In iedere organisatie, zeker in het midden- en kleinbedrijf, gezondheidszorg, zorginstellingen, semi-overheden, stichtingen en verenigingen, dient de beveiliging gebaseerd te zijn op beleid. Boekhoudschandalen en terroristische aanslagen hebben geleid tot wet- en regelgeving en bedrijfsbeleid omtrent security. Beveiliging valt, zowel fysiek als logistiek, onder verantwoording van het management. Hierdoor is het niet langer reactief, maar pro-actief. Zonder beleid geen management dus. Security beleid is geen op zichzelf staand beleid maar zal altijd onderdeel zijn van het totale bedrijfsbeleid. Een beleid dat door de directie duidelijk dient te worden aangegeven en de bedrijfsbelangen en dus iedereen in het bedrijf dient.

Security Beleid
De Security Policy definieert, hoe met data en informatie op verschillende beveiligingsnveau's omgegaan dient te worden. Een goed information security beleid omvat het ontwerpen, implementeren én onderhouden van een veelheid aan met elkaar samenhangende maatregelen, zowel op organisatorisch, communicatief als technologisch terrein, en kan voorkomen dat security risico's tot werkelijkheid verworden. In het Security concept wordt vastgesteld, welke data in de desbetreffende beveiligingscategorien vallen. De Security Policy stelt het model hiervoor  ter beschikking. De uitwerking van een Security Beleid is een noodzakelijke opvolging van een security concept. In het beleid wordt de SOLL-situatie gedefinieerd, die gebruikt wordt in een SOLL-IST vergelijking om de bais te leggen voor de toekomst.

Doel van een Security Beleid
Het doel is de Security Policy mogelijkerwijs volledig in het Security Concept op te laten gaan, omzodoende voor iedere medewerker te volgen Richtlijnen vast te stellen en IT-security relevante processen aan te sturen. Een Security Policy zou in vergeliking tot een Security Concept, niet de voorgedefinieerde Standaarden moeten volgen, maar zich wel in deze raamwerken moeten orienteren. Iedere onderneming heeft namelijk op verschillende niveau's behoefte aan informatiebeveiliging , een meer of minder gepreekt security bewustzijn en definieert zelf de risico-klasses die ze aanwezig acht. Daarvoor geldt echter geen standaard, maar kan het raamwerk u zeker helpen.

Iets anders geldt voor de realisatie van het Security Beleid. Als raamwerk biedt de Security Policy u de basis voor een Security concept aan de hand van verschillende standaarden (BS7799, ISO/IEC 1779), waarbij u voor het opstellen ervan kunt terugvallen op de aanwezige ervaring en kennis van SurfPlan.

Het Basis Beleidsdocument voor Informatiebeveliging dient te worden goedgekeurd door de directie. In de tekst ervan wordt bepaald dat er binnen de organisatie veiligheidspolicy's dienen te worden opgesteld, geactualiseerd en gevalideerd met betrekking onder meer tot de volgende domeinen, overeenkomstig de ISO-norm 17799: de organisatie van de veiligheid,
 de classificatie en beheer van de resources,
 de veiligheid van de medewerkers,
 de fysieke veiligheid en de veiligheid van de omgeving,
 het operationeel beheer,
 de logische toegangsveiligheid,
 de ontwikkeling en het onderhoud van de systemen,
 het continuïteitsbeheer,
 de naleving van de policy's.

Haalbaarheid en praktisch Security Beleid

Een Security Beleid moet zo gestructureerd worden, dat ze in een financierbaar en praktisch Security Concept kan opgaan. Daarbij geldt dat wij een basis voor uw organisatie willen neerleggen met goede maatregelen die ook consequent  en praktisch uit te voeren zijn.

Wilt u meer weten over het Basis Informatiebeveilingsbeleid, neem dan contact op met uw adviseur van SurfPlan