De ISO 27001 gaat over informatiebeveiliging en daar moet je beleid voor maken. Maar in de norm staan meer onderwerpen waar beleid voor gemaakt moet worden. Je kan dit zien als sub-beleid, want deze beleiduitgangspunten moeten een verbijzondering zijn van het informatiebeveiligingsbeleid. Maar wat moet er nu precies instaan en wat is dat nu eigenlijk “beleid”. Meer informatie in deze blog over “beleid volgens de ISO 27001”.
Welke hoofdstukken zeggen iets over het informatiebeveiligingsbeleid:
5.2 Beleid
A.5.1.1 Beleidsregels voor Informatiebeveiliging
A.6.2.1 Beleid voor mobiele apparatuur
A.9.1.1 Beleid voor toegangsbeveiliging
A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen
A.11.2.9 ‘Clear desk’- en ‘clear screen’-beleid
A.12.3.1 Back-up van informatie
A.13.2.1 Beleid en procedures voor informatietransport
A.14.2.1 Beleid voor beveiligd ontwikkelen
A.15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties
Wat is nu beleid
Beleid volgens de ISO 27000:
- Bedoelingen en richting van een organisatie zoals formeel door de directie kenbaar gemaakt.
Volgens Wikipedia is beleid:
- Beleid is het stellen van doelen, middelen en een tijdpad in onderlinge samenhang. Liefst zijn plaats en tijd omschreven. Onder beleid wordt dus verstaan het aangeven van de richting en de middelen waarmee men gestelde organisatiedoelen wil gaan realiseren binnen de gestelde periode.
En Google zegt dat beleid is:
- Het streven naar het bereiken van bepaalde doeleinden met bepaalde middelen en bepaalde tijdskeuzen.
- Het leiden van een organisatie vanuit de algemeen aanvaarde visie en missie. Beleid expliciteert de keuze van doelstellingen die de organisatie via een strategie implementeert en op haar resultaten evalueert.
- Het leiden van een organisatie vanuit de algemeen aanvaarde visie en missie. Beleid expliciteert de keuze van doelstellingen die de organisatie via een strategie implementeert en op haar resultaten evalueert.
Tips voor het definiëren van beleid
Bepaal waar je iets voor doet. Zo maak je namelijk een link naar je missie en visie. Denk aan een hoge klanttevredenheid, bescherming van persoonsgegevens of een veilige werkomgeving.
Bepaal wat je ermee wilt bereiken (je doel). Zo maak je weer een link naar je missie en visie maar ook naar de meer algemene doelstellingen van jouw organisatie. Denk hierbij aan klanten die je aanbevelen aan derden (als verfijning van hoge klanttevredenheid), denk aan het verplicht stellen van OWASP richtlijnen of gebruik van sterke wachtwoorden (als verfijning van bescherming van persoonsgegevens) en denk aan een prettige werksfeer (als verfijning van een veilige werkomgeving).
Bepaal de uitgangspunten / zaken die nodig zijn om het geen wat je hierboven hebt beschreven bij “bepaal wat je wilt bereiken” voor elkaar te krijgen.
Wat is beleid dus niet
Beleid is dus niet: we gebruiken die procedure of werkinstructie. Want daarin heb je geen link gemaakt naar je missie, visie en doelstellingen.
Wat wil de ISO 27001 nog meer dat je doet met vastgesteld beleid
- Het moet aansluiten bij de strategische richting van de organisatie. Of te wel passend zijn voor het doel van de organisatie.
- Je moet het vastleggen en communiceren aan medewerkers.
- Je moet beleidsdoelstellingen maken en bepalen wanneer je die behaalt hebt. Je doelstellingen moeten meetbaar zijn en je moet de effectiviteit ervan bepalen. Ander woord voor effectiviteit is doelmatigheid. Daarom is het handig dat je weet waarom je iets doet, of te wel wat je doel is. Want als je je doel hebt bepaald kan je bepalen als dat behaald hebt ( dus of je doelmatig bent geweest).
Bovenstaande is een handreiking om meer inzicht te krijgen in de term beleid. ISO 27001 heeft namelijk nog meer eisen m.b.t. beleid, zoals de link naar interne audits, de directiebeoordeling, de risicoanalyse, maar ook eisen wat je moet doen bij grote wijzigingen en rondom de aantoonbaarheid van uitgevoerde activiteiten. Deze eisen zijn allemaal te lezen in de ISO 27001 norm.
Hulp nodig bij het bepalen van jouw informatiebeveiligingsbeleid?
Neem contact met mij op.