Algemene informatie
Informatiebeveiliging is
een set aan technische en organisatorische maatregelen met als doel de
beschikbaarheid, intergriteit en vertrouwelijkheid van de informatie en
de informatievoorziening te
waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een
acceptabel, vooraf bepaald niveau te beperken.
Op basis van een risicoanalyse wordt het
gewenste niveau van beveiliging bepaald. Daarbij wordt in de regel een
BIV-klasse beschikbaarheid, integriteit (=betrouwbaarheid) en
vertrouwelijkheid (=exclusiviteit) bepaald, vaak uitgebreid met een
indicatie voor controleerbaarheid (het belang om achteraf toegang en
transacties te kunnen verifiëren). De Engelse term die wordt
gehanteerd is de CIA Triad: confidentiality, integrity
en availability.
- Beschikbaarheid bevat
de garanties voor het afgesproken niveau van dienstverlening gericht op
de beschikbaarheid van de dienst op de afgesproken momenten
(bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden,
storingen en incidenten). Zie hiervoor ook Business
Continuity Management.
- Integriteit is het
kwaliteitsbegrip dat juistheid, volledigheid, tijdigheid en
geautoriseerdheid van de transacties omvat.
- Vertrouwelijkheid is
het kwaliteitsbegrip waaronder privacybescherming
maar ook de exclusiviteit van informatie gevangen kan worden. Het
waarborgt dat alleen geautoriseerden toegang krijgen en dat informatie
niet kan uitlekken.
Informatiebeveiliging is een onderwerp dat
goed
verankerd moet zijn in het management van de organisatie en is
deels gebaseerd op het creëren van draagvlak bij gebruikers.
Een
bewustwordingsprogramma moet dan ook de invoering van de
beveiligingsmaatregelen ondersteunen en levert vaak meer resultaat op
dan allerlei technische maatregelen.
Het realiseren van het overeengekomen niveau
van beveiliging is een taak die in de regel wordt toebedeeld aan een
informatiebeveiliger, iemand die zich beroepshalve met het vakgebied
bezighoudt. Toezicht vindt plaats vanuit de IT-audit discipline en
vanwege diverse wettelijke toezichthouders. Door middel van het
uitvoeren van IT en privacy audits kan worden vastgesteld of het
overeengekomen niveau van beveiliging is gerealiseerd.
Soms kiest een
organisatie ervoor om te worden gecertificeerd op basis van een
nederlandse of juist internationale standaard. Certificering is vaak
een methode om een continue proces van verbetering te borgen.
|