Organisatie
De BIO en CSIR 2.0 gaan over de beveiliging van informatiesystemen.
Een ruime definitie voor een informatiesysteem, namelijk “een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.
In dit onderdeel vindt u de specifieke maatregelen van hoofdstuk 5 uit de BIO die van toepassing zijn op de besturende functies, zoals:
- Introductie tot de informatiebeveiliging en verantwoordelijkheden
- Functies en rollen
- Besturende functies
- Informatiebeveiligingsbeleid
- Organiseren van informatiebeveiliging
Introductie[bewerken]
Een ruime definitie voor een informatiesysteem, namelijk “een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie”.
- Het lijnmanagement is verantwoordelijk voor de beveiliging van informatie(systemen).
- Informatiebeveiliging is een cyclisch proces, volgens de Plan-Do-Check-Act-cyclus.
- Deze Plan-Do-Check-Act-cyclus maakt het lijnmanagement verantwoordelijk voor het treffen van maatregelen op basis van risicomanagement.
- De secretaris/algemeen directeur van een organisatie is eindverantwoordelijk voor deze beveiliging en voor de inrichting en werking van de beveiligingsorganisatie.
- Het lijnmanagement stelt op basis van een expliciete risicoafweging de betrouwbaarheidseisen voor zijn informatiesystemen vast.
- Op basis van de betrouwbaarheidseisen kiest, implementeert en draagt het lijnmanagement de maatregelen uit.
Taken, verantwoordelijkheden en bevoegdheden Informatieveiligheid[bewerken]
Deze plaat is klikbaar en nog onder bewerking.
Besturende bedrijfsfuncties en de BIO[bewerken]
Onderstaand treft u de besturende bedrijfsfuncties aan uit de WILMA met daarop weergegeven de hoofdstukken die betrekking hebben op specifieke bedrijfsfuncties.
Hoofdstuk 5 uit de BIO: Informatiebeveiligingsbeleid[bewerken]
Doelstelling[bewerken]
Het verschaffen van directieaansturing van en -steun voor informatiebeveiliging in overeenstemming met bedrijfseisen en relevante wet- en regelgeving.
5.1 Aansturing door de directie van de informatiebeveiliging[bewerken]
Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
---|---|---|---|---|
5.1.1 Beleidsregels voor informatiebeveiliging | Secretaris-directeur | |||
Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. | ||||
5.1.2 Beoordeling van het informatiebeveiligingsbeleid | Secretaris-directeur | |||
Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is. |
Welke onderwerpen moeten ten minste uitgewerkt worden in het informatiebeveiligingsbeleid[bewerken]
- De strategische uitgangspunten en randvoorwaarden die het waterschap hanteert voor informatiebeveiliging en in het bijzonder de inbedding in, en afstemming op andere vormen van beleid binnen de organisatie.
- De organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, taken en bevoegdheden.
- De toewijzing van de verantwoordelijkheden voor ketens van informatiesystemen aan lijnmanagers.
- De gemeenschappelijke betrouwbaarheidseisen in termen van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en beveiligingsnormen die op de organisatie van toepassing zijn.
- De frequentie waarmee het informatiebeveiligingsbeleid wordt geëvalueerd.
- De bevordering van het beveiligingsbewustzijn.
Hoofdstuk 6 uit de BIO: Organiseren van informatiebeveiliging[bewerken]
De volgende uitwerkingen hebben betrekking op hoofdstuk zes uit de BIO. Daarin zijn ze maatregelen opgenomen die bij elk onderwerp horen, als ook de verantwoordelijke en de organisatievolwassenheid (1) is aanwezig, (2) wordt mee gewerkt en (3) wordt op gestuurd.
Doelstelling[bewerken]
Een beheerkader vaststellen om de implementatie en uitvoering van de informatiebeveiliging binnen de organisatie te initiëren en te beheersen.
6.1 Interne organisatie[bewerken]
Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
---|---|---|---|---|
6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging | Secretaris-directeur | |||
Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen. | ||||
6.1.2 Scheiding van taken | Proceseigenaar | |||
Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. | ||||
6.1.3 Contact met overheidsinstanties | Proceseigenaar | |||
Er behoren passende contacten met relevante overheidsinstanties te worden onderhouden. | ||||
6.1.5 Informatiebeveiliging in projectbeheer | Proceseigenaar | |||
Informatiebeveiliging behoort aan de orde te komen in projectbeheer, ongeacht het soort project. |
Doelstelling[bewerken]
Het waarborgen van de veiligheid van telewerken en het gebruik van mobiele apparatuur.
6.2 Mobiele apparatuur en telewerken[bewerken]
Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
---|---|---|---|---|
6.2.1 Beleid voor mobiele apparatuur | Proceseigenaar | |||
Beleid en ondersteunende beveiligingsmaatregelen behoren te worden vastgesteld om de risico’s die het gebruik van mobiele apparatuur met zich meebrengt te beheren. | ||||
6.2.2 Telewerken | Secretaris-directeur | |||
Beleid en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van informatie die vanaf telewerklocaties wordt benaderd, verwerkt of opgeslagen. |