6. Organiseren van informatiebeveiliging

6.1 Interne organisatie

Doelstelling:
6.1.1
bbn: 1
Rollen en verantwoordelijkheden bij informatiebeveiliging
Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.
6.1.1.1
bbn: 1

De leiding van de organisatie heeft vastgelegd wat de verantwoordelijkheden en rollen zijn op het gebied van informatiebeveiliging binnen haar organisatie.

6.1.1.2
bbn: 1

De verantwoordelijkheden en rollen ten aanzien van informatiebeveiliging zijn gebaseerd op relevante voorschriften en wetten.

6.1.1.3
bbn: 1

De rol en verantwoordelijkheden van de Chief Information Security Officer (CISO) zijn in een CISO-functieprofiel vastgelegd.

6.1.1.4
bbn: 1

Er is een CISO aangesteld conform een vastgesteld CISO-functieprofiel.

6.1.2
bbn: 1
Scheiding van taken
Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.
hardeningsbeleidtoegangsbeleidlogischetoegangbeveiligingsbeleid
6.1.2.1
bbn: 1

Er zijn maatregelen getroffen die onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen waarnemen of voorkomen.

6.1.3
bbn: 2
Contact met overheidsinstanties
Er behoren passende contacten met relevante overheidsinstanties te worden onderhouden.
6.1.3.1
bbn: 2

Er is door de organisatie uitgewerkt wie met welke (overheids)instanties en Dienstenleverancier toezichthouders contact heeft ten aanzien van informatiebeveiligingsaangelegenheden (vergunningen/incidenten/calamiteiten) en welke eisen voor deze aangelegenheden relevant zijn.

6.1.3.2
bbn: 2

Het contactoverzicht wordt jaarlijks geactualiseerd.

6.1.5
bbn: 2
Informatiebeveiliging in projectbeheer
Informatiebeveiliging behoort aan de orde te komen in projectbeheer, ongeacht het soort project.

6.2 Mobiele apparatuur en telewerken

Doelstelling:
6.2.1
bbn: 1
Beleid voor mobiele apparatuur
Beleid en ondersteunende beveiligingsmaatregelen behoren te worden vastgesteld om de risico's die het gebruik van mobiele apparatuur met zich meebrengt te beheren.
Endpoint protection
6.2.1.1
bbn: 1

Mobiele apparatuur is zo ingericht dat geen bedrijfsinformatie onbewust wordt opgeslagen ('zero footprint'). Als zero footprint (nog) niet realiseerbaar is, biedt een mobiel apparaat (zoals een laptop, tablet en smartphone) de mogelijkheid om de toegang te beschermen door middel van een toegangsbeveiligingsmechanisme en, indien vertrouwelijke gegevens worden opgeslagen, versleuteling van die gegevens. In het geval van opslag van vertrouwelijke informatie moet op deze mobiele apparatuur 'wissen op afstand' mogelijk zijn.

6.2.1.2
bbn: 1

Bij de inzet van mobiele apparatuur zijn minimaal de volgende aspecten geïmplementeerd:

  1. in bewustwordingsprogramma's komen gedragsaspecten van veilig mobiel werken aan de orde;
  2. het device maakt onderdeel uit van patchmanagement en hardening;
  3. het device wordt waar mogelijk beheerd en beveiligd via een MDM Mobile Device Management (MDM)-oplossing;
  4. gebruikers tekenen een gebruikersovereenkomst voor mobiel werken, waarmee zij verklaren zich bewust te zijn van de gevaren van mobiel werken en verklaren dit veilig te zullen doen. Deze verklaring heeft betrekking op alle mobiele apparatuur die de medewerker zakelijk gebruikt; periodiek wordt getoetst of de punten in lid b), c) en d) worden nageleefd.
6.2.2
bbn: 2
Telewerken
Beleid en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van informatie die vanaf telewerklocaties wordt benaderd, verwerkt of opgeslagen.