Organisatie van Informatie Beveiliging (IB)

Wat is nu het belang van het organiseren van Informatie Beveiliging (IB)? Een vraag die ik regelmatig ontvang omdat bij de termen "Informatie Beveiliging" iedereen eigen ideeën of beelden heeft. Wat als deverantwoordelijkheden, procedures en instrumenten van informatiebeveiliging niet expliciet zijn belegd? Het verhindert de daadwerkelijke uitvoering om uw informatie te beveiligen en dat beheermaatregelen binnen uw organisatie zijn geborgd.

Aan de hand van een informatie risico analyse wordt het Informatie Beveiligingsbebeid voor uw organisatie opgemaakt. Dit beleidstuk past bij de fase waarin de organisatie zich bevindt en kan meegroeien met de ontwikkeling die uw bedrijf strategisch wil maken. Hiermee ontstaat duidelijkheid welk belang de organisatie hecht aan informatiebeveiliging en geeft dat richting voor directie, management en medewerkers. Het ondersteunt de directie in de éénduidige boodschap die men verkondigt over het belang van informatiebeveiliging als waarden voor het bedrijf.

Informatie beveiliging verantwoordelijkheden

In het beveiligingsbeleid is opgenomen wie en waarvoor verantwoordelijk is. Dit gaat over de directie, de Chief Information Officer (CIO), Chief Information Security Officer (CISO) en de service organisatie.

Directie;

• -Integraal verantwoordelijk voor de beveiliging en heeft een beslissende rol
• -Stelt kaders voor informatie beveiliging
• -Verantwoordelijk voor kaderstelling en sturing

CIO, indien van toepassing;

• -Geeft namens directie dagelijkse leiding
• -Toezien op de uitgevoerde directie besluiten

CISO, indien van toepassing;

• -Bevordert informatie beveiliging
• -Adviseert gevraagd en ongevraagd over informatie beveiliging
• -Rapporteren aan directie, bijvoorbeeld op kwartaalbasis

IT Service organisatie;

• -Verantwoordelijk voor beveiliging van de informatie voorziening
• -Implementatie van beveiligingsmaatregelen mbv betrouwbaarheidseisen
• -Verantwoordelijk voor alle beheer aspecten van informatie beveiliging
• -Acteert op incident- en probleemmanagement
• -Verzorgt logging, monitoring en rapportage
• -Geeft intern technische beveiligingsadviezen.

Functioneel Informatie Beveiliging overleg

De directie of CISO organiseert minimaal per kwartaal een functioneel overleg van alle gerelateerde IT security functionarissen. Het functioneel overleg heeft een adviesfunctie naar de directie/CIO. Het richt zich met name op IB en adviseert op tactische/strategische informatiebeveiliging.

IT crisisbeheersing

Voor interne crisisbeheersing dient een kernteam IB geïnstalleerd te zijn. Dit kernteam bestaat uit de directie/CISO, security functionaris IT van de service organisatie, relevante experts (afhankelijk van het incident) en een communicatie adviseur.

Mogelijk komt dit artikel zwaar bij over en vindt u dat nog niet van toepassing op uw organisatie? De basis van dit gedachtengoed kan u wel helpen Informatie Beveiliging op orde te houden.

DPO Partner, advisering in bescherming van privacy en informatie.