Q&A: Beveiligingsbeleid
IT-begrippen begrijpelijk uitgelegd
09 september 2008 | An Damen
Een beveiligingsbeleid of security policy geeft op een gestructureerde manier weer hoe u de waardevolle data en processen binnen uw bedrijf het best beschermt.
1) Wat is een beveiligingsbeleid?
Een beveiligingsbeleid of security policy geeft op een gestructureerde manier weer hoe u uw waardevolle assets binnen uw bedrijf (data, maar ook processen) het best beschermt. Niet enkel een goede infrastructuur is daarom noodzakelijk, maar een totaalaanpak – met andere woorden, naast technologie ook organisatorische aspecten (mensen), processen en procedures. Die aanpak is in een concreet plan is uitgewerkt. Dit plan is een strategisch goedgekeurd beleidsdocument van de directie dat de uitgangspunten op het vlak van informatiebescherming op een rijtje zet.
2) Wat moet er zeker in een beveiligingsbeleid staan?
De essentie van een beveiligingsbeleid is dat een duidelijk antwoord wordt geformuleerd op een aantal concrete vragen, zoals onder meer: Wie zijn de verantwoordelijken (‘owners’) bij problemen? Welke bedrijfsprocessen met bijhorende IT-systemen zijn kritisch en moeten dus steeds beschikbaar blijven? Wie mag ze gebruiken? Wie moet toegang hebben tot welke gegevens? Welke gegevens zijn uiterst vertrouwelijk en vragen dus een speciale behandeling? Wat is de strategie voor het bewaren van gegevens? Welke wetgeving en regelgeving dient men zeker te volgen?
Het beveiligingsbeleid moet een leidraad vormen voor de selectie van nodige maatregelen, zodat de belangrijkste risico’s die uw organisatie loopt, op een kostefficiënte manier worden aangepakt. Een goede leidraad om uw beveiligingsbeleid uit te stippelen is de ISO 2700X-normen reeks, zoals bijvoorbeeld ISO 27002.
3) Hoe komt mijn bedrijf tot een goede policy?
De eerste stap is om alle betrokken personen samen te brengen in een werkgroep, al dan niet in aanwezigheid van een externe consultant. Meestal bestaat die werkgroep uit een achttal personen: een directielid, de HR manager, IT manager, business managers van de verschillende afdelingen, eventueel ook een juridisch verantwoordelijke en uiteraard een afgevaardigde van de gebruikers. Aan de hand van een checklist zoals ISO 27002 worden dan de behoeften van het hele bedrijf blootgelegd.
Lees verder op ZDNet »
» Review Ubuntu 12.04 (Precise Pagolin)
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
» De technologie van het 9/11-monument
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
» Wel borstvoeding, geen tepels op Facebook
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
