Om te bepalen waar de informatiebeveiligingsrisico’s liggen dient er vastgesteld te worden hoe de informatiestromen binnen de organisatie lopen. Hierbij dient per functie vastgesteld te worden van welke informatiedragers zij gebruik maken en wat voor type informatie dat betreft.
Voor het vaststellen van informatiestromen kan gedacht worden aan:
Per informatiestroom wordt beoordeeld wat de impact is op de bedrijfscontinuïteit indien de beschikbaarheid, integriteit en/of vertrouwelijkheid van de informatie in het geding komt. De bedrijfskritische documenten en systemen worden vastgesteld. Waarbij er wordt beoordeeld of de informatie(drager) openbaar, intern, vertrouwelijk of geheim moet zijn.
Beschrijft hoeveel en wanneer data toegankelijk is en kan worden gebruikt
Beschrijft de bevoegdheden en de mogelijkheden tot muteren, kopiëren, toevoegen, vernietigen of kennisnemen van informatie voor een gedefinieerde groep van gerechtigden.
Gaat over het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen (juistheid, volledigheid en tijdigheid).
Uit het informatieclassificatieschema (B-410a) blijkt welke gevoeligheid de informatiestroom heeft. Bij deze gevoeligheid hoort een bepaalde set aan veiligheidsmaatregelen. Bij het vaststellen van de beveiligingsmaatregelen wordt minimaal voldaan aan maatregelen gesteld in wet- en regelgeving. De beveiligingsmaatregelen zijn integraal onderdeel van het informatie managementsysteem.
In het hoofdstuk ‘’Toelichting informatieclassificatie’’ van het informatiebeveiligingsprotocol (B-010d) zijn instructies opgenomen hoe we binnen Jump omgaan met geclassificeerde informatie.
Per informatiestroom uit het informatieclassificatieschema (B-410a) wordt bepaald per rol in de organisatie of deze betreffende persoon de informatie mag inzien, bewerken and/or verspreiden. Indien mogelijk worden er gebruikersgroepen ingericht waar de betreffende medewerker wordt ingedeeld. Bij het uitdiensttreden verwijderd de systeembeheerder de toegangsrechten van de medewerker. Bij wijzigingen in functies zorgt de systeembeheerder ervoor dat op basis van het functieprofiel, de medewerker de juiste toegangsrechten toebedeelt krijgt.
Informatie binnen Jump is niet specifiek gelabeld (op documentniveau). Op basis van functieprofielen wordt de toegang tot informatie gespecificeerd. Alle informatie die door een externe persoon als 'vertrouwelijk' of 'geheim' is geclassificeerd, heeft de juiste beschermingsmaatregelen gekregen en is daarom alleen toegankelijk voor de functies die op het classificatieschema staan vermeld.
Om informatie te beschermen zijn er verschillende maatregelen rondom het gebruik van encryptie.
Interne systemen:
Klantomgevingen:
Uitwisselen van informatie:
In het informatiebeveiligings protocol (B-010d) vindt je meer informatie over het eisen voor het toepassen van de verschillende maatregelen.
Medewerkers dienen alle brieven, papier en overige fysieke informatie die vernietigd dient te worden gedeponeerd in de shredder.