Informatiebeveiligingsbeleid en BIV classificatie, wat is het?

7 februari 2020

Goede informatiebeveiliging is van essentieel belang om datalekken te voorkomen. Daarom stellen veel organisaties een informatiebeveiligingsbeleid op. Zo weten werknemers en andere belanghebbenden exact wat er van hen verwacht wordt in welke situaties. Een goed informatiebeveiligingsbeleid hangt samen met de informatieclassificatie.

Als het gaat om informatiebeveiliging wordt er gebruik gemaakt van de zogenaamde BIV classificatie. Hierbij staat BIV voor Beschikbaarheid, Integriteit en Vertrouwelijkheid.

In dit artikel ontdekt u hoe uw organisatie een informatiebeveiligingsbeleid kan opstellen in combinatie met een BIV classificatie:

  • Informatiebeveiligingsbeleid opstellen
  • Informatieclassificatie
    • Beschikbaarheid
    • Integriteit
    • Vertrouwelijkheid
  • Informatieclassificatie toepassen

 

Vergroot uw kennis en bewustwording rondom informatiebeveiliging. 

Download het complete e-book


Informatiebeveiligingsbeleid opstellen

Met een goed informatiebeveiligingsbeleid beperkt u de risico’s en schade als gevolg van incidenten. Het opstellen van een goed beleid doet u niet zo maar. U gaat als volgt te werk:

  1. Context van de organisatie bepalen.
    Voordat u kunt starten met het opstellen van een beleid, dient u vast te stellen wat binnen informatiebeveiliging valt en wat niet. Hierbij dient u de business unit, BV’s en afdelingen te benoemen en te beoordelen of deze onder informatiebeveiliging vallen. Maar ook waar de grenzen liggen van de informatiebeveiliging, bijvoorbeeld ten aanzien van klanten en leveranciers.
  2. Belanghebbenden en hun belangen inventariseren.
    Wie heeft er belang bij de informatiebeveiliging en wat verwachten zij hiervan? Uw medewerkers zullen een ander belang hebben dan bijvoorbeeld uw klanten.
  3. Doelstellingen bepalen.
    Weeg de belangen van de verschillende partijen tegen elkaar af en bepaal nu de (beleids-)doelstellingen.
  4. Rollen en verantwoordelijkheden bepalen.
    Koppel personen aan taken en verantwoordelijkheden. Breng deze personen hiervan op de hoogte. Belangrijk is dat dat u ook een persoon aanwijst die verantwoordelijk is voor de informatiebeveiliging als geheel.

Informatieclassificatie

Het beleid dat volgt uit bovenstaande aanpak zou in het beste geval onderscheid moeten maken naar de behoefte aan beveiliging voor verschillende informatiesystemen. Niet alle informatie heeft immers dezelfde gevoeligheid ten aanzien van beschikbaarheid, integriteit en/of vertrouwelijkheid. Om hier inzicht in te krijgen wordt de informatie geclassificeerd.

Als er over informatieclassificatie wordt gesproken, betreft dit het duiden van het belang aan de gebruikers van de informatie op basis van de verschillende aspecten zoals beschikbaarheid, integriteit en vertrouwelijkheid. Ieder aspect van classificatie behoeft zijn eigen eisen en maatregelen als het gaat om het gebruik en/of bewaren (opslag) van de informatie.

Beschikbaarheid

Beschikbaarheid beschrijft de mate waarin informatie op het juiste moment toegankelijk dient te zijn en kan worden gebruikt. Daarbij zijn de volgende kenmerken relevant:

  • Tijdigheid: kan de informatie worden geleverd op het moment dat deze nodig is?
  • Continuïteit: kan de informatie ook in de toekomst worden geleverd?
  • Robuustheid: is de informatie bestand tegen verstoringen?

Integriteit

Integriteit betreft het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen, alsook de consistentie van informatie onderling. Integriteit kent de volgende kenmerken:

  • Correctheid: klopt de informatie en wordt deze correct weergegeven?
  • Volledigheid: is de informatie volledig?
  • Geldigheid: Is de informatie geldig?
  • Authenticiteit: Is de bron van de ontvangen informatie juist?
  • Onweerlegbaarheid: heeft de verzender de informatie inderdaad verzonden?
  • Nauwkeurigheid: de mate van detail en afronding van de informatie?
  • Controleerbaarheid: in hoeverre kan de informatie worden gecontroleerd?

Vertrouwelijkheid

Vertrouwelijkheid betreft de bevoegdheden en de mogelijkheden tot het kennisnemen van informatie, alsook muteren, kopiëren, toevoegen of vernietigen van deze informatie voor een gedefinieerde groep van gerechtigden. Vertrouwelijkheid wordt getoetst op basis van deze kenmerken:

  • Exclusiviteit: kan de informatie worden afgeschermd voor onbevoegden?
  • Privacy: wordt er op een correcte manier omgegaan met persoonlijke gegevens?

Informatieclassificatie toepassen

Om de classificatie eenvoudig toepasbaar te maken, wordt gebruik gemaakt van een drietal niveaus. Soms een vierde om aan te kunnen geven dat er geen eisen zijn ten aanzien van het betreffende aspect. Het resultaat kan zoiets zijn als onderstaand overzicht:

Niveau Beschikbaarheid Integriteit Vertrouwelijkheid
Geen

Niet nodig
gegevens kunnen zonder gevolgen langere tijd niet beschikbaar zijn

(bv: routeplanning)

Niet zeker
informatie mag worden veranderd

(bv: templates en sjablonen)

Openbaar
informatie mag door iedereen worden ingezien

(bv: algemene informatie op de website)
Normaal

Belangrijk
informatie mag korte tijd niet beschikbaar zijn

(bv: administratieve gegevens)

Beschermd
het bedrijfsproces staat enkele (integriteits-) fouten toe

(bv: rapportages)

Intern
informatie is toegankelijk voor alle medewerkers van de organisatie

(bv: intranet)
Hoog

Noodzakelijk
informatie moet vrijwel altijd beschikbaar zijn, continuïteit is belangrijk

(bv: primaire proces informatie)

Hoog
het bedrijfsproces staat zeer weinig fouten toe

(bv: bedrijfsvoerings- informatie en primaire proces- informatie)

Vertrouwelijk
informatie is alleen toegankelijk voor een beperkte groep gebruikers 

(bv: persoonsgegevens, financiële gegevens)
Kritiek

Essentieel
informatie mag alleen in uitzonderlijke situaties uitvallen, bijvoorbeeld bij calamiteiten

(bv: basisregistraties)

Absoluut
het bedrijfsproces staat geen fouten toe

(bv: beleidsinformatie)

Geheim
informatie is alleen toegankelijk voor direct geadresseerde(n)

(bv: zorggegevens en strafrechtelijke informatie)

Deze tabel is gedeeltelijk gebaseerd op documenten van Surf.nl en Binnenlandsbestuur.

Aan de verschillende niveaus kunnen eventueel standaardmaatregelen worden gekoppeld. Bijvoorbeeld dat bij een hoge vertrouwelijkheid/integriteit altijd Two Factor Authentication gebruikt moet worden of dat bij een hoge beschikbaarheid er minimaal een dagelijkse back-up moet zijn.

Op deze wijze kan de BIV classificatie een handig hulpmiddel zijn om de beleidsdoelstellingen en dus de informatiebeveiliging op orde te krijgen.

Vergroot uw kennis en bewustwording rondom informatiebeveiliging. 

 

 

Recente berichten

Ondersteunde normenkaders

  • ISO 27001 / ISO 27002 (2022!)
  • NEN 7510
  • ISO 27017/18
  • EU-AVG/GDPR
  • ISO 27701
  • BC 5701
  • ISO 22301
  • ISO 9001
  • ISO 14001
  • TISAX
  • PCI-DSS
  • BIO
  • DigiD
  • IBHO / SURFaudit
  • COBIT
  • NIST CSWP
  • ISAE 3000 / 3401
  • SOC 2
  • NIS 2
  • En meer...

Deze blogs vindt u wellicht ook interessant:

Welk dreigingsmodel gebruikt wordt voor uw scope

Om ervoor te zorgen dat aan alle factoren wordt gedacht tijdens een risicoanalyse, zijn er dreigingsmodellen ontwikkeld. Denk bijvoorbeeld aan RAVIB, OWASP en MAPGOOD. Maar welk dreigingsmodel wordt gebruikt voor uw specifieke scope?

10 februari 2023

Interne audit van ISO normen

Een periodieke interne audit aan de hand van een ISO norm zoals bijvoorbeeld de ISO 9001 of ISO 27001, is noodzakelijk voor het voldoen aan deze normen en biedt het management inzicht in de effectiviteit en kwaliteit van lopende bedrijfsprocessen en...

16 december 2022

Identificeer en beheers risico’s binnen informatiebeveiliging

Het identificeren en beheersen van risico’s en dreigingen blijft een uitdaging voor veel organisaties. In dit blog helpen we u dit proces te verduidelijken.

25 oktober 2022