OD.16

Er zijn regels voor het aanvaardbaar gebruik van en procedures voor het omgaan met informatie en gerelateerde bedrijfsmiddelen geïdentificeerd, gedocumenteerd en geïmplementeerd.

Er is een informatieveiligheidsbeleid gedefinieerd.

Er zijn beleidsregels gedefinieerd per specifiek beleidsdomein, goedgekeurd door het management en gepuliceerd.

De beleidsregels zijn gecommuniceerd aan en gekend door alle relevante medewerkers en belanghebbenden.

De beleidsregels worden met geplande tussenpozen of na significante wijzigingen beoordeeld.

Medewerkers van de organisatie en relevante belanghebbenden krijgen een passende bewustwording of opleiding en training van informatiebeveiliging, voor zover relevant voor hun functie.

Medewerkers van de organisatie en relevante belanghebbenden, krijgen regelmatige updates over het informatieveiligheidsbeleid en de procedures van de organisatie, voor zover relevant voor hun functie.

Er is contact gelegd met relevante overheidsinstanties en de contacten met deze instanties worden onderhouden.

Er zijn contacten gelegd met speciale belangengroepen, of andere gespecialiseerde beveiligingsfora en beroepsverenegingen en de contacten met deze instanties worden onderhouden.

Conflicterende taken en verantwoordelijkheden zijn gescheiden.

Operationele procedures voor informatieverwerkende faciliteiten zijn gedocumenteerd, deze procedures zijn beschikbaar gesteld aan de medewerkers die ze nodig hebben.

Er zijn passende procedures geïmplementeerd om intellectuele eigendomsrechten te beschermen.

Het management stuurt erop aan dat alle medewerkers informatiebeveiliging toepassen overeenkomstig het vastgestelde informatieveiligheidsbeleid, de specifieken beleidsdomeinen en de procedures van de organisatie.

Rollen en verantwoordelijkheden voor informatiebeveiliging zijn gedefinieerd en toegewezen in overeenstemming met de behoeften van de organisatie.