3.5 KiB
De ISO 27001 en 27002 normen beschouwen documentatie, beleidsstukken, procedures en registraties als "gedocumenteerde informatie" en vallen onder de bredere definitie van bedrijfsmiddelen (assets). 12De norm eist geen centrale "documentatie-eigenaar" voor de hele organisatie, maar hanteert een gedecentraliseerde aanpak waarbij het eigenaarschap afhankelijk is van het soort document.
Volgens beheersmaatregel A.5.9 (Inventarisatie van bedrijfsmiddelen) moet álle informatie en gerelateerde bedrijfsmiddelen een specifieke eigenaar toegewezen krijgen. Deze eigenaar is verantwoordelijk voor het juiste beheer van de documentatie gedurende de hele levenscyclus, waaronder de classificatie, toegangsbeperkingen en de periodieke beoordeling ervan.
De norm geeft specifieke richtlijnen over waar de verantwoordelijkheid voor de verschillende soorten documentatie zou moeten liggen:
1. Het overkoepelende Informatiebeveiligingsbeleid Dit is het document op het hoogste niveau. De norm eist expliciet dat de verantwoordelijkheid voor het vaststellen en goedkeuren van dit beleid uitsluitend bij het topmanagement (de directie) ligt.
2. Onderwerpspecifieke beleidsregels Voor meer gedetailleerde of specifieke beleidsregels (zoals beleid voor toegangsbeveiliging, cryptografie of werken op afstand) ligt de verantwoordelijkheid voor het ontwikkelen, beoordelen en goedkeuren bij relevant personeel op basis van een passend bevoegdheidsniveau en technische bekwaamheid. Dit betekent dat het eigenaarschap hier doorgaans bij de systeemeigenaren, security officers of afdelingsmanagers ligt (het "passende managementniveau", zie A.5.1).
3. Gedocumenteerde bedieningsprocedures Voor werkinstructies en bedieningsprocedures (zoals omschreven in A.5.37) eist de norm dat in de documentatie zélf expliciet wordt gespecificeerd welke personen verantwoordelijk zijn voor de in de procedure beschreven activiteiten.
4. Registraties en bewijsmateriaal (Artifacts) Registraties zijn informatie (zoals logbestanden, auditrapporten, of goedkeuringsformulieren) die als bewijs worden bewaard om aan te tonen dat processen volgens planning zijn uitgevoerd3 (zie C.8.1). Zoals het TypeDB-dataschema uit de bronnen illustreert, kunnen deze documenten als artifacts worden gezien, waaraan specifieke actoren (zoals een persoon of organisatie) gekoppeld moeten zijn via een verantwoordelijkheidsrelatie (bijv. in de rol van eigenaar of beheerder).
Algemene eisen aan documentatie-eigenaarschap (ISO 27001, Hoofdstuk 7.5) Bij het creëren en actualiseren van élk stuk gedocumenteerde informatie eist de norm dat de organisatie zorgt voor:
- Passende identificatie en beschrijving, waarbij de norm expliciet de auteur als voorbeeld van een vereist kenmerk noemt.
- Een proces voor formele beoordeling en goedkeuring van de geschiktheid en toereikendheid van het document. Dit impliceert dat er altijd iemand met de juiste autoriteit is aangewezen om de inhoud te valideren.
Zie C.7.5.2.