Beveiligingsorganisatie

Versie 2.1 van 29 oktober 2021 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.3 van 6 november 2023.
De wijzigingen betreffen met name aanpassingen naar aanleiding van publicatie van de [Handreiking BIO2.0-opmaat].
Versie 2.3 in PDF-formaat is op de website [CIP-overheid] gepubliceerd.

Beveiligingsprincipe
ID:	TBV_B.05
Versie:	2.4
Status:	Actueel
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Structuur

Objectdefinitie

Doelgerichte bundeling van kennis en vaardigheden tussen personen met taken, bevoegdheden en verantwoordelijkheden op het gebied van informatiebeveiliging.

Objecttoelichting

De beveiligingsorganisatie ziet toe op het naleven van het informatiebeveiligingsbeleid. Waar nodig grijpt de beveiligingsorganisatie in. Welke taken, verantwoordelijkheden, bevoegdheden en middelen een beveiligingsorganisatie hierin heeft, wordt vooraf expliciet benoemd en vastgesteld. Ook moet vaststaan hoe de rapportagelijnen zijn uitgestippeld.

Criterium

Rollen en verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen overeenkomstig de behoeften van de organisatie. Het toewijzen van de rollen en verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met het beleid voor informatiebeveiliging en onderwerp-specifieke beleidsregels.

Doelstelling

Het invullen, coördineren en borgen van het informatiebeveiligingsbeleid binnen de organisatie.

Risico

Onvoldoende sturing en borging van het informatiebeveiligingsbeleid leidt tot ineffectieve uitvoering en verhoogde risico’s op incidenten en niet-naleving.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Beleid;
valt binnen de Invalshoek Structuur.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ISO 27001 2022 5.2

Onderliggende normen

ID	Conformiteitsindicator	Stelling
TBV_B.05.01	Organisatorische positie	De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie.
TBV_B.05.02	Taken, verantwoordelijkheden en bevoegdheden (TBV)	De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen.
TBV_B.05.03	Taken, verantwoordelijkheden en bevoegdheden (TBV)	De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in bijvoorbeeld een autorisatiematrix.
TBV_B.05.04	Functionarissen	De belangrijkste functionarissen (stakeholders) voor de beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt.
TBV_B.05.05	Rapportagelijnen	De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.
TBV_B.05.06	Rapportagelijnen	Eigenaren behoren de resultaten te rapporteren aan de personen die onafhankelijke beoordelingen uitvoeren wanneer een onafhankelijke beoordeling plaatsvindt binnen hun verantwoordelijkheidsgebied.