Selecteer een pagina
De 4 fases van de Baseline voor Informatiebeveiliging
De 4 fases van de Baseline voor Informatiebeveiliging

Succesvolle organisaties die zich echt onderscheiden van anderen zijn niet alleen bewust van de noodzaak van digitaal, maar kennen ook de risico’s van het moderne werken. Helaas zijn deze risico’s constant in beweging en is de kans vrij groot dat je het overzicht in alle bedreigingen en maatregelen kwijtraakt als er geen continue focus is vanuit de organisatie.

Hier zit voor veel organisaties ook de grootste pijn. Zonder integrale aanpak is digitale veiligheid een kostbare zaak, zonder daadwerkelijk effectief te zijn. We zien dat veel organisaties met dezelfde vragen zitten. Hoe zorg je ervoor dat je ’s nachts rustig slaapt, zonder je te verliezen in een oneindige stroom aan maatregelen en kosten? En misschien nog wel belangrijker: kunnen we aantonen dat we aan de juiste eisen voldoen?

Om antwoord te geven op deze vragen hebben wij de ITON Baseline voor Informatiebeveiliging (IBI) ontwikkeld. Met deze baseline kiezen we voor een integrale aanpak, waarmee op een praktische wijze invulling wordt gegeven aan de informatieveiligheid binnen jouw organisatie. Wij nemen de 4 fases van IBI hieronder met je door.

Fase 1: Visie & principes

Om IBI echt te starten is het belangrijk om met elkaar een visie te definiëren van wat informatiebeveiliging betekent voor jouw organisatie. Hiervoor hebben we een workshop ontwikkeld, waarin we het bestuur van de organisatie uitnodigen gezamenlijk te werken aan principes rondom informatiebeveiliging.

Tijdens deze workshop behandelen we 9 voor gedefinieerde principes en bepalen we in hoeverre deze van toepassing zijn op jouw organisatie en wat dit in de praktijk betekent. Na afloop van de workshop worden de gezamenlijk vastgestelde principes gedeeld. Deze principes helpen de organisatie bij het nemen van de juiste besluiten op het gebied van informatieveiligheid en vormen een belangrijke pijler onder het vervolg van het traject.

Fase 2: Belang & strategisch beleid

De volgende stap in het proces is het vaststellen van een strategisch beleid. Gezamenlijk werken we aan een document, waarin de ambities van de organisatie op het gebied van informatiebeveiliging worden vastgelegd. Door dit strategisch beleid daadwerkelijk formeel vast te leggen, ontstaat daarmee een belang om daadwerkelijk stappen te zetten in het verbeteren van de informatiebeveiliging. Tijdens een workshop stellen we gezamenlijk een document op, waarin de volgende onderwerpen worden vastgelegd:

  • Ambitie van de organisatie op het gebied van informatieveiligheid;
  • Formaliseren van de 9 principes;
  • Bepalen plaats en scope van informatiebeveiliging;
  • Strategische doelen op het gebied van informatieveiligheid;
  • De belangrijkste uitgangspunten en de invulling ervan;
  • Organisatie, taken en verantwoordelijkheden.

Na afloop van de workshop wordt een document opgesteld, dat kan dienen als formeel besluitdocument. Het document leent zich uitermate om jaarlijks opnieuw vast te stellen en kan worden gebruikt als bewijslast dat informatieveiligheid serieus wordt genomen door de organisatie. Daarnaast dient dit document als input voor de vervolgstappen van het traject.

Fase 3: informatieveiligheidsplan

Op het moment dat het strategisch beleid opgesteld is, kunnen we van start met de daadwerkelijke verbetering van de informatieveiligheid van de organisatie. Door verbeteringen planmatig door te voeren, wordt niet alleen zorgvuldig gewerkt aan verbetering, maar wordt vooral navolgbaar wat er op welk moment is gebeurd of gaat gebeuren. Juist deze aantoonbaarheid is belangrijk in het gehele IBI traject. Hieronder zie je bij punt 1 t/m 4 de stappen die tijdens deze fase worden gezet.

Fase 3: informatieveiligheidsplan

In het informatieveiligheidsplan komen de resultaten uit eerste drie stappen van bovenstaande afbeelding samen. Het informatieveiligheidsplan wordt het operationele document dat dient als onderligger voor het strategisch beleid en beschrijft de stappen, het tijdspad, het benodigde budget en de rolverdeling die nodig is om de ambities uit het strategisch beleid waar te maken. Het informatieveiligheidsplan vormt hiermee de roadmap op het gebied van informatieveiligheid. In de regel is het informatieveiligheidsplan dan ook een belangrijk document bij een accountantscontrole.

In het informatieveiligheidsplan worden opgenomen:

  • De beveiligingsdoelstellingen van de organisatie voor de komende periode.
  • Het resultaat van de impactanalyse. Wat gaan we doen in de komende periode. Gerelateerd aan beleid.
  • Planning van de verbeteracties met daarbij benoemd: doorlooptijd, capaciteitsbeslag, budget, wie is verantwoordelijk.
  • Risico analyse waarin aandacht is voor de huidige en toekomstige scope.
  • De wijze waarop rapportage en verantwoording plaatsvindt.

Fase 4: Uitvoering en middelen

De daadwerkelijke uitvoering van de benoemde maatregelen wordt logischerwijs uitgevoerd aan de hand van het informatieveiligheidsplan. In dit plan is dan ook terug te vinden welke kosten hieraan zijn verbonden, wanneer deze plaatsvinden en wie verantwoordelijk is voor de correcte uitvoering.

Eventuele benodigde extra licenties, beheerpacks of resources zijn uiteraard afhankelijk van de gemaakte keuzes. Deze worden tijdens de impactanalyse vastgesteld en uitgewerkt in het informatieveiligheidsplan.

Competenties

Onderdeel van het IBI traject is het verhogen van de competenties op het gebied van informatieveiligheid. Uiteraard begint dit op bestuursniveau, waarbij de eerste stappen zijn gezet in de workshop rondom het bespreken van de informatiebeveiligingsprincipes en het vaststellen van het strategisch beleid. Er is echter veel te doen om de competenties bedrijfsbreed te vergroten en bij te houden.

Als onderdeel van de verbetermaatregelen adviseren wij diverse adoptietrainingen en workshops met gebruikers waarin de benodigde aandacht wordt gelegd op thema’s als “Hoe ga ik om met wachtwoorden en pincodes”, “Wat betekent informatieveiligheid voor mijn werk” en “Welke maatregelen moet ik nemen om op kantoor en thuis veilig te werken”. Daarnaast bieden wij diverse kits aan met materialen, die je kan gebruiken om jouw medewerkers bewust te maken van informatieveiligheid binnen jouw organisatie.

Tijdens de GAP- en Impact Analyse in fase 3 worden de mogelijkheden besproken.

ibi traject in vogelvlucht

IBI services

Zoals eerder aangegeven is informatieveiligheid geen project, maar een continu proces. Niet alleen verandert de wereld razendsnel en ontstaan er continu nieuwe dreigingen waaraan het hoofd moet worden geboden. Ook weten we dat informatieveiligheid uitsluitend op een hoog niveau blijft als periodiek aandacht wordt gegeven aan het onderwerp. Daarom hebben we de IBI Services geïntroduceerd.

Meer informatie over IBI

Meer weten?

Wil je meer weten over de ITON Baseline voor Informatiebeveiliging? Laat dan je gegevens achter via het contactformulier en we komen zo snel mogelijk met je in contact. Wil je liever even bellen? Dat kan op werkdagen tussen 09:00 en 17:00 uur met 088 – 070 06 00.

Jacco Wildeman

Jacco Wildeman

Technisch Consultant

Als eerste op de hoogte

Abonneer op onze nieuwsbrief

Logo-ITON-footer

Contact

> Neem contact op

Werken bij

> Kom bij ons werken

Gegevens

Landjuweel 20
3905 PG Veenendaal

Algemeen
088 070 06 00

Support
088 070 06 25
sd@iton.nl

Socials

     
IBI | ISO27001 | ISAE3402
Share This