fbpx

Beleidsplan

ISO 27001

Sjoerd van de Meerendonk – Directeur consultancy

Wat verstaan we onder beleidsplan volgens de ISO 27001

In een beleidsplan voor informatiebeveiliging volgens de ISO 27001 zijn een aantal zaken standaard vastgelegd. In essentie geeft plan antwoord op de vraag hoe u als organisatie de beveiliging van informatie, duurzaam organiseert. Bij het samenstellen van het beleidsplan kijken we vanuit verschillende invalshoeken naar de organisatie. Het vertrekpunt is altijd het algemene beleidsplan en strategie van uw organisatie op (middel) langetermijn; wat zijn de commerciele ambities, klanten, producenten, beoogde innovaties. 

ICT-gevolgen in lijn met ambities

Wat betekenen deze ambities voor uw ICT? We geven hierbij een aantal voorbeelden van zaken die u mee moet nemen in uw informatiebeveiligingsbeleidsplan. Stel u bent een zorgorganisatie die voorop wil blijven lopen met ‘de beste zorg aan huis’. Dit betekent waarschijnlijk dat uw collega’s met tablets op pad gaan. Tablets waar ook vertrouwelijke informatie over uw cliënten en hun behandeling op staat. Deze informatie is niet bedoelt om in onbevoegde handen te komen. Een ICT-maatregel is in dit geval extra beveiliging van de hardware. Een andere maatregel in lijn met de gewenste situatie is ook opleiding en bewustwording van de medewerkers die de tablets gebruiken in hun dagelijkse werk. Een ander voorbeeld is wanneer u als softwareontwikkelaar mee wilt doen aan een tender bij de overheid. Van hieruit weten we dat er doorgaans aanvullende eisen aan uw product en uw organisatie verplicht worden gesteld. Eisen die gevolgen hebben voor de inrichting en beveiliging van uw informatie en ICT.

Wet- en regelgeving

Een andere belangrijke bron van input waar u niet omheen kunt is de wet- en regelgeving die voor uw organisatie van toepassing is. Neem de zorgorganisatie uit het vorige voorbeeld. Vanuit de overheid zijn er aanvullende eisen gesteld als het gaat om de privacy van medische persoonsgegevens. Een voorbeeld is de Wet op de Geneeskundige Behandel Overeenkomst (WGBO) waarin eisen zijn opgenomen over de bewaartermijn van medische dossiers. Deze zelfde eisen bent u verplicht mee te nemen in uw beleidsplan. 

Omgeving en actualiteiten

De actualiteiten en uw omgeving spelen ook een belangrijke rol. Wanneer uw organisatie bijvoorbeeld een toonaangevend bedrijf is die hoogwaardige technologie ontwikkelt, dan is de kans aannemelijk dat er andere partijen zijn die daar erg benieuwd naar zijn. In uw beleidsplan opnemen dat uw technische tekeningen, de resultaten van innovaties en andere relevante informatie essentieel is voor de continuïteit van uw organisatie spreekt in dat geval voor zich.

Wat ook kan is dat u in uw omgeving kijkt welke ‘best practices’ er zijn van organisaties die het bijzonder goed op orde hebben. Die voorbeelden kunnen voor u inspiratie en vertrekpunten zijn voor uw eigen beleid.

Beleidsplan

Beleidsplan met essentiële informatie over de beveiliging van uw informatie.

Context en stakeholder analyse

Met wie u te maken hebt en welke eisen zij (indirect) stellen aan uw informatiebeveiliging is ook een belangrijke bron van input voor uw beleidsplan. Een overheid als wetgever, uw klanten maar ook uw collega’s verwachten dat hun gegevens veilig zijn. In een andere blog hebben we een uitgebreid blog over de stakeholderanalyse opgeschreven.

 

Risicoanalyse

Dat geldt ook voor de risicoanalyse. Waar zitten de grootste risico’s? Welke maatregelen kunt c.q. moet u nemen om ze weg te nemen, te verkleinen of om de gevolgen in goede banen te leiden. In onze blog over dit onderwerp leggen we u uit hoe u een dergelijke analyse maakt.

 

Deze input vertelt u wat er moet gebeuren

Uw strategie, de wet- en regelgeving, omgeving en actualiteiten, de stakeholderanalyse en inventarisatie van de risico’s zijn de bronnen voor uw informatiebeveiligingsbeleidsplan (ja, sorry is ie weer…).

Zet al deze informatie op een rij. Haal er vervolgens de voornaamste conclusies en eisen uit. De antwoorden daarop zijn de input voor uw plan.

Tip: hou het zo compact mogelijk. Kies alleen die zaken die echt impact hebben.

 

Vertaling naar beleid

Uw beleid geeft inzicht in ‘Welke soort informatie u als organisatie verwerkt’. Waar u verplicht bent om aan te voldoen. Wat uw organisatie daarmee wil in relatie tot de veiligheid ervan. Hoe u omgaat met de dreigingen van buitenaf. Welke risico’s u bereid bent om te lopen.

Vertaalt naar zaken als uw beleid rondom authenticatie. Bijvoorbeeld altijd 2-factor? Of de fysieke beveiliging om te voorkomen dat onbevoegden in uw beveiligde ruimtes kunnen komen.

Alle hoofd- en uitgangspunten en richtlijnen voor de mensen die straks de beveiliging moeten vormgeven.

 

Waarom en wat heb je eraan?

Of u zonder zo’n document kunt? Nee, helaas. Het is een belangrijke basis voor de kaders en fundamentele uitgangspunten. Het geeft daarmee een basis, richting, houvast en inzicht waar het naar toe moet met uw informatiebeveiliging.

Als het om informatiebeveiliging gaat dan kunt u helemaal losgaan. De oplossingen en mogelijkheden zijn oneindig. Waar bent u? Wat doet u wel of niet? Wat is er nodig? Het beleid is een hulpmiddel om die keuzes te prioriteren, te selecteren en te plannen. Op zoek naar een gezond evenwicht tussen resultaat versus de kosten & de impact.

Het beleid is ook een instrument voor de communicatie. Communicatie richting uw eigen organisatie, klanten en stakeholders. Het is een onderdeel van de aantoonbaarheid dat het op orde is.

 

Tips

Nog enkele tips van onze kant.

  • Hou het simpel – geen 50 pagina’s. Eerder 10 tot 20.
  • Licht uw keuzes toe. Hoe bent u tot de keuzes gekomen.
  • Het is een beleidsplan met strategische keuzes. Het gaat om WAT u wilt. Laat u niet verleiden om het HOE erin te beschrijven. Het is geen handboek. Dat komt op een later moment.
  • Betrek de organisatie er zo vroeg mogelijk bij. Het is een document van de hele organisatie.
  • Wat niet wegneemt dat het management zich eigenaar moet voelen.
  • U kunt uw informatiebeveiligingsbeleidsplan prima combineren met het privacy-beleidsplan. Er is veel overlap. Zonde om het dubbel te doen.

 

Succes!

Blog geschreven door Sjoerd van de Meerendonk, Directeur consultancy

MEER LEZEN OVER ISO 27001?

Neem een kijkje op de kennispagina ISO 27001