Druk bezig met het opzetten van een managementsysteem voor informatiebeveiliging (ISMS) om vervolgens te gaan voor een ISO 27001 certificering (de ISO 27001 is de internationaal erkende norm voor informatiebeveiliging)? Dan kan het zijn dat sommige (of veel) zaken uit de ISO 27001 norm nogal vaag geformuleerd lijken. En dat is bewust! De belangrijkste keuze voor deze ‘vaagheid’ is dat de norm voor uiteenlopende organisaties bedoeld is. Het formuleren van té specifieke invullingen van eisen in de norm zou niet passend zijn. Zo wordt bijvoorbeeld geëist dat je als organisatie informatiebeveiligingsbeleid opstelt, maar wordt niet aangegeven wat er nu precies in dit beleid dient te staan.
Normelement 5.2 eist dat je informatiebeveligingsbeleid opstelt en implementeert. En als we het dan hebben over die vaagheid, dan is dit ook absoluut een onderdeel waar organisaties vaak vragen bij hebben.
5.2 staat ergens aan het begin van de ISO 27001 norm. Als je als organisatie de norm netjes van begin tot eind afloopt, kom je daar dus al redelijk snel terecht. Organisaties zitten er, zeker in deze beginfase, vaak nog lekker fris en welwillend in. Het is overigens niet per se zo dat dit in de loop van het project anders wordt, maar dat een ISO 27001 certificering zwaar kan zijn is een feit (lees hier een business case van XYLS om een beeld te krijgen van een officiële ISO 27001 certificering).
Enfin, met frisse moed wordt dus gestart met het opstellen van informatiebeveiligingsbeleid conform normelement 5.2. Hier rolt vervolgens een document uit dat behoorlijk technisch van aard is, met bijvoorbeeld de volgende onderdelen:
Laten we direct duidelijk zijn: dit is (nog) niet nodig bij normelement 5.2.
Het klopt dat operationeel beleid op een gegeven moment moet worden vastgesteld. Maar: dit doe je op basis van normelement 6.1 (risicomanagement), met behulp van de Bijlage A bij de ISO 27001 (een lijst met allerlei beheersmaatregelen die geïmplementeerd kunnen worden). Dit is vaak vrij technisch, en hulp van specialisten kan daarbij nuttig zijn.
Bij 5.2 gaat het hier nog niet om, maar om het strategisch informatiebeveiligingsbeleid. En in de meeste gevallen is dit qua technische elementen prima op te stellen door de directie van de organisatie, zoals de ISO 27001 dit ook vereist.
Bij strategisch beleid gaat het over de koers van de organisatie. Wat is de missie? Wat zijn de doelstellingen? Wat zijn de plannen die gemaakt worden om deze doelen te bereiken? Fair enough, nu zijn wij ook wat vaag.
Het informatiebeveiligingsbeleid van 5.2 dient in ieder geval de volgende elementen te bevatten:
Hierbij kunnen de volgende onderdelen wat structuur geven aan het beleidsstuk:
Belangrijk: het beleid dient gedocumenteerd te zijn, dient gedeeld te worden binnen de organisatie en dient eventueel beschikbaar gesteld te worden (op passende wijze) voor belanghebbenden.
Conclusie: Het informatiebeveiligingsbeleid volgens normelement 5.2 van de ISO 27001 hoeft nog helemaal niet technisch hoogstaand te zijn, en hoeft nog geen operationeel beleid te bevatten. Het gaat hier om strategisch informatiebeveiligingsbeleid.
Heb je vragen of wil je als kansspelbedrijf eens sparren over de mogelijkheden met één van onze specialisten? Vul ons contactformulier in of bel direct naar 030 – 227 03 86.