Hoe maak ik een ICT beleidsplan?

Wat is een ICT beleidsplan?

Het IT-beleid van een organisatie definieert regels, voorschriften en richtlijnen voor het juiste gebruik en onderhoud van technologische middelen. Het bevat onder meer ethisch verantwoorde procedures voor systeem- en gegevensbeveiliging.

Waarom zijn beleidsregels belangrijk?

1. IT-beleid is gericht op het beschermen van gegevens tegen openbaarmaking, ongeoorloofde toegang, verlies, corruptie en inmenging.

• Gevoelige data is vertrouwelijk en ontoegankelijk voor onbevoegde personen, entiteiten of processen.
• Gegevens mogen niet op een ongeoorloofde manier worden gewijzigd of vernietigd.
• Data moet op verzoek van geautoriseerde entiteiten toegankelijk en bruikbaar zijn.

2. IT-beleidsregels kunnen online bedrijfsactiviteiten ondersteunen. Denk bijvoorbeeld aan een transactieprotocol voor goederen of diensten.

3. Zonder gedocumenteerd beleid en procedures ontwikkelt iedere medewerker een eigen perceptie van aanvaardbaar gebruik van middelen. Dit resulteert in ad hoc en inconsistent systeembeheer. Het personeel weet niet of het binnen de risicobereidheid van de organisatie handelt. Richtlijnen definiëren efficiënt en effectief systeemgebruik.

4. Gedocumenteerd beleid en procedures nemen giswerk omtrent informatiebeveiliging weg. Het helpt een organisatie bedrijfsrisico's te beheren met richtlijnen voor controle en herstel.

5. Het aantal cyberaanvallen neemt toe, zowel in aantal als in complexiteit. Beveiligingsbeleid moet worden opgesteld om systemen en IT-middelen te beschermen.

Format

Het doel en de reikwijdte van een IT-beleid hang af van het type bedrijf en de aard van de gegevens die moeten worden verwerkt. Belangrijke onderdelen van een gestructureerd plan:

• Richtlijnen voor toelaatbaar gebruik van IT middelen.
• Bepalingen voor de omgang met vertrouwelijke gegevens. Welke informatie wordt als gevoelig beschouwd?
• Procedures voor netwerktoegang over onder meer wachtwoorden, firewalls, hardware, draadloos netwerkgebruik en veilige toegang voor mobiele apparaten.
• Regels voor het gebruik van het e-mailsysteem om beveiligingsrisico's en -incidenten te beperken.
• Consistente normen voor het selecteren van ‘sterke' en vertrouwelijke wachtwoorden.
• Beleid voor de manier waarop fysieke apparaten worden gebruikt en vervoerd.
• Een stappenplan voor gebruik bij hacks en datalekken. Welke partijen moeten worden gewaarschuwd? Hoe wordt de impact op de netwerk- en data-integriteit geminimaliseerd? Wat zijn de procedures voor systeemherstel en schadebeperking?

Breng je personeel op de hoogte

Het opstellen van een robuust IT-beleid is een grote stap richting een veiligere en toekomstgerichte aanpak. Werknemers moeten doordrongen zijn van de rol die zij hierin spelen. Elk nieuw IT-beleid moet daarom gepaard gaan met opleidingsinitiatieven.

Iedereen binnen een organisatie moet de principes van het beleidsplan van voor tot achter kennen en begrijpen. Eén geval van nalatigheid kan immers al een potentieel kritieke zwakte veroorzaken in de beveiliging van je bedrijf. Train je personeel om problemen te voorkomen. Bescherm je reputatie. Laat zien dat jouw organisatie vertrouwelijke gegevens op een veilige en betrouwbare manier beheert.