Richtlijnen voor bepaling IT-veiligheidsbeleid

December 2016

Oriëntatiefase

De oriëntatiefase is de eerste stap in het proces van het bepalen van een IT-veiligheidsbeleid.

De doelstelling van deze fase is het definiëren van de behoeften van de organisatie. De eerste stap is hierbij het analyseren van het informatiesysteem. Om een zo geschikt mogelijk beleid te implementeren, worden vervolgens de bijkomende risico's en bedreigingen in kaart gebracht.

De oriëntatiefase bestaat uit 3 stappen:

Identificeren van behoeften
Risico-analyse
Opstellen van het beveiligingsbeleid

Identificeren van behoeften

Het identificeren van de behoeften van de organisatie gebeurt door het zo gedetailleerd mogelijk te beschrijven van het informatiesysteem. Hierbij is de volgende informatie van belang:

Medewerkers en hun functie
Aansluitpunten (computers), servers en hun betreffende functie
Network mapping
Domeinnamen die door de organisatie gebruikt worden
Communicatie-infrastructuur (routers, switches etc.)
Opslag van gevoelige data

Risico-analyse

Tijdens de risico-analyse worden de mogelijke risico's en bedreigingen voor de organisatie bepaald. Daarnaast worden de mogelijke gevolgen van de geïdentificeerde risico's ingeschat.

Om de impact van een bedreiging te analyseren, kan men als beste de kosten inschatten van de schade die het zou veroorzaken. Bijvoorbeeld: een aanval op de centrale server of het beschadigd raken van essentiële bedrijfsdata.

Het is ten zeerste aan te raden om een tabel te creëren waarin de risico's en hun waarschijnlijkheid op een overzichtelijke manier gevisualiseerd worden. Gebruik daarbij bijvoorbeeld de volgende schaalverdeling:

Onwaarschijnlijk: de bedreiging is (zo goed als) nihil.

Laag: het is enigszins waarschijnlijk dat de bedreiging zich voordoet.

Gemiddeld: de bedreiging is aannemelijk.

Hoog: het is zeer waarschijnlijk dat de bedreiging zich voordoet.

Opstellen van het beveiligingsbeleid

Het beveiligingsbeleid van de organisatie wordt in een referentiedocument vastgelegd. Dit document moet in ieder geval de veiligheidsdoelstellingen van de organisatie bevatten en de genomen maatregelen om te garanderen dat de doelstellingen daadwerkelijk worden gehaald. Door middel van een combinatie van regels, procedures en best practices worden zodoende de veiligheidsbehoeften van de organisatie gewaarborgd.

Het opstellen en uitvoeren van het beveiligingsbeleid is een project waarbij medewerkers uit alle lagen van de organisatie betrokken dienen te worden. Zodra het beleid op papier staat, wordt deze (al dan niet gedeeltelijk) gedeeld met de personen voor wie de informatie relevant is. Hoe meer medewerkers van het beleid op de hoogte zijn, hoe hoger de kans van slagen!


Bekijk ook :

Introduction à l'assembleur
Introduction à l'assembleur
Warunki korzystania z serwisu CCM - reklama, wyznanie, poglądy
Warunki korzystania z serwisu CCM - reklama, wyznanie, poglądy
Ce document intitulé «  Richtlijnen voor bepaling IT-veiligheidsbeleid  » issu de CCM (nl.ccm.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.