5. Schriftelijke vastlegging
Als duidelijk is hoe je je informatiebeveilingsbeleid wilt inrichten en welke keuzes je daarbij hebt gemaakt, dan is het belangrijk dit schriftelijk vast te leggen. Je beschrijft hierin hoe je met een samenhangend geheel van maatregelen, procedures en processen de informatiebeveiligingsrisico’s beheerst. Het informatiebeveiligingsbeleid hou je actueel door dreigingen en risico’s
periodiek te evalueren.
Wat zegt de AFM hierover?
- In het informatiebeveiligingsbeleid beschrijf je de doelstellingen voor informatiebeveiliging en hoe je deze doelstellingen wilt behalen.
- Het beleid beschrijft de uitgangspunten, de IT-standaarden die worden gehanteerd en de verantwoordelijkheden, procedures en processen om informatiebeveiliging in te bedden in de onderneming.
- In het beleid staat ook hoe je de eisen bepaalt op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid van IT-assets en processen, inclusief fysieke locaties en data. De specifieke maatregelen die volgen uit het informatiebeveiligingsbeleid zijn in lijn met deze eisen.
Aan de slag
- In de vorige stappen heb je bepaald hoe je je informatiebeveiligingsbeleid gaat vormgeven. Ook de overwegingen die daarbij speelden en de keuzes die je hebt gemaakt leg je schriftelijk vast. Dat is dan de schriftelijke vastlegging van je informatiebeveiligingsbeleid. Veranderen bepaalde zaken in de loop van de tijd, bijvoorbeeld omdat er binnen de onderneming iemand anders verantwoordelijk is geworden voor de informatiebeveiliging of omdat je met nieuwe risico’s te maken hebt, pas je informatiebeveiligingsbeleid daar dan op aan en leg ook dit weer schriftelijk vast. Zo zorg je ervoor dat je beleid altijd up-to-date is.