NETWERK VOOR DE INNOVATIEVE INFORMATIEWERKER
Na lektober en het paniekgedoe rondom de digid is het akelig stil rondom deze problematiek. Misschien moeten we wachten tot de volgende crises weer uitbreekt ?
We hebben standaarden op dit gebied de NEN 27001 en 27002. Informatiebeveiliging is vaak bij gemeenten op het GBA na een zorgenkindje en er wordt vaak geen beleid op ontwikkeld. Vaak maar niet altijd, ik ken ook een grote gemeente in het Zuiden des lands die dit wel op de agenda heeft geplaatst.
In de nieuwe baseline wordt ook het volgende aangeraden:
2.1 Informatiebeleidsplan
De organisatie heeft een door het bestuur en/of management vastgesteld informatiebeleid dat aansluit bij de geformuleerde organisatiedoelstellingen. Onderdelen van het informatiebeleid zijn tenminste:
Het voldoen aan de wettelijke eisen voor het bewaren van informatie;
Een beschrijving van de relatie tussen de bedrijfsprocessen en de opgenomen informatie;
Een beschrijving van of verwijzing naar de bewaarstrategie van de organisatie die rekening houdt met conversie, migratie of emulatie in geval van veranderde organisatorische en/of technische omstandigheden;
Een beschrijving van het beveiligingsbeleid waarin taken en verantwoordelijkheden voor informatiebeveiliging zijn belegd.
Documentwereld bericht vandaag dat er vanuit Europa actie op ondernomen wordt, niet alleen op het gebied van informatiebeveiliging maar ook privacybescherming. En jawel daar is ie weer, de 27002.
Verschil tussen 001 en 002 is dat 001 vooral uit gaat van eisen waar een organisatie aan moet voldoen en 002 zicht meer richt op best practises.
Wie gaat ze toepassen? Of worden overheidsorganisaties onderwerp in de nieuwe show van Julian Assange ?
Opmerking
Overigens geef ik in mijn vorige reactie een eenzijdig beeld van informatie-beveiliging. Informatie beveilig je namelijk niet alleen met techniek. Je hebt verschillende "lagen":
Je ziet dat ICT vaak slechts grip heeft op één laag. Het applicatiebeheer (bij DMS'en en zaaksystemen regelmatig belegd bij DIV) heeft er twee. Het is goed om je dat te realiseren. ;-)
Ik geloof dat de meesten - ook bij de politiek - ervan doordrongen zijn dat ICT-beveiliging goed geregeld moet worden. Zolang het een onbegrijpbaar, abstract verhaal blijft vindt iedereen het best dat het gebeurt. Maar zodra bepaalde dingen niet (meer) mogelijk zijn, zoals bijvoorbeeld BYOD, dan vinden we die ICT-beveiligers maar irritant en ouderwets.
Iedere functionaliteit die je realiseert brengt een veiligheidsrisico mee; soms klein, soms groot. Informatie-beveiliging gaat om het maken van keuzes.
Maar we snappen vaak niet welke risico's we lopen. ICT-beveiligers moeten van de zolders afkomen en de organisatie ingaan. Zij moeten het gesprek aangaan met de interne klant en met hun meedenken over hoe zij hun werk op een veilige manier uit kunnen voeren.
Hela, waar kennen we dat toch van?...
Mijn vraag is, bij welke organisaties is de ICT-beveiliger zichtbaar en zit hij/zij bij de projecten?
© 2024 Gemaakt door Marco Klerks. Verzorgd door
Je moet lid zijn van BREED - over de grenzen van informatie om reacties te kunnen toevoegen!
Wordt lid van BREED - over de grenzen van informatie