Voor ISO 27001 de norm voor informatiebeveiliging dien je een informatiebeveiligingsbeleid op te stellen. Hiermee toon je als organisatie aan dat je op vertrouwelijke wijze omgaat met informatie. Een informatiebeveiligingsbeleid stelt vaak dat betrouwbaarheid, integriteit en vertrouwelijkheid van informatie bevorderd wordt vanuit de organisatie door gebruik te maken van een BIV-classificatie.
Waarom dien je een informatiebeveiligingsbeleid op te stellen
Elke organisatie werkt met systemen en verwerkt informatie. Sommige informatie is gevoeliger dan andere. Welke informatie is vertrouwelijk en wat zijn de kwetsbaarheden? Welke informatie mag er gedeeld worden en met wie? Dit zijn vragen die je in je informatiebeveiligingsbeleid opneemt. Dit is essentieel want zo voorkom je datalekken en incidenten en toon je aan dat jouw organisatie integer omgaat met informatie.
Waar staat Beschikbaarheid, Integriteit en Vertrouwelijkheid voor?
Deze drie termen vormen een model waarbij Beschikbaarheid (continuïteit), Integriteit (betrouwbaarheid) en Vertrouwelijkheid (exclusiviteit) van informatie in kaart wordt gebracht. Door een classificatie mee te geven worden de vereiste beschermingsniveaus inzichtelijk. Deze worden vaak aangeduid aan de hand van de scores ‘laag’, ‘middel’, ‘hoog’ of 1,2,3. Na deze classificatie kunnen er maatregelen worden getroffen om risico’s te beperken of tot een aanvaardbaar niveau te brengen.
BIV in het kort
- Beschikbaarheid: Je kijkt naar de beschikbaarheid van informatie en data die kan worden gebruikt binnen jouw organisatie.
- Integriteit: Je bepaalt of de informatie juist, volledig en actueel is.
- Vertrouwelijkheid: Je toetst of er op een juiste manier wordt omgegaan met persoonlijke gegevens, de exclusiviteit en er wordt onderscheid gemaakt voor wie de gegevens beschikbaar zijn.
BIV-classificatie en AVG
Zowel bij ISO 27001 dien je te registreren welke informatie je verwerkt, ook de wet Algemene Verordening Gegevensbescherming (AVG) eist vastlegging van de informatie die je verwerkt. Aan de hand van een BIV-classificatie krijg je inzichtelijk met welke data binnen jouw organisatie wordt gewerkt, wat de risico’s zijn en welke maatregelen getroffen dienen te worden om deze te beperken. Dit vormt de basis voor een (onderdeel van je) risicoanalyse.
Risicoanalyse
De risicoanalyse kijkt op welke wijze de risico’s van de kritische bedrijfsmiddelen kunnen worden beheerst, beperkt en welke informatiebeveiligingsmaatregelen er genomen moeten worden.
Informatiebeveiligingsbeleid en de ProActive Compliance Tool (PCT)
Het onderdeel Risicoanalyse in de PCT is dusdanig opgebouwd dat jouw organisatie de risico’s rondom kritische bedrijfsmiddelen in kaart kan brengen. Dit gebeurt niet op individuele middelen maar op bedrijfsmiddelgroep.
Zo groepeer je bijvoorbeeld alle bedrijfslaptops tot 1 bedrijfsmiddelgroep in plaats van dat je elke laptop individueel opneemt.
Aan elk type bedrijfsmiddel wordt een categorie toegekend en hier worden automatisch risico’s aan verbonden die je eenvoudig kunt beoordelen in de risicoanalyse.