IM_IS.03

Het informatieveiligheidsbeleid MOET jaarlijks worden beoordeeld en zo nodig geactualiseerd om te zorgen dat het beleid afgestemd blijft op veranderende bedrijfsbehoeften, nieuwe risico's en technologische evoluties. De beheerder van het informatieveiligheidsbeleid onder leiding van de CISO is verantwoordelijk voor het opstellen, onderhouden en actualiseren van het beleid, en het directiecomité ZAL het beleid goedkeuren voordat het wordt vrijgegeven.

Het informatieveiligheidsbeleid en de maatregelen MOETEN worden beoordeeld:

• In samenhang met veranderingen in wet- en regelgeving of beleid die gevolgen hebben voor de informatieveiligheid.

• Bij het plannen en implementeren van nieuwe of ingrijpend gewijzigde technologie.

• Na een dreiging- en risicobeoordeling van belangrijke veranderingen (bijvoorbeeld nieuwe informatiesystemen of overeenkomsten).

• Wanneer uit auditverslagen of beoordelingen van beveiligingsrisico's blijkt dat informatiesystemen een hoog risico met zich meebrengen.

• Wanneer trends in dreigingen of kwetsbaarheden wijzen op een aanzienlijk verhoogd risico.

• Na ontvangst van het eindverslag van het onderzoek naar beveiligingsincidenten.

• Alvorens toegangsovereenkomsten met externe partijen te verlengen die betrekking hebben op belangrijke producten of diensten.

• Wanneer industriële, nationale of internationale standaarden voor informatieveiligheid worden ingevoerd of aanzienlijk worden herzien om nieuwe bedrijfs- en technologische aspecten aan te pakken.

• Wanneer externe instanties verslagen uitbrengen of nieuwe trends met betrekking tot informatieveiligheid vaststellen.

Algemene beleidsregels

1 2 3 4 5

BESCHIKBAARHEID INTEGRITEIT VERTROUWELIJKHEID

PREVENTIEF

IDENTIFICEREN