Statuut informatiebeveiliging

Statuut informatiebeveiliging

Inhoudsopgave

  1. Achtergrond
  2. Eindverantwoordelijkheid
  3. Doelstelling en doelgroep
  4. Betrokkenen
  5. Opzet informatiebeveiliging
  6. Beleidsuitgangspunten

1. Achtergrond

Het managementteam van de PPPP onderkent dat het toenemende gebruik van datacommunicatiemogelijkheden (internet, E-commerce), de complexiteit van en verwevenheid tussen geautomatiseerde systemen, de massaliteit van de dagelijkse communicatie, de omvang van de bestanden alsmede de toenemende professionalisering van de computercriminaliteit leiden tot een grote afhankelijkheid en kwetsbaarheid van de geautomatiseerde informatievoorziening binnen de PPPP. De risico’s die hiermee samenhangen zijn zeer aanzienlijk en kunnen een bedreiging vormen voor de vertrouwelijkheid, integriteit en continuïteit van de geautomatiseerde informatievoorziening en daarmee indirect voor het imago en dus de continuïteit van de PPPP.

2. Eindverantwoordelijkheid

Gelet op de mogelijke impact van verstoringen op de continuïteit van PPPP berust eindverantwoordelijkheid voor het beleid inzake de beveiliging en de interne controle van de geautomatiseerde informatievoorziening bij de directie van PPPP.

3. Doelstelling en doelgroep

Het Statuut maakt deel uit van het algehele beveiligingsbeleid van PPPP. De doelstelling van het Statuut inzake de vertrouwelijkheid, integriteit en continuïteit van de geautomatiseerde informatievoorziening van de PPPP luidt:

“Het bieden van een raamwerk van beleidsuitgangspunten met betrekking tot de exclusiviteit, integriteit en beschikbaarheid van de geautomatiseerde informatievoorziening, waarbinnen een evenwichtig (doeltreffend en doelmatig) stelsel van onderling samenhangende maatregelen ontwikkeld wordt, teneinde de geautomatiseerde informatievoorziening te beschermen tegen interne en externe bedreigingen.”

Alle leidinggevenden dienen ervoor zorg te dragen, dat aan de in dit Statuut geformuleerde beleidsuitgangspunten wordt voldaan bij de inrichting van de organisatie, procedures, werkwijze en de daarbij gehanteerde informatiesystemen.

4. Betrokkenen

  • Beveiligingsorganisatie
  • De gebruiksorganisatie is en blijft, als houder, eindverantwoordelijke voor de door haar gebruikte geautomatiseerde informatiesystemen.
  • De systeemontwikkelingsorganisatie is verantwoordelijk voor het realiseren van de overeen te komen gewenste functionele specificaties tijdens systeemontwikkelingstrajecten.

De verwerkingsorganisatie is de houder van de overeengekomen technische infrastructuur, waaronder inbegrepen de infrastructurele beveiligingsmiddelen.

5. Opzet informatiebeveiliging

Van elk geautomatiseerd informatiesysteem, inclusief de daarbij behorende gegevens, dient expliciet één houder te zijn benoemd. Het houderschap impliceert de eindverantwoordelijkheid voor het betreffende systeem, inclusief het bepalen van bij het systeem te onderkennen risico’s, het classificeren van het systeem en de daarbij behorende gegevens en het (laten) ontwikkelen van adequate beveiligingsmiddelen en interne controlemaatregelen. Naast de applicatie betreft dit ook de juiste inzet van de infrastructurele componenten (werkstations, servers en LAN/WAN), de juiste verwerking, het adequate beheer, het goed functioneren van het personeel, het maken van afspraken met derden, fysieke beveiliging en voorzieningen om incidenten en calamiteiten te voorkomen of af te handelen.

Er wordt gesproken over eindverantwoordelijk omdat een aantal aspecten van het informatiesysteem uitbesteed worden aan andere houders. Dit kan zowel betrekking hebben op aspecten tijdens de ontwikkeling van het systeem, als tijdens het beheer, het gebruik en/of bepaalde deelcomponenten van het totale systeem.
De te treffen maatregelen, alsmede de prioriteitsstelling hierin, dienen te worden bepaald op grond van een door het bedrijfsonderdeel periodiek op te stellen risicoanalyse, waarin: de bedreigingen tegen een betrouwbare en op continuïteit gerichte, geautomatiseerde informatievoorziening en de daarmee samenhangende risico’s worden onderkend en een evenwichtig stelsel van onderling samenhangende maatregelen wordt ontwikkeld ter reducering van de risico’s tegen acceptabele kosten.

Hierbij wordt derhalve niet een maximaal beveiligingsniveau nagestreefd, maar een optimaal niveau. Bij het uitvoeren van de risicoanalyse wordt het bedrijfsonderdeel ondersteund door Beveiligingsadvies. Zij vervult in deze een coördinerende rol, opdat overlappingen en tekortkomingen in het totale stelsel van maatregelen binnen de PPPP worden voorkomen.

6. Beleidsuitgangspunten

  • Uitgangspunt vormen de doelstellingen van de norm NEN-ISO/IEC 27002 voor zover zij bijdragen aan de informatiebeveiliging van PPPP. Als een doelstellingen op een andere wijze gerealiseerd wordt via alternatieve maatregelen, dan is dat toegestaan, mits dit alternatief beschreven is.
  • De fysieke en logistieke beveiliging van de computercentra en de andere bedrijfsgebouwen van PPPP is zodanig, dat de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens en gegevensverwerking gewaarborgd zijn.
  • Aanschaf, installatie en onderhoud van geautomatiseerde gegevensverwerkende systemen, alsmede inpassing van nieuwe technologieën, mogen geen afbreuk doen aan het niveau van veiligheid van de totale informatievoorziening.
  • Het personeelsbeleid is mede gericht op het leveren van een bijdrage aan de vertrouwelijkheid, integriteit en continuïteit van de informatievoorziening.
  • Opdrachten aan derden voor het uitvoeren van werkzaamheden worden zodanig omgeven met maatregelen, dat er geen inbreuk op de vertrouwelijkheid, integriteit en continuïteit van de informatievoorziening kan ontstaan.
  • Ontwikkeling van en onderhoud op informatiesystemen geschieden binnen de kaders en regels van de vastgestelde ICT-architectuur volgens een standaardmethodiek, waarbij de documentatie volgens een vaste systematiek tot stand komt.
  • Bij de geautomatiseerde informatievoorziening zijn stringente scheidingen aangebracht tussen de test-/ontwikkelomgeving, de acceptatietestomgeving en de productieomgeving.
  • Er zijn functiescheidingen aangebracht tussen de systeemontwikkelings-, beheer- en gebruikersorganisatie.
  • Bij de verwerking en het gebruik van gegevens worden maatregelen getroffen om de privacy van klanten en personeel te waarborgen.
  • Logische toegangsbeveiliging zorgt ervoor, dat ongeautoriseerde personen of processen geen toegang krijgen tot de geautomatiseerde systemen, gegevensbestanden en programmatuur van PPPP.
  • Gegevensverstrekking intern en extern gebeurt op basis van ‘need to know’. Medewerkers treffen maatregelen om te voorkomen dat informatie in handen van personen terechtkomt, die deze informatie niet strikt nodig hebben. Ook de toegang tot informatiesystemen wordt volgens dit principe adequaat beveiligd. Voor ICT-beheerders wordt hierop een uitzondering gemaakt, om te komen tot een betere service aan de gebruikers.
  • Datatransport is zodanig met beveiligingsmaatregelen omkleed, dat geen inbreuk kan worden gepleegd op de vertrouwelijkheid en de integriteit van de gegevens en op de informatievoorziening als geheel.
  • End-user computing is omgeven door zodanige maatregelen, dat de vertrouwelijkheid en de integriteit van de opgeleverde informatie.
  • Teneinde computervirusinfecties te voorkomen wordt er slechts gewerkt met geautoriseerde versies van (legale) programmatuur.
  • Het beheer en de opslag van gegevens zijn zodanig, dat geen informatie verloren kan gaan.
  • Er is een proces om incidenten adequaat af te handelen en hier ‘lessons learned’ uit te trekken.
  • Er zijn calamiteitenplannen en -voorzieningen om de continuïteit van de bedrijfsvoering en de informatievoorziening te waarborgen en imagoschade te voorkomen.
Actueel

Gerelateerd nieuws

Vernieuwd: whitepaper: OT-Cybersecurity in de industrie

Lees verder

Informatiebeveiliging: ISMS maakt het verschil

Lees verder

Whitepaper: Informatiebeveiliging met ISO 27001 of NEN 7510

Lees verder
Stel een vraag

Contact

Velden met een * zijn verplicht