“Informatie betreft alle gegevens van en informatie over het bedrijf, dus ongeacht het medium waarop deze opgeslagen wordt en ongeacht de presentatie ervan. Bij de bescherming van informatie worden maatregelen getroffen om verlies van het gewenste niveau van beschikbaarheid, integriteit en vertrouwelijkheid van informatie te voorkomen.” (Uit: Beleidsuitgangspunten voor het omgaan met informatie – Gasunie)

 

 

Bedrijfsspecifieke informatie is iets waar je voorzichtig mee omgaat. Je wilt immers niet dat het in de verkeerde handen terecht komt. Een informatiebeveiligingsbeleid mag in jouw organisatie dan ook niet ontbreken. Maar informatie is er in overvloed en kan meer of minder gevoelig of kritisch zijn. Om medewerkers duidelijkheid te geven over de richtlijnen bij het gebruik, delen of vernietigen van bepaalde informatie zorg je voor een classificatie systeem. Gasunie, deelnemer in de IT/OT Security Supportgroep, maakt gebruik van een informatiebeveiligingsbeleid met classificatiematrix zodat er geen verwarring kan ontstaan over het omgaan met bedrijfsinformatie. Het is een effectief hulpmiddel, dat ook voor andere bedrijven een uitkomst kan bieden.

Belang van classificatie

Het beleid voor hoe om te gaan met informatie richt zich enerzijds op het beschermen van informatie, maar anderzijds ook op het compliant zijn met wet- en regelgeving. De beleidsuitgangspunten van Gasunie zijn dan ook gebaseerd op verschillende brondocumenten, waaronder de AVG (Algemene Verordening Gegevensbescherming).

Eric ter Veld (ICT Security Manager Gasunie): Denk als bedrijf aan richtlijnen voor classificering, spelregels zijn nodig!

Bij het treffen van maatregelen op basis van informatieclassificatie wordt er gezocht naar een goede balans van risico’s, maatregelen en kosten. Met behulp van classificatie kunnen de juiste maatregelen getroffen worden, waardoor inbreuken op de veiligheid worden voorkomen met een beperkte inzet van middelen. Het uitgangspunt van Gasunie is om te streven naar een zo laag mogelijk classificatieniveau. Te hoge classificering leidt tot onnodige kosten. Daarnaast zijn maatregelen gericht op eenvoud en praktisch in gebruik om zo optimaal ondersteunend te zijn voor de organisatie.

Classificatieniveaus en maatregelen

Er worden vijf verschillende classificatieniveaus onderscheiden: publieke (of openbare) informatie, intern algemeen, intern specifiek, vertrouwelijke informatie en geheim. Degene die de informatie ontvangt of creëert, bepaalt de classificatie conform de daarvoor geldende definities zoals in het beleidsdocument omschreven. Het classificeren is geen exacte wetenschap. Omdat het vaststellen van waarde niet altijd meetbaar is, is de toekenning van een classificatieniveau soms arbitrair. Er dient dan een afweging gemaakt te worden tussen de waarde en het risico van verlies. Een relevante vraag daarbij is, wat betekent het voor de organisatie als deze informatie morgen in de krant zou staan?

Voor het toekennen van het juiste classificatieniveau is het belangrijk om te onthouden dat de waarde van informatie (en daarmee de classificatie) in de tijd kan veranderen. Een jaarverslag is bijvoorbeeld tot het moment van publicatie vertrouwelijk, maar daarna publieke informatie.

De classificatiematrix, die als bijlage aan het informatiebeveiligingsbeleid wordt toegevoegd, laat in één oogopslag zien hoe om te gaan met informatie. In de matrix wordt met voorbeelden aangegeven welke informatie onder een bepaald classificatieniveau valt. Daarnaast zijn er per classificatieniveau maatregelen weergegeven voor de volgende handelingen: creëren/ontvangen, bewerken/opslaan, delen, archiveren en vernietigen.

Een ketting is zo sterk als de zwakste schakel

Maatregelen, beleidsdocumenten en aandacht voor het belang van informatiebeveiliging helpen om informatie zo optimaal mogelijk te beschermen. Toch heeft de mens een cruciale rol. Daarom wordt in het informatiebeveiligingsbeleid van Gasunie ook specifiek stilgestaan bij het omgaan met internet, social media, Cloud diensten en mobile apparaten. Clean desk aanwijzingen en controles horen daar ook bij.

Iedereen is verantwoordelijk voor een juiste omgang met informatie. Door gebruik van een informatiebeveiligingsbeleid met classificatieniveaus zoals bij Gasunie worden twijfel en verwarring bij medewerkers weggenomen, en kun je collega’s beter aanspreken op een verkeerde omgang met informatie.

Gasunie heeft een template van het informatiebeveiligingsbeleid met classificatiecategorieën beschikbaar gesteld voor NPAL deelnemers. Mocht je daarin geïnteresseerd zijn, stuur dan een reactie naar info@npal.nl.