Informatiebeveiliging staat hoog op de agenda, maar blijkt lastig. De AFM publiceerde principes voor informatiebeveiliging om handvatten te bieden aan financiële ondernemingen en accountantsorganisaties. Wij menen dat de 11 principes voor iedere onderneming een goed handvat kunnen bieden en delen ze dan ook graag met u.
Met deze beleidsuiting schetst de AFM haar verwachtingen over het gewenste gedrag van financiële ondernemingen en accountantsorganisaties op het gebied van informatiebeveiliging. De principes zijn eerder dit jaar ter consultatie voorgelegd en zijn nu definitief geworden. De principes bieden handvatten aan financiële ondernemingen en accountantsorganisaties die bijdragen aan de ontwikkeling van de sector. De principes vervangen wettelijke vereisten niet. De elf principes zijn:
Lees ook: KPMG: ‘Bedrijven kunnen beveiliging van digitale transformatie niet bijbenen’
1. Zorg voor een actueel informatiebeveiligingsbeleid
Een actueel informatiebeveiligingsbeleid beschrijft een samenhangend geheel van maatregelen, procedures en processen waarmee informatiebeveiligingsrisico’s worden beheerst.
2. Richt de governancestructuur erop in
De onderneming richt een governancestructuur in die effectieve informatiebeveiliging mogelijk maakt.
3. Identificeer dreigingen en beoordeel risico’s
Informatiebeveiliging is ingericht op basis van een actueel inzicht in bestaande dreigingen en risico’s, de potentiële impact van bestaande dreigingen op de onderneming en de risicobereidheid van de onderneming.
4. Onderken het belang van mensen en cultuur
De onderneming onderkent het risico van menselijk handelen voor informatiebeveiliging en creëert en ondersteunt een cultuur waarin medewerkers zich bewust zijn van het risico op informatiebeveiligingsincidenten en hierover open communiceren.
5. Veilige technologie
Bij de implementatie en het onderhoud van systemen wordt het uitgangspunt ‘secure by design’ toegepast.
6. Richt processen goed in
De inrichting van bedrijfsprocessen waarborgt de beschikbaarheid, integriteit en vertrouwelijkheid van processen en de hierin gebruikte systemen.
7. Zorg voor fysieke beveiliging
Het ontwerp en de inrichting van de faciliteiten en apparatuur van de onderneming is in lijn met de eisen aan informatiebeveiliging.
8. Beveilig de data
Tijdens de volledige levenscyclus van data en informatie zijn maatregelen getroffen om te voldoen aan de relevante beveiligingseisen.
9. Zorg voor doeltreffende respons en herstel bij incidenten
De onderneming is voorbereid op informatiebeveiligingsincidenten om de impact hiervan op de bedrijfsvoering van de onderneming te beperken. Wanneer zich een informatiebeveiligingsincident voordoet, neemt de onderneming tijdig en doeltreffende respons- en herstelmaatregelen.
10. Neem ook uw verantwoordelijkheid bij uitbesteding
De onderneming is verantwoordelijk voor de informatiebeveiliging van uitbestede processen en systemen.
11. Denk ook aan het ketenperspectief
De onderneming past een integrale ketenbenadering toe bij het bepalen van informatiebeveiligingsrisico’s en de benodigde beheersmaatregelen.
Bron: https://cmweb.nl/2019/12/11-principes-voor-informatiebeveiliging