reguliere planning- en controlcyclus. 1.2 Informatiebeveiliging Informatiebeveiliging is het vaststellen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening te garanderen. Het begrip informatiebeveiliging heeft betrekking op: Beschikbaarheid / continuïteit: het zorg dragen voor het beschikbaar zijn van informatie en informatie verwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers; Integriteit / betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking; Vertrouwelijkheid / exclusiviteit: het beschermen van informatie tegen kennisname en door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn. 1.3 Werkingsgebied Informatiebeveiliging gaat over meer dan ICT, computers en automatisering. Het gaat om alle uitingsvormen van informatie (analoog, digitaal, tekst, video, geluid, geheugen, kennis), alle mogelijke informatiedragers (papier, elektronisch, foto, film, CD, DVD, beeldscherm et cetera) en alle informatie verwerkende systemen (de programmatuur, systeemprogrammatuur, databases, hardware, bijbehorende bedrijfsmiddelen), maar vooral ook over mensen en processen. Studies laten zien dat de meeste incidenten niet voortkomen uit gebrekkige techniek, maar vooral door menselijk handelen en een tekortschietende organisatie. Voorbeelden van informatiebeveiligingsmaatregelen zijn: clean desk policy, hoe om te gaan met mobiele apparaten en aanwijzingen voor telewerken. Informatiebeveiligingsbeleid 2016-2017 Strategisch Beleid 1.0 Pagina 4

1.4 Opbouw van het document Het Informatiebeveiligingsbeleid van het IB is onderverdeeld in twee delen: het strategische en tactische beleid. Het strategische beleid (dit document) gaat in op de organisatie van informatiebeveiliging, het tactische beleid bevat maatregelen. Dit document bestaat uit vier hoofdstukken: (1) de inleiding, (2) het informatiebeveiligingsbeleid, (3) uitgangspunten voor informatiebeveiliging bij het IB en (4) de organisatie van informatiebeveiliging. Informatiebeveiligingsbeleid 2016-2017 Strategisch Beleid 1.0 Pagina 5

2. Informatiebeveiligingsbeleid Stichting Inlichtingenbureau Het management van de organisatie is verantwoordelijk voor het opstellen, uitvoeren, handhaven, bewaken en uitdragen van het informatiebeveiligingsbeleid van de organisatie. Het management maakt een inschatting van het belang en de risico s van verschillende delen van de informatievoorziening voor de organisatie. Het management bepaalt welke risico s acceptabel en niet acceptabel zijn. Het informatiebeveiligingsbeleid is van toepassing op de gehele organisatie, inclusief alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen). Het informatiebeveiligingsbeleid past binnen het algemene beleid van de organisatie en wet- en regelgeving. Dit beleid bevat een tactisch-operationeel deel. Het Inlichtingenbureau is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van het beleid. Hierbij geldt: De organisatie moet voldoen aan wet- en regelgeving, zoals (niet-uitputtend): de wet SUWI, het besluit SUWI, de regeling SUWI, de Wet Bescherming Persoonsgegevens, de Meldplicht Datalekken, de Wet Openbaarheid van Bestuur en de Wet Computercriminaliteit. Er zijn twee verschillende normenkaders als basis: het GeVS-normenkader 2011 en het GGK normenkader zoals overeengekomen met de VNG. De organisatie stelt normenkaders vast, waarbij er ruimte is voor afweging en prioritering op basis van het pas toe of leg uit -principe. Het informatiebeveiligingsbeleid is gebaseerd op de volgende uitgangspunten, welke zijn ontleend aan de Code voor Informatiebeveiliging (NEN/ISO 27002:2013), de BIR, het GGK normenkader en het GeVS-normenkader. 1. Alle informatie en informatiesystemen zijn van kritiek en vitaal belang voor de organisatie. De verantwoordelijkheid voor informatiebeveiliging ligt bij het (lijn-) management, met de directeur als eindverantwoordelijke. De verantwoordelijkheden voor de bescherming van gegevens en voor het uitvoeren van beveiligingsprocedures zijn expliciet gedefinieerd. 2. Door periodieke controle, organisatie brede planning en coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatie breed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses. 3. Informatiebeveiliging is een continue verbeterproces. Plan, do, check en act vormen samen het managementsysteem van informatiebeveiliging. 4. De Specialist Informatiebeveiliging en de Beleidsadviseur Informatieveiligheid ondersteunen vanuit een onafhankelijke positie de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover. 5. De organisatie stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en werkprocessen te kunnen beveiligen conform beleid. Informatiebeveiligingsbeleid 2016-2017 Strategisch Beleid 1.0 Pagina 6

6. Regels en verantwoordelijkheden voor het beveiligingsbeleid dienen te worden vastgelegd en vastgesteld. Alle medewerkers van de organisatie worden getraind in het gebruik van beveiligingsprocedures. 7. Iedere medewerker, zowel vast als tijdelijk, intern of extern is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken. Dit informatiebeveiligingsbeleid treedt in werking na vaststelling door de Directie. Hiermee komt het oude informatiebeveiligingsbeleid van het Inlichtingenbureau van 2014 te vervallen. Aldus vastgesteld door de directeur van het Inlichtingenbureau op 22 december 2015, [Naam. Functie] [Naam. Functie] Informatiebeveiligingsbeleid 2016-2017 Strategisch Beleid 1.0 Pagina 7

3. Uitgangspunten Informatiebeveiliging Stichting Inlichtingenbureau 3.1 Het belang van informatie(veiligheid) Informatie is één van de voornaamste bedrijfsmiddelen van het Inlichtingenbureau. Het verlies van gegevens, uitval van ICT, of het door onbevoegden kennisnemen of manipuleren van bepaalde informatie kan ernstige gevolgen hebben voor de primaire taakuitvoering, de bedrijfsvoering en kan leiden tot imagoschade. Ernstige incidenten hebben mogelijk negatieve gevolgen voor burgers, bedrijven, partners en de eigen organisatie en de bestuurders. Informatieveiligheid is daarom van groot belang. Informatiebeveiliging is het proces dat dit belang dient. 3.2 Visie De komende jaren zet het Inlichtingenbureau in op het verhogen van informatieveiligheid en verdere professionalisering van de informatiebeveiligingsfunctie. Een betrouwbare informatievoorziening is noodzakelijk voor het goed functioneren van de organisatie en de basis voor het beschermen van rechten van burgers en bedrijven. Dit vereist een integrale aanpak, goed opdrachtgeverschap en risicobewustzijn. Ieder organisatieonderdeel is hierbij betrokken. Het proces van informatiebeveiliging is primair gericht op bescherming van informatie. Tegelijkertijd is informatiebeveiliging een enabler : het maakt bijvoorbeeld elektronische dienstverlening op verantwoorde wijze mogelijk, evenals nieuwe, innovatieve manieren van werken. De focus van informatiebeveiliging ligt op informatie-uitwisseling in alle verschijningsvormen, zoals elektronisch, op papier en mondeling. Het gaat niet alleen over Informatiebeveiligingsbeleid 2016-2017 Strategisch Beleid 1.0 Pagina 8

bescherming van privacy, maar ook over bescherming van vitale maatschappelijke functies die worden ondersteund met informatie. Het gaat ook niet alleen over ICT: verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid. 3.3 Doelstelling Dit informatiebeveiligingsbeleid is het kader voor passende personele, organisatorische en technische maatregelen om informatie te beschermen en te waarborgen, zodat de organisatie voldoet aan relevante wet- en regelgeving. Het Inlichtingenbureau streeft er naar om in control te zijn en daarover op professionele wijze verantwoording af te leggen. In control betekent dat de organisatie weet welke maatregelen genomen zijn en dat er een SMART-planning is van de maatregelen die nog niet genomen zijn en tot slot dat dit geheel verankerd is in de PDCA-cyclus. 3.4 Uitgangspunten 1. Het informatiebeveiligingsbeleid van het Inlichtingenbureau is in lijn met het algemene beleid van de organisatie en de relevante wet- en regelgeving. 2. Het beleid is gebaseerd op het GeVS-normenkader en het GGK normenkader. 3. Het informatiebeveiligingsbeleid wordt vastgesteld door de directeur. Het beleid wordt minimaal één keer per jaar, of zodra zich belangrijke wijzigingen voordoen, beoordeeld en zo nodig bijgesteld. 4. Dit document is opgenomen in het procedureboek van het IB en is voor alle medewerkers op een toegankelijke plaats opgeslagen en te lezen naast alle andere procedures en processen. 3.5 Risicobenadering De aanpak van informatiebeveiliging van het Inlichtingenbureau is risk based. Dat wil zeggen: beveiligingsmaatregelen worden getroffen op basis van een risicoanalyse. Daartoe inventariseert de proceseigenaar de kwetsbaarheid van de werkprocessen en de dreigingen die kunnen leiden tot een beveiligingsincident, rekening houdend met de beschermingseisen van de informatie. Het risico is de kans op beveiligingsincidenten en de impact daarvan op het werkproces en wordt bepaald door het MT: risico = kans x impact. Ten aanzien van risico s die voortkomen uit de risicoanalyse zal het IB per risico steeds één van de volgende strategieën kiezen om deze te verkleinen: Treat the risk (reduceren): verkleinen van het risico door middel van het nemen van informatiebeveiligingsmaatregelen. Take the risk (accepteren): het risico is zo klein dat de gevolgen acceptabel zijn. Terminate the risk (vermijden): wanneer een er een groot risico bestaat voor een bedrijfsactiviteit die weinig tot niets oplevert dan wordt deze bedrijfsactiviteit gestaakt. Transfer the risk (overdragen): overhevelen van het risico naar een derde partij door middel van uitbesteding of het afsluiten van verzekeringen. De correcte uitvoering van informatiebeveiliging wordt minimaal jaarlijks door een externe partij beoordeeld. Informatiebeveiligingsbeleid 2016-2017 Strategisch Beleid 1.0 Pagina 9

Dit informatiebeveiligingsbeleid stelt algemene beleidskaders. Voor bepaalde kerntaken gelden op grond van wet- en regelgeving specifieke (aanvullende) beveiligingseisen. Deze zijn toegevoegd in het tactisch-operationele deel. 3.8 Informatiebeveiliging en architectuur Informatiebeveiliging is onderdeel van het architectuurproces. Dit architectuurproces beschrijft onder meer principes, richtlijnen en maatregelen op basis van verschillende beschermingsniveaus (classificatie). Informatiebeveiliging en architectuur hebben ieder een eigen procesbeschrijving die op bepaalde punten in het proces met elkaar overlappen. Deze procesbeschrijvingen zijn verkrijgbaar via de gemeenschappelijke omgeving en via het procedureboek. 3.9 Werking Dit informatiebeveiligingsbeleid is in werking getreden na vaststelling door de directie. Hiermee komt het oude informatiebeveiligingsbeleid van het Inlichtingenbureau van 2014 te vervallen. 4. Organisatie van informatiebeveiliging 4.1 Interne organisatie 4.1.1 Risico s Het niet expliciet beleggen van verantwoordelijkheden en bijbehorende activiteiten, procedures en instrumenten, verhindert het daadwerkelijk en structureel uitvoeren en borgen van de beheersmaatregelen. 4.1.2 Doelstelling Beheersen van de informatiebeveiliging binnen de organisatie; Er is een beheerkader vastgesteld om de implementatie van informatiebeveiliging in de organisatie te initiëren en beheersen; Goedkeuring door de directie, de toewijzing van de rollen en de coördinatie en beoordeling van de implementatie van het beleid binnen de organisatie. 4.1.3 Verantwoordelijkheden De directie is integraal verantwoordelijk voor de beveiliging (beslissende rol) van informatie binnen de werkprocessen van het Inlichtingenbureau, en stelt kaders voor informatiebeveiliging op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders; Informatiebeveiligingsbeleid 2016-2017 Strategisch Beleid 1.0 Pagina 11

4.5 Externe partijen Informatiebeveiligingsbeleid, landelijke normen en wet en regelgeving gelden ook voor externe partijen (leveranciers, ketenpartners) waarmee de organisatie samenwerkt (en informatie mee uitwisselt). Ook voor externe partijen geldt hierbij het pas toe of leg uit - beginsel. Bij overeenkomsten gelden in beginsel altijd de Algemene Inkoop Voorwaarden (AIV), waarin onder meer geheimhouding en aansprakelijkheid is geregeld. Afwijkingen op de AIV dienen te worden getoetst aan informatiebeveiligingsbeleid. Vereiste beveiligingsmaatregelen worden aanvullend vastgelegd in contracten en/of bewerkersovereenkomsten. Daarin is onder meer geborgd dat beveiligingsincidenten onmiddellijk worden gerapporteerd en dat de organisatie het recht heeft afspraken te (laten) controleren. Voor externe hosting van data en/of services gelden naast generiek informatiebeveiligingsbeleid de richtlijnen voor cloud computing. De organisatie is gehouden aan: o regels omtrent grensoverschrijdend dataverkeer; o toezicht op naleving van regels door de externe partij(en); o hoogste beveiligingseisen voor bijzondere categorieën persoonsgegevens; o melding bij de Autoriteit Persoonsgegevens (AP) bij doorgifte van persoonsgegevens naar derde landen (buiten de EU); o melding bij de AP bij datalekken. 4.6 ICT crisisbeheersing en landelijke samenwerking Voor interne crisisbeheersing dient een kernteam informatiebeveiliging geïnstalleerd te zijn, bestaande uit de directie, de Beleidsadviseur Informatieveiligheid, de Specialist Informatiebeveiliging, relevante experts en de communicatieafdeling. De werkwijze dient te zijn vastgelegd. Het Inlichtingenbureau participeert in relevante landelijke platforms en onderhoudt contacten met andere sectoraal georganiseerde informatiebeveiligingsplatforms. 4.7 Beleidscyclus Binnen het IB wordt een beheerkader vastgesteld om de implementatie van informatiebeveiliging in de organisatie te initiëren en te beheersen. Het informatiebeveiligingsbeleid wordt door de directeur van het IB vastgesteld. Beveiligingsrollen worden toegewezen en de implementatie van de beveiligingsmaatregelen binnen het IB wordt door de respectievelijke Managers gecoördineerd en beoordeeld. Omdat de IT-voorzieningen continu onderhevig zijn aan veranderingen, is Informatiebeveiliging binnen het IB een continu (verbeter)proces. Informatiebeveiligingsbeleid 2016-2017 Strategisch Beleid 1.0 Pagina 14

Het informatiebeveiligingsproces doorloopt de zogenaamde Deming Cyclus die de fases Plan, Do, Check en Act bevat. De uit te voeren werkzaamheden zijn als volgt te plaatsen in de cyclus 4.8 Relatie met overige documenten Dit informatiebeveiligingsbeleid is gebaseerd op en is in lijn met de algemene strategie (visie en missie) en de ICT-strategie van het IB. Het informatiebeveiligingsbeleid wordt door middel van een informatiebeveiligingsplan geoperationaliseerd. Dit betekent dat de concrete uitvoering van dit beleid door middel van een plan voor het (gefaseerd) implementeren van informatiebeveiligingsmaatregelen is beschreven in het informatiebeveiligingsplan. In het informatiebeveiligingsplan wordt beschreven welke maatregelen ingevoerd moeten worden, op welke manier, door wie en binnen welk tijdsbestek. Indien van toepassing worden activiteiten uit het informatiebeveiligingsplan verder uitgewerkt in afzonderlijke projectplannen. In onderstaand figuur is de samenhang grafisch weergegeven. Informatiebeveiligingsbeleid 2016-2017 Strategisch Beleid 1.0 Pagina 15

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback