IT-beveiligingsbeleid opzet – Een stap-voor-staphandleiding

Hoe je een IT-beveiligingsbeleid opzet - Een stap-voor-staphandleiding inclusief gratis template

Template
Bryde

Anders Bryde Thornild

• 15. JULI 2020 • LEESTIJD 7 MIN.

In deze blogpost neem ik je mee door onze template voor een effectief informatiebeveiligingsbeleid. Je zal een beleid kunnen opzetten voor jouw organisatie en daarmee de IT-beveiliging binnen je organisatie kunnen verbeteren. Het IT-beveiligingsbeleid is een belangrijk instrument om een gezonde en goede IT-beveiligingscultuur binnen je organisatie te creëren en te behouden. 

Wat is het verschil tussen een IT-beveiligingsbeleid en richtlijnen voor IT-gebruik?

Wanneer je binnen je organisatie met IT-beveiliging werkt, kan het erg zinvol zijn om een IT-beveiligingsbeleid en richtlijnen voor IT-gebruik op te stellen. Met een beleid en een set richtlijnen zet je de toon voor je IT-beveiligingswerk waardoor je beveiliging sterker wordt. 

Het doel van een IT-beveiligingsbeleid is om de organisatie een algemeen kader aan te reiken dat doelstellingen bevat en de verantwoordelijkheid voor de IT-beveiliging delegeert. Het is een klein document van slechts enkele pagina’s en wordt gezien als een memo voor de directie met ambities voor de IT-beveiligingsacties van de organisatie. 

Het document ‘Richtlijnen voor IT-gebruik’ vormt een groter document met daarin de regels en richtlijnen die alle medewerkers moeten naleven. Waar het beleid algemeen en strategisch is, zijn de richtlijnen concreet en inzetbaar 

In deze blogpost neem ik de template voor een effectief IT-beveiligingsbeleid door en vertel ik je waar je op moet letten als je een eigen beleid voor jouw organisatie opstelt. 

Het IT-beveiligingsbeleid: stap voor stap

Het doel van het IT-beveiligingsbeleid is, zoals eerder vermeld, om het kader te creëren voor het IT-beveiligingswerk van de organisatie. Het beleid helpt je om doelen te stellen, verantwoordelijkheid te delegeren en ontwikkelingen te rapporteren. 

Ik zal nu iedere stap van de template doornemen met opmerkingen over hoe deze te gebruiken en waar je rekening mee moet houden. 

We raden je ten zeerste aan om de template te volgen terwijl je deze handleiding leest, omdat deze boordevol staat met nuttige voorbeelden. 

Het IT-beveiligingsbeleid bevat zeven onderdelen die je moet overwegen en aanvullen. Deze onderdelen zijn: 

Stap 1: Doel

Het eerste onderdeel dat je moet overwegen, is het doel van het beleid. Het doel zal vrijwel altijd zijn om de kaders te stellen voor het beheer van informatiebeveiliging binnen de organisatie. In dit gedeelte kan je bijvoorbeeld zoiets schrijven als: 

“Het beveiligingsbeleid definieert het kader voor het beheer van informatiebeveiliging binnen X.” 

Stap 2: Geldigheid

Geldigheid heeft betrekking tot op wie het beleid invloed heeft. Vaak gaat het hier om alle medewerkers binnen de organisatie. Het kan echter ook betrekking hebben op consultants die voor de organisatie werken en iedereen die het IT-systeem binnen de organisatie gebruikt. Het is dus aan jou om te beslissen wie er in het beleid wordt opgenomen.  

Je zou het als volgt kunnen formuleren: 

“Het beveiligingsbeleid is van toepassing op alle medewerkers binnen X en de volledige toegang tot de informatiesystemen van X.” 

Stap 3: Doelstellingen

Het derde onderdeel betreft de doelstellingen. De doelstellingen vormen in veel opzichten het centrale element van het beleid. Dit is de plek waar je definieert wat je wilt bereiken. Je zit op één lijn met je beleid wanneer de doelstellingen bereikt worden.

In ons sjabloon staan ​​8 voorbeelden van mogelijke doelstellingen die kunnen worden toegepast, aangepast of verwijderd om bij jouw organisatie aan te sluiten. Het is belangrijk om te bedenken waarom je de gekozen doelstellingen kiest en of deze realistisch zijn. De 8 voorbeelden zijn te vinden in de template, maar hier zie je een voorbeeld van één ervan:  

“X gebruikt een risico-gebaseerde aanpak waarbij het beveiligingsniveau en de kosten ervan gebaseerd moeten zijn op de bedrijfsrisico- en impactbeoordeling die minimaal een keer per jaar moeten worden uitgevoerd. 

De voorbeelden in onze template wijzen in de richting van reeds bestaande kaders zoals ISO27001:2013. Dit wordt gedaan omdat het onnodig is om het wiel opnieuw uit te vinden. Het is geen enkel probleem om reeds bestaande kaders te gebruiken.  

In de voorbeelden gebruiken we het woord streven een aantal keer. Sommige mensen zouden erop wijzen dat het vaag is om een ​​woord als streven te gebruiken in een doelstelling. Het gebruik van dit woord dient te worden begrepen als een begrip van de hoeveelheid werk die er nodig is om aan ISO27001:2013 en alle AVG-voorschriften te voldoen. Voor veel organisaties zou het geen realistische doelstelling zijn om hieraan te voldoen. Door het woord ‘streven‘ te gebruiken, stel je dus eisen om in de goede richting te bewegen, maar accepteer je ook dat het een traject is. Voor veel organisaties is het simpelweg onmogelijk om zich vanaf dag één aan alle regels te houden. 

Het beleid is een document dat altijd in ontwikkeling is en dat met regelmaat opnieuw moet worden beoordeeld. De formulering kan op verschillende momenten veranderen omdat je binnen je organisatie slimmer en beter bent geworden. Dus door het beleid elk jaar opnieuw te beoordelen en bij te schaven, zal je veranderingen in de doelstellingen zien om ze bij jouw organisatie aan te laten sluiten. 

Dit zorgt ervoor dat het beleid geen oud en stoffig document wordt, maar een actief instrument van je beveiligingswerk is. 

Stap 4: Organisatie en verantwoordelijkheid

Je moet de verantwoordelijkheid voor IT-beveiliging binnen de organisatie delegeren. Met behulp van het beleid kan je dit effectief aanpakken. 

Wellicht is het de persoon die verantwoordelijk is voor de IT die zich bezighoudt met de dagelijkse taken en activiteiten, maar er dienen tevens verantwoordelijkheden en taken op andere posities binnen de organisatie te zijn. Op alle niveaus van de organisatie, van bestuursleden tot medewerkers, dient er verantwoordelijkheid te worden gedragen. 

Zoals getoond in de template kan het delegeren van de verantwoordelijkheid er bijvoorbeeld zo uitzien: 

  • De raad van bestuur heeft de eindverantwoordelijkheid voor de informatiebeveiliging binnen X. 
  • De directie of het management is verantwoordelijk voor de managementbeginselen en delegeert specifieke verantwoordelijkheden voor beveiligingsmaatregelen, waaronder het ownership van informatiesystemen. 
  • Ownership wordt vastgesteld voor elk kritisch informatiesysteem. De eigenaar bepaalt hoe beveiligingsmaatregelen worden gebruikt en beheerd in overeenstemming met het beveiligingsbeleid. 
  • De IT-afdeling overlegt, coördineert, controleert en rapporteert over de status van de beveiliging. De IT-afdeling stelt richtlijnen en procedures op. 
  • De individuele medewerker is verantwoordelijk voor het naleven van het beveiligingsbeleid en wordt hierover geïnformeerd via het IT-gebruiksbeleid. 

Het is belangrijk om op te merken dat het niet noodzakelijk is dat de IT-afdeling de eigenaar is van ieder IT-systeem. Het kan bijvoorbeeld zo zijn dat de marketingafdeling de eigenaar is van de website van het bedrijf. Daarom is het belangrijk dat het delegeren van de verantwoordelijkheden een weerspiegeling is van de realiteit van de organisatie. 

Stap 5: Ontheffing

Ontheffingen zijn uitzonderingen waarvoor geldt dat de verantwoordelijkheid en de doelstellingen niet van toepassing zijn. Mocht je geen duidelijke uitzonderingen hebben, kan je een ontheffing zodanig formuleren dat je het wijzigen ervan in de toekomst mogelijk maakt: 

Ontheffingen voor het informatiebeveiligingsbeleid en de richtlijnen van X worden goedgekeurd door de IT-afdeling op basis van de richtlijnen die zijn opgesteld door de directie.” 

Stap 6: Rapportering

Rapportage is belangrijk omdat het een feedbackloop en procedure creëert in het werk met betrekking tot de IT-beveiliging. De rapportage benadrukt de verantwoordelijkheden. Als de IT-afdeling bijvoorbeeld moet rapporteren aan de directiedan wordt vooruitgang gestimuleerd omdat de IT-afdeling concrete resultaten moet kunnen aantonen in de rapportages. 

De rapportering garandeert de vooruitgang in het werk met betrekking tot de doelstellingen en zorgt ervoor dat verantwoordelijkheden worden gerespecteerd. 

Deze paragraaf zou u als volgt kunnen formuleren:  

  • De IT-afdeling informeert de directie over alle relevante beveiligingsproblemen 
  • De status van ontheffingen wordt opgenomen in het jaarverslag van de IT-afdeling aan de directie 
  • De directie beoordeelt jaarlijks de beveiligingsstatus en rapporteert vervolgens aan de raad van bestuur 

Stap 7: Overtreding

De laatste stap voor het opzetten van het IT-beveiligingsbeleid betreft wat de gevolgen zijn indien iemand het beleid opzettelijk niet naleeft. Het kan de verantwoordelijkheid van de HR-afdeling zijn om dergelijke overtredingen af te handelen, maar het kan ook de persoon zijn die verantwoordelijk is voor de volledige IT. Het belangrijkste is om zwart op wit te hebben wie er in actie moet komen bij een overtreding. Op die manier zorg je ervoor dat de situatie wordt aangepakt. In onze template zeggen we:  

“Opzettelijke overtreding en misbruik worden door de IT-afdeling gemeld bij de HR-afdeling en de dichtstbijzijnde autoriteit met hoofdverantwoordelijkheid. Overtreding van het informatiebeveiligingsbeleid en ondersteunende richtlijnen kan leiden tot arbeidsrechtelijke gevolgen.” 

Het informatiebeveiligingsbeleid is het kader voor jouw beveiliging

Deze zeven onderdelen vormen jouw beleid. Het hoeft niet meer dan enkele pagina’s in beslag te nemen, omdat het ‘slechts’ het kader vormt van het beveiligingswerk van de organisatie. 

Als de ambities en doelstellingen op orde zijn, kunnen jij en je organisatie in concretere regels en richtlijnen duiken die de medewerkers na dienen te leven. Deze regels en richtlijnen staan meestal uitgeschreven in een ander document genaamd ‘Richtlijnen voor IT-gebruik’. Je vindt onze handleiding en template HIER. 

Het informatiebeveiligingsbeleid en de richtlijnen voor IT-gebruik vormen samen de basis voor een sterke IT-beveiligingscultuur binnen je organisatie. 

Het is belangrijk om de documenten jaarlijks bij te werken om ervoor te zorgen dat ze up-to-date en inzetbaar zijn. Je moet actief met de doelstellingen en regels in die twee documenten omgaan om ervoor te zorgen dat je organisatie vooruitgang boekt. 

Ik hoop dat je de template nuttig vond! 

Ontvang updates met gratis templates, tools en nieuws van CyberPilot.

Comments are closed.