BREED - over de grenzen van informatie

NETWERK VOOR DE INNOVATIEVE INFORMATIEWERKER

Informatieveiligheid komt uit Brussel

Na lektober en het paniekgedoe rondom de digid is het akelig stil rondom deze problematiek. Misschien moeten we wachten tot de volgende crises weer uitbreekt ?

We hebben standaarden op dit gebied de NEN 27001 en 27002. Informatiebeveiliging is vaak bij gemeenten op het GBA na een zorgenkindje en er wordt vaak geen beleid op ontwikkeld. Vaak maar niet altijd, ik ken ook een grote gemeente in het Zuiden des lands die dit wel op de agenda heeft geplaatst.

In de nieuwe baseline wordt ook het volgende aangeraden:

2.1 Informatiebeleidsplan

De organisatie heeft een door het bestuur en/of management vastgesteld informatiebeleid dat aansluit bij de geformuleerde organisatiedoelstellingen. Onderdelen van het informatiebeleid zijn tenminste:

Het voldoen aan de wettelijke eisen voor het bewaren van informatie;

Een beschrijving van de relatie tussen de bedrijfsprocessen en de opgenomen informatie;

Een beschrijving van of verwijzing naar de bewaarstrategie van de organisatie die rekening houdt met conversie, migratie of emulatie in geval van veranderde organisatorische en/of technische omstandigheden;

Een beschrijving van het beveiligingsbeleid waarin taken en verantwoordelijkheden voor informatiebeveiliging zijn belegd.

Documentwereld bericht vandaag dat er vanuit Europa actie op ondernomen wordt, niet alleen op het gebied van informatiebeveiliging maar ook privacybescherming. En jawel daar is ie weer, de 27002.

Verschil tussen 001 en 002 is dat 001 vooral uit gaat van eisen waar een organisatie aan moet voldoen en 002 zicht meer richt op best practises.

Wie gaat ze toepassen? Of worden overheidsorganisaties onderwerp in de nieuwe show van Julian Assange ?

Vind ik leuk

0 leden vinden dit leuk

Opmerking

Je moet lid zijn van BREED - over de grenzen van informatie om reacties te kunnen toevoegen!

Wordt lid van BREED - over de grenzen van informatie

Reactie van Marco Klerks op 25 Januari 2012 op 22.12

Overigens geef ik in mijn vorige reactie een eenzijdig beeld van informatie-beveiliging. Informatie beveilig je namelijk niet alleen met techniek. Je hebt verschillende "lagen":

De fysieke beveiliging. Hoe makkelijk is het om onrechtmatig toegang te krijgen tot de archief- of serverruimte? Vaak ligt deze verantwoordelijkheid bij een afdeling Facilitaire Zaken o.i.d.
De beveiliging van het netwerk. Hoe makkelijk is het om onrechtmatig toegang te krijgen tot het netwerk van de organisatie? Deze verantwoordelijkheid zal meestal bij de afdeling ICT o.i.d. liggen.
De beveiliging van de applicatie. Hoe makkelijk is het om onrechtmatig in te loggen op de applicatie? Deze verantwoordelijkheid ligt meestal bij het applicatiebeheer. Doet DIV dit zelf in het geval van het DMS?
De beveiliging van de informatie (in de applicatie). Hoe makkelijk is het om onrechtmatig inzage te krijgen in de informatie? Deze informatie ligt ook meestal bij het applicatiebeheer.

Je ziet dat ICT vaak slechts grip heeft op één laag. Het applicatiebeheer (bij DMS'en en zaaksystemen regelmatig belegd bij DIV) heeft er twee. Het is goed om je dat te realiseren. ;-)

Reactie van Marco Klerks op 25 Januari 2012 op 21.57: Ik geloof dat de meesten - ook bij de politiek - ervan doordrongen zijn dat ICT-beveiliging goed geregeld moet worden. Zolang het een onbegrijpbaar, abstract verhaal blijft vindt iedereen het best dat het gebeurt. Maar zodra bepaalde dingen niet (meer) mogelijk zijn, zoals bijvoorbeeld BYOD, dan vinden we die ICT-beveiligers maar irritant en ouderwets.

Iedere functionaliteit die je realiseert brengt een veiligheidsrisico mee; soms klein, soms groot. Informatie-beveiliging gaat om het maken van keuzes.

Maar we snappen vaak niet welke risico's we lopen. ICT-beveiligers moeten van de zolders afkomen en de organisatie ingaan. Zij moeten het gesprek aangaan met de interne klant en met hun meedenken over hoe zij hun werk op een veilige manier uit kunnen voeren.

Hela, waar kennen we dat toch van?...

Mijn vraag is, bij welke organisaties is de ICT-beveiliger zichtbaar en zit hij/zij bij de projecten?