ISMS Copilot
ISO 27001-begrippenlijst

Wat is een informatiebeveiligingsbeleid in ISO 27001?

Overzicht

Een informatiebeveiligingsbeleid is een gedocumenteerde verklaring op hoog niveau die de toewijding van uw organisatie aan informatiebeveiliging definieert en strategische richting geeft aan het ISMS. Vereist door ISO 27001:2022 Clausule 5.2, wordt het goedgekeurd door het topmanagement en dient het als de basis voor alle beveiligingsbeleidslijnen, procedures en beheersmaatregelen.

Dit beleid toont de betrokkenheid van het management en zet de toon voor de beveiligingscultuur van uw organisatie.

Informatiebeveiligingsbeleid in de praktijk

ISO 27001:2022 Clausule 5.2 vereist dat het topmanagement een informatiebeveiligingsbeleid vaststelt dat:

  • Passend is voor het doel van de organisatie

  • Informatiebeveiligingsdoelstellingen bevat of het kader biedt voor het vaststellen daarvan

  • Een toezegging bevat om te voldoen aan de toepasbare eisen met betrekking tot informatiebeveiliging

  • Een toezegging bevat tot voortdurende verbetering van het ISMS

Het beleid moet worden gedocumenteerd, binnen de organisatie worden gecommuniceerd en, indien van toepassing, beschikbaar worden gesteld aan belanghebbenden.

Het informatiebeveiligingsbeleid is een strategisch document, geen gedetailleerde procedure. Het zet de koers uit; specifieke beheersmaatregelen en processen worden gedefinieerd in ondersteunende beleidslijnen en procedures.

Vereiste elementen

1. Organisatorische context en doel

Het beleid moet de bedrijfsdoelstellingen, de sector en de risico-omgeving van uw organisatie weerspiegelen.

Voorbeeld: "Als zorgverlener die gevoelige patiëntgegevens verwerkt, zet [Organisatie] zich in voor de bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van gezondheidsinformatie in overeenstemming met de HIPAA en best practices in de sector."

2. Kader voor informatiebeveiligingsdoelstellingen

Noem specifieke doelstellingen of bied het kader voor het definiëren ervan.

Voorbeeld: "Wij zullen de ISO 27001-certificering behouden, een systeembeschikbaarheid van 99,9% realiseren en binnen 4 uur reageren op beveiligingsincidenten."

3. Toezegging om te voldoen aan toepasbare eisen

Verwijs naar wettelijke, reglementaire en contractuele verplichtingen waaraan u moet voldoen.

Voorbeeld: "Wij verbinden ons aan naleving van de GDPR, SOC 2 Type II-eisen en contractuele beveiligingsverplichtingen van klanten."

4. Toezegging tot voortdurende verbetering

Vermeld uw toewijding aan de voortdurende verbetering van het ISMS.

Voorbeeld: "Wij zullen onze informatiebeveiligingspraktijken continu verbeteren door middel van regelmatige risicobeoordelingen, interne audits en managementbeoordelingen."

Het beleid moet worden goedgekeurd en ondertekend door het topmanagement (CEO, algemeen directeur of equivalent). Delegatie naar lagere niveaus resulteert in een tekortkoming (non-conformity).

Structuur en inhoud

Hoewel ISO 27001:2022 geen specifiek format voorschrijft, bevatten effectieve beleidslijnen doorgaans:

Header-sectie

  • Documenttitel en versie

  • Goedkeuringsinstantie en handtekening

  • Ingangsdatum en herzieningscyclus

Doel en reikwijdte

  • Waarom het beleid bestaat

  • Wat het omvat (afgestemd op de ISMS-scope uit Clausule 4.3)

  • Op wie het van toepassing is (werknemers, contractanten, partners)

Beleidsverklaringen

  • Kernprincipes van informatiebeveiliging

  • Rollen en verantwoordelijkheden op hoofdlijnen

  • Kader voor doelstellingen

  • Toezeggingen aan eisen en verbetering

Gerelateerde documenten

  • Verwijzingen naar ondersteunend beleid (bijv. Acceptabel gebruik, Toegangsbeheer, Incidentrespons)

  • Link naar risicobeoordelings- en behandelingsprocessen

Houd het informatiebeveiligingsbeleid beknopt (meestal 2-4 pagina's). Gedetailleerde regels horen thuis in ondersteunend beleid en procedures, niet in het beleid op het hoogste niveau.

Communicatievereisten

Clausule 5.2 vereist dat het beleid:

  • Gedocumenteerd is: Bijgehouden als gecontroleerde informatie

  • Gecommuniceerd wordt: Beschikbaar gesteld aan al het personeel via training, intranet, handboeken

  • Beschikbaar is voor belanghebbenden: Gedeeld met klanten, auditors en toezichthouders indien nodig (dit kan een openbare of vertrouwelijke versie zijn)

Voorbeelden van communicatiemethoden:

  • Opnemen in de onboardingstraining van medewerkers

  • Publiceren op het bedrijfsintranet

  • Verwijzen naar het beleid in arbeidsovereenkomsten

  • Verstrekken aan klanten tijdens beveiligingsvragenlijsten

Herziening en onderhoud

Het beleid moet worden herzien en bijgewerkt:

  • Op geplande tijdstippen (jaarlijks is gangbaar)

  • Wanneer er significante wijzigingen optreden (fusies, nieuwe regelgeving, grote incidenten)

  • Als onderdeel van de managementbeoordeling (Clausule 9.3)

  • Naar aanleiding van bevindingen uit interne of externe audits

Gebruik ISMS-Copilot om een concept-informatiebeveiligingsbeleid te genereren dat is afgestemd op uw sector, organisatorische context en nalevingsvereisten. De tool kan passende doelstellingen en bewoordingen voor toezeggingen suggereren.

Ondersteunend beleid vs. informatiebeveiligingsbeleid

Het informatiebeveiligingsbeleid is het strategische document op het hoogste niveau. Ondersteunende beleidslijnen bieden gedetailleerde vereisten voor specifieke gebieden:

  • Informatiebeveiligingsbeleid (Clausule 5.2): Toezegging en richting op hoog niveau

  • Toegangsbeheerbeleid: Details over authenticatie, autorisatie en privilegebeheer

  • Beleid voor acceptabel gebruik: Definieert toegestaan gebruik van IT-middelen

  • Incidentresponsbeleid: Specificeert procedures voor incidentafhandeling

  • Business Continuity Beleid: Behandelt beschikbaarheid en herstel

Veelgemaakte fouten om te vermijden

  • Het beleid te technisch of gedetailleerd maken (het moet strategisch zijn)

  • Geen goedkeuring en handtekening van het topmanagement verkrijgen

  • Nalaten om het beleid naar alle medewerkers te communiceren

  • Doelstellingen formuleren die niet meetbaar of haalbaar zijn

  • Het beleid niet regelmatig herzien

  • Generieke sjablonen kopiëren zonder deze aan te passen aan uw organisatie

Voorbeeld van een beleidsverklaring

"[Organisatienaam] zet zich in voor de bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van informatieactiva die essentieel zijn voor onze bedrijfsvoering en het vertrouwen van klanten. Dit informatiebeveiligingsbeleid vormt ons kader voor het identificeren, beoordelen en beheren van informatiebeveiligingsrisico's in overeenstemming met ISO 27001:2022 en toepasselijke regelgeving, waaronder GDPR en SOC 2. Wij zetten ons in voor de voortdurende verbetering van ons ISMS door middel van regelmatige risicobeoordelingen, interne audits, managementbeoordelingen en corrigerende maatregelen."

Gerelateerde termen

  • ISMS – Aangestuurd door het informatiebeveiligingsbeleid

  • Belanghebbenden – Beleid wordt beschikbaar gesteld aan relevante belanghebbenden

  • CIA-triade – Kernprincipes waarnaar doorgaans in het beleid wordt verwezen

  • Managementbeoordeling – Beoordeelt de effectiviteit van het beleid en updates

Was dit nuttig?