ISO 27001 – Bijlage A.5: Informatiebeveiligingsbeleid

Wat is het doel van bijlage A.5.1?

Bijlage A.5.1 gaat over de managementaansturing op het gebied van informatiebeveiliging. Het doel van deze bijlage is het sturen en ondersteunen van informatiebeveiliging in lijn met de eisen van de organisatie, alsmede in overeenstemming met relevante wet- en regelgeving.

Het omvat de twee hieronder genoemde bedieningselementen. Het is een belangrijk onderdeel van het informatiebeveiligingsbeheersysteem (ISMS), vooral als u de ISO 27001-certificering wilt behalen. Laten we deze vereisten en wat ze betekenen nu wat dieper begrijpen.

A.5.1.1 Beleid voor informatiebeveiliging

Er moet een reeks beleidsmaatregelen voor informatiebeveiliging worden gedefinieerd, goedgekeurd door het management, gepubliceerd en gecommuniceerd naar werknemers en relevante externe partijen. Het beleid moet worden geleid door de behoeften van het bedrijfsleven, naast de toepasselijke wet- en regelgeving die ook van invloed is op de organisatie.

Dit beleid is in feite de controlemaatregelen van bijlage A, ook samengevat in een masterdocument over het informatiebeveiligingsbeleid op een hoger niveau, dat de belangrijkste verklaringen van de organisatie op het gebied van beveiliging versterkt en deelt met belanghebbenden zoals klanten.

Dat overkoepelende beleid wordt veel geloofwaardiger en krachtiger met de onafhankelijke certificering voor ISO 27001 van UKAS erachter.

Beleid vormt ook de ruggengraat van informatiebeveiliging en zou deel moeten uitmaken van het onderwijs-, trainings- en bewustmakingsprogramma in overeenstemming met A7.2.2.

In het beleid zijn de principes vastgelegd die leden van de organisatie en belangrijke partijen zoals leveranciers moeten volgen. Dit beleid moet regelmatig worden herzien en indien nodig bijgewerkt in overeenstemming met A.5.1.2 hieronder.

A.5.1.2 Herziening van het beleid voor informatiebeveiliging

Het beleid voor informatiebeveiliging moet met geplande tussenpozen, of als zich significante veranderingen voordoen, worden herzien om de voortdurende geschiktheid, adequaatheid en effectiviteit ervan te garanderen.

Telkens wanneer er wijzigingen worden aangebracht in het bedrijf, de risico's en problemen, de technologie of de wet- en regelgeving, of als zwakke punten in de beveiliging, gebeurtenissen of incidenten wijzen op de noodzaak van beleidsverandering.

Beleid moet ook regelmatig worden herzien en bijgewerkt. ISO beschouwt 'regulier' als minimaal jaarlijks, wat zwaar werk kan zijn als je zoveel beoordelingen handmatig beheert en dit ook aansluit bij de onafhankelijke beoordeling als onderdeel van A.18.2.1.

Hoe helpt ISMS.online met het informatiebeveiligingsbeleid?

Naast vele andere functies bevat ISMS.online zichtbare en geautomatiseerde processen om de hele beoordelingsvereiste te vereenvoudigen en enorme hoeveelheden administratieve tijd te besparen ten opzichte van andere manieren van werken.

ISMS.online biedt u uitvoerbaar ISO 27001-beleid en -controles om u een geweldige voorsprong te geven.