Informatiebeveiligingsbeleid
Het ontbreken van een vertaling van het strategisch informatiebeveiligingsbeleid naar een informatiebeveiligingsplan; geadviseerd wordt een plan van aanpak te maken waarin op basis van prioriteit en tijdslijnen belangrijke aandachtspunten worden opgevolgd.
Hoe staat het met de planning?
In 2023 is gestart met het ISMS tool (Information Security Management Systeem), door de status van de ENSIA-zelfevaluatie in te vullen. Hierdoor werd inzichtelijk aan welke normen/maatregelen ( nog) niet werd voldaan. Helaas is deze ISMS-tool niet echt geschikt om acties te laten uitvoeren, omdat de nog te nemen maatregelen niet tot de verbeelding spreken van de proceseigenaar. Hiervoor is een vertaalslag nodig van de Informatiebeveiligingsfunctionaris.
Eind 2024 is gestart met het informatiebeveiligingsplan, waarin in hoofdlijnen wordt aangeven welke activiteiten de komende jaren moeten worden uitgevoerd.
Wat zijn de mijlpalen en risico's?
Het Informatiebeveiligingsplan is in 2025-Q1 vastgesteld, waarna de proceseigenaren hun eigen detailplanning kunnen maken.
Door het niet hebben van een planning bestaat de kans dat beveiligingsmaatregelen over het hoofd worden gezien en dat er geen inzicht is over de voortgang hiervan.
Er is een informatiebeveiligingscommissie ingesteld.