Factsheet
Informatiebeveiliging als proces
Informatiebeveiliging onder controle krijgen en houden
FORTIVISION Stadionstraat 1a ● 4815 NC Breda +31 (0) 88 160 1780 ● www.db-fortivision.nl ●
[email protected]
Informatiebeveiliging als proces bij uw organisatie Binnen uw organisatie wordt hoogstwaarschijnlijk vanuit verschillende invalshoeken al wel het een en ander aan informatiebeveiliging gedaan, maar de samenhang ontbreekt nog. Interne regels met betrekking tot informatiebeveiliging zijn niet gestructureerd vastgelegd en getroffen maatregelen zijn niet bij iedereen bekend. Medewerkers handelen hoofdzakelijk naar eigen inzicht; hierdoor gaat veel goed, maar de borging ontbreekt waardoor de kans op incidenten nog onnodig groot is. Informatiebeveiliging is binnen uw organisatie tot op heden te weinig gestructureerd om dit complexe proces goed te kunnen beheersen. Het ontbreekt hierdoor nog aan de benodigde focus om informatiebeveiliging als proces te zien en het stap voor stap te verbeteren. Wanneer uw organisatie tot een breed en gedocumenteerd informatiebeveiligingsbeleid wenst te komen, zou dit een belangrijke stap zijn om dit proces vorm te gaan geven. Het beleid vormt immers de basis; mensen moeten weten wat er van hen wordt verwacht en de middelen om hier gevolg aan te geven zullen beschikbaar moeten worden gesteld. Om op effectieve wijze de informatiebeveiliging binnen uw organisatie als proces te kunnen voeren, kan een viertal stappen genomen worden: 1. Het inventariseren van het huidige niveau van informatiebeveiliging waarna men zich bewust raakt van de effectiviteit van de huidig genomen maatregelen en mogelijke consequenties van het ontbreken of niet effectief doorvoeren van enkele maatregelen. 2. Het inventariseren van het wenselijke niveau van informatiebeveiliging waarmee bepaald wordt op welke gebieden maatregelen getroffen dienen te worden. 3. Het opstellen van een informatiebeveiligingsbeleid waarin geheel in overeenstemming met de bedrijfsdoelstellingen een duidelijke beleidsrichting wordt gegeven aan informatiebeveiliging overeenkomstig de bedrijfsmatige eisen en relevante wetten en voorschriften. 4. Het opstellen van een informatiebeveiligingsplan waarmee het beveiligingsbeleid wordt geïmplementeerd in de organisatie. Dit vormt een jaarplan, waarin beschreven wordt welke maatregelen worden geïmplementeerd om aan het beleid te kunnen voldoen. Per maatregel wordt beschreven welke medewerker van uw organisatie voor de implementatie verantwoordelijk is, en wanneer dit wordt gedaan.
Duijnborgh-FortiVision BV
Factsheet – Informatiebeveiliging als proces
Pagina 2 van 5
Met de dienst Security Health Check van Duijnborgh-FortiVision kunnen de eerste twee stappen verwezenlijkt worden. Aan de hand van de rapportage van de Security Health Check, kunnen de vervolgstappen gezet worden. Met deze vier stappen wordt een intrede gedaan in een jaarlijkse Plan-Do-Check-Act (PDCA) cyclus, die een borging vormt voor informatiebeveiliging als proces binnen uw organisatie. Er is dan in kaart gebracht wat de wensen en eisen zijn en dit is in een beleidsdocument vastgelegd (de eenmalige Intake, bestaande uit de bevindingen van de Security Health Check en het op te stellen informatiebeveiligingsbeleid). In het op te stellen informatiebeveiligingsplan wordt beschreven welke maatregelen wanneer geïmplementeerd worden (Plan). In de volgende fase worden de maatregelen geïmplementeerd (Do) door, of onder toezicht van, de verantwoordelijke medewerkers binnen uw organisatie. Hierna vindt een evaluatie (Check) plaats; er wordt gecontroleerd of alle maatregelen volgens het plan zijn geïmplementeerd, of deze goed functioneren en of de maatregelen en het beleid nog voldoen door bijvoorbeeld interne veranderingen bij uw organisatie of aangepaste wet- en regelgeving. Derhalve dienen daar waar nodig, maatregelen bijgesteld (Act) te worden.
Op basis van de hieruit voortkomende bevindingen wordt vervolgens een nieuw informatiebeveiligingsplan (Plan) voor het komende jaar opgesteld met daarin de gewenste nieuwe maatregelen, aanpassingen op bestaande maatregelen en eventueel een aanpassing in het beleid. Hiermee is de jaarlijkse Plan-Do-Check-Act cyclus rond. Deze cyclus kan uw organisatie geheel zelfstandig doorlopen. Duijnborgh-FortiVision kan uw organisatie assisteren bij het op gang brengen van het proces van informatiebeveiliging. Dit kan door een beleidsdocument op te stellen dat is gebaseerd op de norm Code voor informatiebeveiliging (NEN ISO 27001 en de bijbehorende Code of Practice NEN ISO 27002), of een andere norm die op uw organisatie van toepassing is (bijvoorbeeld de NEN 7510 voor de Zorg, de BIR voor de Rijksoverheid of de BIG voor Gemeentes). De resultaten van de reeds uitgevoerde Security Health Check en de daarbij opgedane kennis over de organisatie worden gebruikt om het beleid passend te maken. De rapportage van de Security Health Check is immers op basis van de gebruikte norm
Duijnborgh-FortiVision BV
Factsheet – Informatiebeveiliging als proces
Pagina 3 van 5
geschreven. Een beleid heeft enkel nut wanneer een organisatie ook in staat is om het na te leven. De voorgestelde richtlijnen zullen dan ook worden doorgenomen met medewerkers van uw organisatie die verantwoordelijk zijn voor de relevante deelgebieden. Het daarmee gevormde document wordt voorgelegd aan de directie van uw organisatie; enkel wanneer die achter het beleid kan staan, kan het worden bekrachtigd en geëffectueerd. Wanneer het informatiebeveiligingsbeleid door de directie is geaccordeerd kan het informatiebeveiligingsplan worden opgesteld. Ook hierbij kan Duijnborgh-FortiVision uw organisatie van dienst zijn door de in de rapportage van de Security Health Check genoemde aanbevelingen te vertalen naar een informatiebeveiligingsplan om zodoende uw organisatie op het wenselijk geachte beveiligingsniveau te brengen. De Security Health Check vormt een sterke basis voor het informatiebeveiligingsplan. Op basis van het vastgestelde beleid kunnen maatregelen worden toegevoegd of aangepast. Elke te implementeren maatregel wordt gekoppeld aan een medewerker van uw organisatie, die hiermee verantwoordelijk wordt voor de implementatie. Duijnborgh-FortiVision zal de maatregel met deze medewerker doornemen, en kan advies geven over de manier waarop de implementatie tot stand kan komen.
Duijnborgh-FortiVision BV
Factsheet – Informatiebeveiliging als proces
Pagina 4 van 5
Meer informatie Gebruik de onderstaande gegevens voor het stellen van vragen via telefoon of email:
Adres:
Stadionstraat 1a 4815NC Breda
Telefoon: Fax:
088 – 160 1780 088 – 160 1799
E-mail: Website:
[email protected] http://www.db-fortivision.nl
Meer uitgebreide vragen laten zich het beste in een persoonlijk gesprek beantwoorden. Neem gerust contact met ons op voor het maken van een afspraak.
Duijnborgh-FortiVision BV
Factsheet – Informatiebeveiliging als proces
Pagina 5 van 5
