Operationeel beleid vs. Strategisch beleid bij ISO 27001, normelement 5.2

Wat moet je precies doen bij Informatiebeveiligingsbeleid, normelement 5.2 van de ISO 27001? XY Legal Solutions legt uit.

Druk bezig met het opzetten van een managementsysteem voor informatiebeveiliging (ISMS) om vervolgens te gaan voor een ISO 27001 certificering (de ISO 27001 is de internationaal erkende norm voor informatiebeveiliging)? Dan kan het zijn dat sommige (of veel) zaken uit de ISO 27001 norm nogal vaag geformuleerd lijken. En dat is bewust! De belangrijkste keuze voor deze ‘vaagheid’ is dat de norm voor uiteenlopende organisaties bedoeld is. Het formuleren van té specifieke invullingen van eisen in de norm zou niet passend zijn. Zo wordt bijvoorbeeld geëist dat je als organisatie informatiebeveiligingsbeleid opstelt, maar wordt niet aangegeven wat er nu precies in dit beleid dient te staan.

Normelement 5.2 eist dat je informatiebeveligingsbeleid opstelt en implementeert. En als we het dan hebben over die vaagheid, dan is dit ook absoluut een onderdeel waar organisaties vaak vragen bij hebben.

Veelgemaakte fout: organisaties stellen operationeel informatiebeveiligingsbeleid op bij normelement 5.2

XYLS ISO27001 zegel

5.2 staat ergens aan het begin van de ISO 27001 norm. Als je als organisatie de norm netjes van begin tot eind afloopt, kom je daar dus al redelijk snel terecht. Organisaties zitten er, zeker in deze beginfase, vaak nog lekker fris en welwillend in. Het is overigens niet per se zo dat dit in de loop van het project anders wordt, maar dat een ISO 27001 certificering zwaar kan zijn is een feit (lees hier een business case van XYLS om een beeld te krijgen van een officiële ISO 27001 certificering).

Enfin, met frisse moed wordt dus gestart met het opstellen van informatiebeveiligingsbeleid conform normelement 5.2. Hier rolt vervolgens een document uit dat behoorlijk technisch van aard is, met bijvoorbeeld de volgende onderdelen:

  • Beleid voor toegangsbeheer;
  • Het beleid voor het maken van back-ups;
  • Beleid voor cryptografie;
  • Informatiebeveiligingsbeleid voor leveranciersrelaties;
  • Beleid voor informatietransport;
  • Beleid voor mobiele apparatuur;
  • En meer…

Laten we direct duidelijk zijn: dit is (nog) niet nodig bij normelement 5.2.

Klantcase ISO 27001 lezen

Normelement 5.2 van de ISO 27001 vraagt om strategisch informatiebeveiligingsbeleid

Het klopt dat operationeel beleid op een gegeven moment moet worden vastgesteld. Maar: dit doe je op basis van normelement 6.1 (risicomanagement), met behulp van de Bijlage A bij de ISO 27001 (een lijst met allerlei beheersmaatregelen die geïmplementeerd kunnen worden). Dit is vaak vrij technisch, en hulp van specialisten kan daarbij nuttig zijn.

Bij 5.2 gaat het hier nog niet om, maar om het strategisch informatiebeveiligingsbeleid. En in de meeste gevallen is dit qua technische elementen prima op te stellen door de directie van de organisatie, zoals de ISO 27001 dit ook vereist.

Bij strategisch beleid gaat het over de koers van de organisatie. Wat is de missie? Wat zijn de doelstellingen? Wat zijn de plannen die gemaakt worden om deze doelen te bereiken? Fair enough, nu zijn wij ook wat vaag.

Het informatiebeveiligingsbeleid van 5.2 dient in ieder geval de volgende elementen te bevatten:

  • Informatiebeveiligingsdoelstellingen (of uitgangspunten) die kloppen met de context van de organisatie (normelement 4.2);
  • Verbintenis om te voldoen aan de eisen: de directie dient duidelijk te maken dat zij zich zal inzetten om te voldoen aan eisen en het behalen van doelstellingen;
  • Passende informatiebeveiligingseisen;
  • Een verbintenis tot continue verbetering: de directie maakt duidelijk zich in te zetten voor continue verbetering van het ISMS.

Hierbij kunnen de volgende onderdelen wat structuur geven aan het beleidsstuk:

  • Definities (van de term ‘informatie’ bijvoorbeeld);
  • Algemene informatie over het ISMS;
  • Een kader voor de informatiebeveilgingsdoelstellingen;
  • Omschrijving van de verbintenis van de directie;
  • En meer.

Belangrijk: het beleid dient gedocumenteerd te zijn, dient gedeeld te worden binnen de organisatie en dient eventueel beschikbaar gesteld te worden (op passende wijze) voor belanghebbenden.

Conclusie: Het informatiebeveiligingsbeleid volgens normelement 5.2 van de ISO 27001 hoeft nog helemaal niet technisch hoogstaand te zijn, en hoeft nog geen operationeel beleid te bevatten. Het gaat hier om strategisch informatiebeveiligingsbeleid.

Heb je vragen of wil je als kansspelbedrijf eens sparren over de mogelijkheden met één van onze specialisten? Vul ons contactformulier in of bel direct naar 030 – 227 03 86.

Neem contact met ons op