Richtlijnen voor bepaling IT-veiligheidsbeleid

Juli 2017
Ieder zichzelf serieus nemend bedrijf heeft een waterdicht IT-veiligheidsbeleid nodig om zijn database te beschermen tegen potentiële gevaren van buitenaf. Hieronder beschrijven we een aantal essentiële fases bij het opstellen van dergelijk beleid.

Oriëntatiefase

De oriëntatiefase is de eerste stap in het proces van het bepalen van een IT-veiligheidsbeleid. De doelstelling van deze fase is het definiëren van de behoeften van de organisatie. Van groot belang is hierbij het analyseren van het informatiesysteem. Om een zo geschikt mogelijk beleid te implementeren, worden vervolgens de bijkomende risico's en bedreigingen in kaart gebracht.

De oriëntatiefase bestaat uit drie stappen: het identificeren van behoeftes, de risico-analyse en het opstellen van het beveiligingsbeleid.

Identificeren van behoeften

Het identificeren van de behoeften van de organisatie gebeurt door het zo gedetailleerd mogelijk te beschrijven van het informatiesysteem. Hierbij is de volgende informatie van belang:

Medewerkers en hun functie;

Aansluitpunten (computers), servers en hun betreffende functie;

Network mapping;

Domeinnamen die door de organisatie gebruikt worden;

Communicatie-infrastructuur zoals routers en switches etc,;

Opslag van gevoelige data.

Risico-analyse

Tijdens de risico-analyse worden de mogelijke risico's en bedreigingen voor de organisatie bepaald. Daarnaast worden de mogelijke gevolgen van de geïdentificeerde risico's ingeschat.

Om de impact van een bedreiging te analyseren, kan men de kosten inschatten van de schade die deze zou veroorzaken. Bijvoorbeeld: een aanval op de centrale server of het beschadigd raken van essentiële bedrijfsdata.

Het is ten zeerste aan te raden om een tabel te creëren waarin de risico's en hun waarschijnlijkheid op een overzichtelijke manier in beeld gebracht worden. Gebruik daarbij bijvoorbeeld de volgende schaalverdeling:

Onwaarschijnlijk: de bedreiging is (zo goed als) nihil;

Laag: het is enigszins waarschijnlijk dat de bedreiging zich voordoet;

Gemiddeld: de bedreiging is aannemelijk;

Hoog: het is zeer waarschijnlijk dat de bedreiging zich voordoet.

Opstellen van het beveiligingsbeleid

Het beveiligingsbeleid van de organisatie wordt in een referentiedocument vastgelegd. Dit document moet in ieder geval de veiligheidsdoelstellingen van de organisatie bevatten en de genomen maatregelen om te garanderen dat de doelstellingen daadwerkelijk worden gehaald. Door middel van een combinatie van regels, procedures en 'best practices' worden zodoende de veiligheidsbehoeften van de organisatie gewaarborgd.


Het opstellen en uitvoeren van het beveiligingsbeleid is een project waarbij medewerkers uit alle lagen van de organisatie betrokken dienen te worden. Zodra het beleid op papier staat, wordt deze (al dan niet gedeeltelijk) gedeeld met de personen voor wie de informatie relevant is. Hoe meer medewerkers van het beleid op de hoogte zijn, hoe hoger de kans van slagen.

Bekijk ook


Definition of Needs in Terms of IT Security
Definition of Needs in Terms of IT Security
Definición de necesidades en términos de seguridad informática
Definición de necesidades en términos de seguridad informática
Définition des besoins en terme de sécurité de l'information
Définition des besoins en terme de sécurité de l'information
Definizione dei bisogni in termini di sicurezza informatica
Definizione dei bisogni in termini di sicurezza informatica
Definição das necessidades de termos de segurança informática
Definição das necessidades de termos de segurança informática
Laatste update 20 juli 2017 om 02:24 door BobCCM.
Het document met titel "Richtlijnen voor bepaling IT-veiligheidsbeleid" van CCM (nl.ccm.net) is onder voorwaarden van de Creative Commons-licentie gepubliceerd. Je kunt dit artikel kopiëren en kopieën van het artikel aanpassen volgens onze algemene voorwaarden.