12 KiB
#iso27001/2023/NL
Informatiebeveiligingsbeleid op hoofdlijnen
Een informatiebeveiligingsbeleid moet de hieronder genoemde punten adresseren.
De nummering verwijst naar de hoofdstukken/paragrafen uit ISO 27001:2023
H4 Context van de organisatie
H4.1 Relevante punten (intern en extern) die invloed kunnen hebben op het kunnen behalen van de doelstellingen m.b.t. informatiebeveiliging
Voorwaarde: formuleren doelstellingen m.b.t. informatiebeveiliging
H4.2 Relevante stakeholders en hun eisen, en welke hiervan geadresseerd zullen worden (binnen het domein informatiebeveiliging)
H4.3 Begrenzing en toepasselijkheid van het managementsysteem voor informatiebeveiliging, rekening houdend met H4.1, H4.2 en de raakvlakken met en afhankelijkheden van andere organisaties.
H4.4 Er moet een managementsysteem voor informatiebeveiliging worden ingericht, geïmplementeerd, onderhouden en verbeterd worden incl. benodigde processen.
H5 Leiderschap
H5.1 Het topmanagement moet leiderschap en betrokkenheid tonen door:
a) doelen en beleid voor informatiebeveiliging vast te stellen, dat compatibel is met de strategische richting van de organisatie Voorwaarde: strategie moet bekend zijn b) integratie van het informatiebeveiligingsmanagement in de processen van de organisatie c) beschikbaar stellen benodigde middelen d) communiceren van het belang en noodzaak van informatiebeveiligingsmanagement en de daaruit volgende eisen e) zorgen dat de doelstellingen/resultaten behaald worden f) mensen aansturen en ondersteunen om hun bijdrage te leveren g) bevorderen van continue verbetering h) ondersteunen van anderen bij de invulling van hun leiderschap
H.5.2 Het topmanagement moet een informatiebeveiligingsbeleid vaststellen dat:
a) passend is voor het doel van de organisatie b) doelstellingen bevat, of een kader om die vast te stellen (zie 6.2) c) zich committeren aan het voldoen aan de gedefinieerde eisen d) zich committeren aan continue verbetering e) het beleid moet beschikbaar zijn f) het beleid moet gecommuniceerd worden g) het beleid moet beschikbaar zijn voor belanghebbenden
H5.3 Het topmanagement moet rollen, verantwoordelijkheden en bevoegdheden toekennen en communiceren, om:
a) het managementsysteem voor informatiebeveiliging te laten voldoen aan de vastgestelde eisen (i.e. ISO 27001) b) te rapporteren over de prestaties van het managementsysteem voor informatiebeveiliging aan het topmanagement
H6 Planning
H6.1 Risico’s en kansen
H6.1.1 Risico’s en kansen moeten vastgesteld en geadresseerd worden (met overweging van de issues en eisen uit 4.1 en 4.2), om:
a) te zorgen dat de beoogde resultaten behaald worden (zie H51a en H5.2b) b) ongewenste effecten te voorkomen of te verminderen; c) continue verbetering te bereiken.
Acties om die risico’s en kansen op te pakken moeten:
d) gepland worden e) volgens een beschreven proces worden geïntegreerd, geïmplementeerd, en geëvalueerd (op doeltreffendheid)
H6.1.2 Er moet een procedure voor risicobeoordeling zijn die:
a) criteria voor risicoacceptatie en het uitvoeren van risicobeoordelingen bevat b) herhaalbaar is (consistent) c) risico’s voor vertrouwelijkheid, integriteit en beschikbaarheid identificeert en risico-eigenaren aanwijst d) van risico’s de impact, waarschijnlijkheid en risicoscore (R = P x I) beoordeelt e) de risico’s evalueert t.o.v. de criteria (a) en een prioriteit toekent.
H6.1.3 Er moet een procedure zijn voor risicobehandeling om:
a) passende opties voor behandeling te benoemen, o.b.v. de risicobeoordeling b) de nodige maatregelen vast te stellen c) de vastgestelde maatregelen te vergelijken met de maatregelen in ISO 27001 Annex A. d) een verklaring van toepasselijkheid op te stellen met de maatregelen uit b), de rechtvaardiging daarvan, en of deze maatregelen geïmplementeerd zijn, en een rechtvaardigen voor het niet toepassen van specifieke maatregelen uit Annex A. e) een plan op te stellen voor de behandeling van risico’s f) de goedkeuring te krijgen van de risico-eigenaren voor die behandeling en de acceptatie van de restrisico’s.
H6.2 Doelstellingen en planning (aanpak)
Per functie en niveau moeten doelstellingen vastgesteld worden, die consistent en meetbaar zijn, en rekening houden met gestelde eisen en de resultaten van de risicobeoordeling en -behandeling.
De doelstellingen moeten worden gemonitord, gecommuniceerd, geactualiseerd, en gedocumenteerd.
De planningen moeten beschrijven wat er zal worden gedaan, welke middelen nodig zijn, wie verantwoordelijk is, wanneer het voltooid zal zijn, en hoe de resultaten worden geëvalueerd.
H8 behandelt de uitvoering van deze planningen.
H6.3 Wijzigingen
Wijzigingen in het managementsysteem moeten volgens een beschreven werkwijze worden doorgevoerd.
H7 Ondersteuning
Vaststellen welke middelen nodig zijn voor het managementsysteem voor informatiebeveiliging, en deze beschikbaar stellen. Dit betreft de volledige cyclus van inrichten, implementeren, onderhouden en continu verbeteren.
H7.2 Competenties
- Vaststellen van de benodigde competenties van relevante personen - Zorgen dat deze personen competent zijn of worden - De doeltreffendheid van ondernomen acties hiervoor evalueren - Bewijzen van competenties bewaren.
H7.3 Bewustzijn
Medewerkers (en ingehuurd personeel) moeten zich bewust zijn van het informatiebeveiligingsbeleid, hun bijdrage aan de doeltreffendheid daarvan en de voordelen die dat oplevert, en de gevolgen van het niet voldoen aan de gestelde eisen.
H7.4 Communicatie
Vaststellen van de relevante interne en externe communicatie, met onderwerpen, momenten, doelgroepen en medium.
H7.5 Documentatie
Het managementsysteem moet alle documentatie bevatten die vereist is vanuit normen, wet- en regelgeving, plus wat de organisatie zelf nodig vindt voor de doeltreffendheid van het managementsysteem (H7.5.1).
Dit mag in verhouding zijn tot de omvang van de organisatie, de complexiteit van de processen, en de competentie van de mensen.
Voor het creëren en actualiseren moet gezorgd worden voor (H7.5.2):
a) identificatie en beschrijving (bijv. een titel, datum, auteur of referentienummer); b) format (bijv. taal, softwareversie, afbeeldingen) en media (bijv. papier, elektronisch); en c) beoordeling en goedkeuring van geschiktheid en toereikendheid.
De documentatie moet beheerd worden zodat (H7.5.3) ze beschikbaar is waar en wanneer dat nodig is, en afdoende beveiligd is.
Dit moet ingevuld worden met activiteiten voor: - distributie, vindbaarheid en toegangsverlening - opslag en behoud van leesbaarheid - wijzigings- en versiebeheer - bewaring en vernietiging
H8 Uitvoering
H8.1 Operationele planning en beheersing
Er moeten processen geïmplementeerd worden om te voldoen aan vastgestelde eisen, en de in H6 vastgestelde acties uit te voeren.
Er moet voldoende documentatie zijn om vast te stellen dat die processen volgens plan zijn uitgevoerd.
Wijzigingen in die processen moeten planmatig worden uitgevoerd, en de consequenties van onbedoelde wijzigingen (uitzonderingen) moeten beoordeeld worden. Als het nodig is, moeten er maatregelen komen om nadelige effecten tegen te gaan.
Er moeten ook processen zijn voor de beheersing van informatiebeveiliging van extern geleverde processen, producten of diensten.
H8.2 Risicobeoordelingen moeten regelmatig worden uitgevoerd, èn bij belangrijke (interne of externe) veranderingen (volgens de criteria uit H6.1.2a). De resultaten moeten gedocumenteerd worden.
H8.3 Vervolgens moet het Risicobehandelingsplan (uit H6.1.3e) geimplementeerd worden. De resultaten moeten gedocumenteerd worden.
H9 Evaluatie
H9.1 Monitoren, meten, analyseren en evalueren
De organisatie moet vaststellen wat er gemonitord en gemeten moet worden, hoe dat moet gebeuren (reproduceerbaar en vergelijkbaar), wanneer en door wie dat moet gebeuren, en wanneer en door wie de resultaten worden geanalyseerd en geëvalueerd.
Dit geldt voor de informatiebeveiligingsmaatregelen, en het managementsysteem zelf.
H9.2 Interne audit
De organisatie moet met geplande tussenpozen interne audits uitvoeren op het managementsysteem voor informatiebeveiliging:
- voldoet het aan de eigen eisen?
- voldoet het aan de norm?
- is het doeltreffend geïmplementeerd en onderhouden?
Hiervoor moet een auditprogramma worden vastgesteld, inclusief frequentie, methoden, verantwoordelijkheden en rapportage. Resultaten van eerdere audits moeten worden meegenomen.
Audits moeten voldoen aan gestelde criteria en hebben een bepaalde rijkwijdte. Ze moeten objectief worden uitgevoerd. De resultaten moeten aan het relevante management gerapporteerd worden.
H9.3 Management review
Het managementsysteem moet met geplande tussenpozen door het topmanagement beoordeeld worden op geschiktheid, toereikendheid en doeltreffendheid.
Als input dienen:
a) status van acties uit eerdere reviews b) wijzigingen in relevante issues (H4.1) c) wijzigingen in de behoeften en verwachtingen van de belanghebbenden (H4.2) d) feedback over de prestaties van de informatiebeveiliging, incl. trends in afwijkingen en corrigerende maatregelen, resultaten van monitoren en meten, auditresultaten, het voldoen aan doelstellingen; e) feedback van belanghebbenden f) resultaten van risicobeoordeling en de status van het risicobehandelingsplan g) kansen voor continue verbetering.
Resultaten van de review zijn o.a. beslissingen voor continue verbetering en noodzakelijke wijzigingen in het managementsysteem.
H10 Verbetering
Er moet een procedure zijn voor de omgang met afwijkingen in (de uitvoering van) het managementsysteem.
De organisatie moet:
a) reageren op de afwijking: maatregelen treffen om de afwijking te beheersen, corrigeren, en gevolgen aan te pakken; b) bepalen of maatregelen nodig zijn om herhaling te voorkomen (door oorzaken vast te stellen en weg te nemen) c) de maatregelen implementeren d) de doeltreffendheid daarvan te beoordelen e) wijzigingen in het managementsysteem aan te brengen, indien nodig f) de aard van de afwijkingen en maatregelen documenteren g) de resultaten van de maatregelen documenteren.
VOORBLAD
Document
Doelgroep
Classificatie
Versie
Eigenaar
INLEIDING
Over dit document:
- Doelgroep
- Doel
- Gebaseerd op ISO 27001, organisatie-eigen stukken