Naleving Informatieveiligheid

Controle & verantwoording is een ondersteunende bedrijfsfunctie. Hoofdstuk 18 “Naleving” van de BIO is van toepassing op deze bedrijfsfunctie.


Doelstelling[bewerken]

Voorkomen van schendingen van wettelijke, statutaire, regelgevende of contractuele verplichtingen betreffende informatiebeveiliging en beveiligingseisen.


18.1 Naleving van wettelijke en contractuele eisen[bewerken]
Artikel Verantwoordelijk Aanwezig Gebruikt Gestuurd
18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisen Secretaris-directeur
Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen behoren voor elk informatiesysteem en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
18.1.2 Intellectuele-eigendomsrechten Secretaris-directeur
Om de naleving van wettelijke, regelgevende en contractuele eisen in verband met intellectuele eigendomsrechten en het Proceseigenaar gebruik van eigendomssoftwareproducten te waarborgen behoren passende procedures te worden geïmplementeerd.
18.1.3 Beschermen van registraties Proceseigenaar
Registraties behoren in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen te worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde vrijgave.
18.1.4 Privacy en bescherming van persoonsgegevens Secretaris-directeur
Privacy en bescherming van persoonsgegevens behoren, algemeen voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.
18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen Secretaris-directeur
Cryptografische beheersmaatregelen behoren te worden toegepast in overeenstemming met alle relevante overeenkomsten, wet- en regelgeving.


Doelstelling[bewerken]

Verzekeren dat informatiebeveiliging wordt geïmplementeerd en uitgevoerd in overeenstemming met de beleidsregels en procedures van de organisatie.

18.2 Informatiebeveiligingsbeoordelingen[bewerken]
Artikel Verantwoordelijk Aanwezig Gebruikt Gestuurd
18.2.1 Onafhankelijke beoordeling van informatiebeveiliging Secretaris-directeur
De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan (bijv. beheerdoelstellingen, beheersmaatregelen, beleidsregels, processen en procedures voor informatiebeveiliging), behoren onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen te worden beoordeeld.
18.2.2 Naleving van beveiligingsbeleid en -normen Secretaris-directeur
De directie behoort regelmatig de naleving van de informatieverwerking en - procedures binnen haar verantwoordelijkheidsgebied te beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging.
18.2.3 Beoordeling van technische naleving Proceseigenaar
Informatiesystemen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging.