Inhoudsopgave
Het managementteam van de PPPP onderkent dat het toenemende gebruik van datacommunicatiemogelijkheden (internet, E-commerce), de complexiteit van en verwevenheid tussen geautomatiseerde systemen, de massaliteit van de dagelijkse communicatie, de omvang van de bestanden alsmede de toenemende professionalisering van de computercriminaliteit leiden tot een grote afhankelijkheid en kwetsbaarheid van de geautomatiseerde informatievoorziening binnen de PPPP. De risico’s die hiermee samenhangen zijn zeer aanzienlijk en kunnen een bedreiging vormen voor de vertrouwelijkheid, integriteit en continuïteit van de geautomatiseerde informatievoorziening en daarmee indirect voor het imago en dus de continuïteit van de PPPP.
Gelet op de mogelijke impact van verstoringen op de continuïteit van PPPP berust eindverantwoordelijkheid voor het beleid inzake de beveiliging en de interne controle van de geautomatiseerde informatievoorziening bij de directie van PPPP.
Het Statuut maakt deel uit van het algehele beveiligingsbeleid van PPPP. De doelstelling van het Statuut inzake de vertrouwelijkheid, integriteit en continuïteit van de geautomatiseerde informatievoorziening van de PPPP luidt:
“Het bieden van een raamwerk van beleidsuitgangspunten met betrekking tot de exclusiviteit, integriteit en beschikbaarheid van de geautomatiseerde informatievoorziening, waarbinnen een evenwichtig (doeltreffend en doelmatig) stelsel van onderling samenhangende maatregelen ontwikkeld wordt, teneinde de geautomatiseerde informatievoorziening te beschermen tegen interne en externe bedreigingen.”
Alle leidinggevenden dienen ervoor zorg te dragen, dat aan de in dit Statuut geformuleerde beleidsuitgangspunten wordt voldaan bij de inrichting van de organisatie, procedures, werkwijze en de daarbij gehanteerde informatiesystemen.
De verwerkingsorganisatie is de houder van de overeengekomen technische infrastructuur, waaronder inbegrepen de infrastructurele beveiligingsmiddelen.
Van elk geautomatiseerd informatiesysteem, inclusief de daarbij behorende gegevens, dient expliciet één houder te zijn benoemd. Het houderschap impliceert de eindverantwoordelijkheid voor het betreffende systeem, inclusief het bepalen van bij het systeem te onderkennen risico’s, het classificeren van het systeem en de daarbij behorende gegevens en het (laten) ontwikkelen van adequate beveiligingsmiddelen en interne controlemaatregelen. Naast de applicatie betreft dit ook de juiste inzet van de infrastructurele componenten (werkstations, servers en LAN/WAN), de juiste verwerking, het adequate beheer, het goed functioneren van het personeel, het maken van afspraken met derden, fysieke beveiliging en voorzieningen om incidenten en calamiteiten te voorkomen of af te handelen.
Er wordt gesproken over eindverantwoordelijk omdat een aantal aspecten van het informatiesysteem uitbesteed worden aan andere houders. Dit kan zowel betrekking hebben op aspecten tijdens de ontwikkeling van het systeem, als tijdens het beheer, het gebruik en/of bepaalde deelcomponenten van het totale systeem.
De te treffen maatregelen, alsmede de prioriteitsstelling hierin, dienen te worden bepaald op grond van een door het bedrijfsonderdeel periodiek op te stellen risicoanalyse, waarin: de bedreigingen tegen een betrouwbare en op continuïteit gerichte, geautomatiseerde informatievoorziening en de daarmee samenhangende risico’s worden onderkend en een evenwichtig stelsel van onderling samenhangende maatregelen wordt ontwikkeld ter reducering van de risico’s tegen acceptabele kosten.
Hierbij wordt derhalve niet een maximaal beveiligingsniveau nagestreefd, maar een optimaal niveau. Bij het uitvoeren van de risicoanalyse wordt het bedrijfsonderdeel ondersteund door Beveiligingsadvies. Zij vervult in deze een coördinerende rol, opdat overlappingen en tekortkomingen in het totale stelsel van maatregelen binnen de PPPP worden voorkomen.