Besluit voorschrift informatiebeveiliging rijksdienst 2007

Geraadpleegd op 11-10-2024.
Geldend van 01-07-2007 t/m heden

Besluit voorschrift informatiebeveiliging rijksdienst 2007

De Minister-President, Minister van Algemene Zaken,

Handelend in overeenstemming met het gevoelen van de Ministerraad;

Besluit:

Artikel 1. Begripsbepalingen

In dit besluit wordt verstaan onder:

  • a. Informatiebeveiliging: het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen;

  • b. Informatiesysteem: een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.

Artikel 2. Plaatsbepaling en reikwijdte

  • 1 Dit voorschrift geldt voor de Rijksdienst waartoe gerekend worden de Ministeries met de daaronder ressorterende diensten, bedrijven en instellingen.

  • 2 Dit voorschrift geldt voor het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie.

  • 3 Informatiebeveiliging is een lijnverantwoordelijkheid en vormt een onderdeel van de kwaliteitszorg voor bedrijfs- en bestuursprocessen en de ondersteunende informatiesystemen.

Artikel 3. Informatiebeveiligingsbeleid

De secretaris-generaal van een Ministerie stelt het informatiebeveiligingsbeleid vast, draagt dit uit en legt verantwoording hierover af. Het beleid omvat ten minste:

  • a. De strategische uitgangspunten en randvoorwaarden die het Ministerie hanteert voor informatiebeveiliging en in het bijzonder de inbedding in, en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid;

  • b. De organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, taken en bevoegdheden;

  • c. De toewijzing van de verantwoordelijkheden voor ketens van informatiesystemen aan lijnmanagers;

  • d. De gemeenschappelijke betrouwbaarheidseisen en normen die op het Ministerie van toepassing zijn;

  • e. De frequentie waarmee het informatiebeveiligingsbeleid wordt geëvalueerd;

  • f. De bevordering van het beveiligingsbewustzijn;

Artikel 4. Verantwoordelijkheden lijnmanagement

Het lijnmanagement is verantwoordelijk voor de beveiliging van zijn informatiesystemen. Het lijnmanagement:

  • a. Stelt op basis van een expliciete risico afweging de betrouwbaarheidseisen voor zijn informatiesystemen vast;

  • b. Is verantwoordelijk voor de keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen;

  • c. Stelt vast dat de getroffen maatregelen aantoonbaar overeenstemmen met de betrouwbaarheidseisen en dat deze maatregelen worden nageleefd;

  • d. Evalueert periodiek het geheel van betrouwbaarheidseisen en beveiligingsmaatregelen en stelt deze waar nodig bij.

Artikel 5. Slotbepaling

  • 2 Dit besluit treedt in werking met ingang van 1 juli 2007.

  • 3 Dit besluit wordt aangehaald als het Besluit voorschrift informatiebeveiliging rijksdienst 2007.

Dit besluit zal met toelichting in de Staatscourant worden geplaatst.

Den Haag, 20 juni 2007

De

Minister-President, Minister

van Algemene Zaken,

J.P. Balkenende