Security Policy


Informatiebeveleiging is niet enkel een kwestie van techniek, maar vooral een van mensen. Om de veiligheid van uw organisatie optimaal te waarborgen, is het van groot belang dat uw medewerkers, klanten en andere stakeholders duidelijk weten wat wel en niet mag. Deze zaken legt u vast in policies en andere cybersecurity documenten.
clear desk and screen lock policy
Screen lock en clear desk policies zijn enkele veel voorkomende security policies

Wat is een cybersecurity policy?


Een policy is een strategisch document waarin uw organisatie in grote lijnen het beleid inzake bepaalde onderwerpen vastlegd. Bijvoorbeeld het gebruik van social media op de werkvloer. Een goede policy sluit altijd aan op de doelstelling of business strategy van uw organisatie. Dit is weergegeven in onderstaand schema.
schema from business strategy to security policy

Voor verschillende aspecten binnen uw organisatie kunner er meerdere policies bestaan:
Voorbeeld: Wekelijks maken wij een full back-up van al onze bestanden en deze bewaren wij in een brandveilige kluis op een aparte locatie.

Welke specifieke policies uw organisatie nodig heeft, hangt natuurlijk af van de aard van uw activiteiten en het milieu waarin u opereert.

In dit artikel leest u wat een Cyber Security strategie is

Andere cybersecurity documenten


Waar een security policy een high level document is, worden operationele regels vastgelegd in procedures, standaarden, base- en guidelines. Deze documenten zijn een logische uitwerking van een of meerdere security policies. Het onderstaande schema visualiseert de relatie tussen de policy en de andere documenten.
schema procedures, standards, baselines and guidlines in relation to policy
Een procedure legt vast hoe bepaalde zaken uitgevoerd moeten worden, bijvoorbeeld dat back-ups met een specifiek programma zoals rsync gemaakt moeten worden. Een procedure is altijd bindend en aan het niet naleven ervan dienen consequenties te worden verbonden.

Een standaard bestaat uit specifieke vereisten waaraan een systeem moet voldoen. Denk hierbij aan de regel dat een wachtwoord moet bestaan uit een combinatie van hoofd-, kleine letters, cijfers en speciale tekens.

Een baseline stelt een minimaal niveau van veiligheid vast. Een voorbeeld van een baseline is dat de noodstroomvoorziening van een datacenter ten minste vierentwintig moet kunnen draaien.

Een guideline is een best practise waarvan alleen met goede redenen mag worden afgeweken. Een mogelijke guideline is dat documenten vrijwel direct bij de printer opgehaald moeten worden.

Deze operationele documenten volgen logisch uit uw policies. Wanneer zij goed zijn opgesteld, verschaffen zij duidelijkheid voor uzelf, uw medewerkers en andere stakeholders van uw organisatie.

Maatwerk cybersecurity documenten


Het opstellen van een goede policy en bijbehorende documenten dient zorgvuldig te gebeuren. Mogelijk ontbeert het uw medewerkers de tijd of kennis om intern deze op te stellen. Daarom neem ik graag u dit werk uit handen. Op basis van door het Amerikaanse SANS Institute ontwikkelde templates stel ik voor uw organisatie opmaat gemaakte security documenten op. Hiermee voldoen deze documenten aan de vereisten van o.a. de ISO 27001 norm.

Uiteraard houd ik erbij rekening met de doelstelling van uw organisatie en daarom zal ik allereerst samen met u en eventueel met andere stakeholders een intakegesprek voeren om een helder beeld van uw organisatie te krijgen. Indien u al over cybersecurity documenten beschikt, loop ik deze natuurlijk na om te kijken of deze nog actueel zijn.

Meer informatie


Wilt u meer informatie over mijn cybersecurity documenten? Neem dan gerust contact op! Of bekijk ook mijn overige diensten.