Nederlands (Dutch):

(Content is van https://samendigitaalveilig.nl - PDF format)


1.2 Informatiebeveiligingsbeleid en bestuurlijke goedkeuring

Het management van de organisatie dient een beleid te formuleren waarin strategische doelstellingen zijn geformuleerd inzake de bescherming van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie tegen cyberdreigingen. Het beleid is akkoord bevonden door het hogere management en gedeeld met medewerkers en andere betrokkenen.

De organisatie dient specifieke beleidsregels te formuleren die gebaseerd zijn op het cyberbeleid en die ondersteuning moeten bieden aan proactieve paraatheid en beveiliging tegen incidenten en cyberdreigingen. De beleidsregels geven duidelijkheid over standaardpraktijken zoals toegangsbeveiliging, applicatiebeheer, IT-beheer, netwerkbeheer en back-up-beheer. De beleidsregels zijn goedgekeurd door geschikt management en gecommuniceerd aan relevante medewerkers.


Doel

Voorkomen dat er informatiebeveiligingsincidenten optreden doordat medewerkers te weinig urgentie voelen en kaders meekrijgen voor het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie tegen cyberdreigingen.


Focuspunten

  • Ontwikkel een gedetailleerd informatiebeveiligingsbeleid dat standaardpraktijken en procedures omvat. Dit beleid moet formeel goedgekeurd worden door het management en gedeeld worden met alle betrokkenen.
  • Zorg voor regelmatige updates, wachtwoordwijzigingen, installatiebeheer, toegangsbeperkingen en data-backups. Deze praktijken ondersteunen de proactieve beveiliging tegen incidenten en dreigingen.
  • Definieer duidelijk wie verantwoordelijk is voor het initiëren en beslissen over cybersecuritymaatregelen. Formele bestuurlijke goedkeuring van het beleid is essentieel voor de naleving en implementatie.
  • Het beleid moet regelmatig gecontroleerd en bijgesteld worden, vooral bij belangrijke veranderingen in de organisatie of de externe dreigingsomgeving. Dit garandeert voortdurende effectiviteit en relevantie.

English:

1.2 Information Security Policy and Managerial Approval

The management of the organisation shall establish a policy that defines strategic objectives for protecting the availability, integrity and confidentiality of information against cyber threats. The policy shall be approved by senior management and shared with employees and other relevant parties.

The organisation shall formulate specific policy rules based on the cyber policy, designed to support proactive preparedness and protection against incidents and cyber threats. The policy rules shall provide clarity on standard practices such as access security, application management, IT management, network management and backup management. The policy rules shall be approved by appropriate management and communicated to relevant employees.


Objective

To prevent information security incidents from occurring because employees have insufficient awareness and lack guidelines for protecting the availability, integrity and confidentiality of information against cyber threats.


Focus Points

  • Develop a detailed information security policy covering standard practices and procedures. This policy must be formally approved by management and shared with all relevant parties.
  • Ensure regular updates, password changes, installation management, access restrictions and data backups. These practices support proactive protection against incidents and threats.
  • Clearly define who is responsible for initiating and deciding on cybersecurity measures. Formal managerial approval of the policy is essential for compliance and implementation.
  • The policy must be regularly reviewed and updated, especially following significant changes in the organisation or the external threat environment. This ensures ongoing effectiveness and relevance.

Deutsch (German):

1.2 Informationssicherheitsrichtlinie und Managementgenehmigung

Die Unternehmensleitung hat eine Richtlinie zu erarbeiten, in der strategische Ziele zum Schutz der Verfügbarkeit, Integrität und Vertraulichkeit von Informationen vor Cyberbedrohungen festgelegt sind. Die Richtlinie ist vom Top-Management genehmigt und an Mitarbeiter sowie weitere Beteiligte kommuniziert worden.

Das Unternehmen hat spezifische Regelwerke zu erarbeiten, die auf der Cyberrichtlinie basieren und eine proaktive Vorbereitung sowie den Schutz vor Sicherheitsvorfällen und Cyberbedrohungen unterstützen. Die Regelwerke schaffen Klarheit über Standardpraktiken wie Zugriffsschutz, Anwendungsverwaltung, IT-Management, Netzwerkverwaltung und Datensicherung. Die Regelwerke sind von der zuständigen Führungsebene genehmigt und an die relevanten Mitarbeiter kommuniziert worden.


Ziel

Verhinderung von Informationssicherheitsvorfällen, die entstehen, weil Mitarbeiter zu wenig Problembewusstsein haben und keine Leitlinien zum Schutz der Verfügbarkeit, Integrität und Vertraulichkeit von Informationen vor Cyberbedrohungen erhalten.


Schwerpunkte

  • Entwickeln Sie eine detaillierte Informationssicherheitsrichtlinie, die Standardpraktiken und -verfahren umfasst. Diese Richtlinie muss vom Management förmlich genehmigt und an alle Beteiligten weitergegeben werden.
  • Sorgen Sie für regelmäßige Updates, Passwortänderungen, Installationsverwaltung, Zugangsbeschränkungen und Datensicherungen gemäß den Anforderungen des BSI IT-Grundschutzes. Diese Praktiken unterstützen den proaktiven Schutz vor Vorfällen und Bedrohungen.
  • Legen Sie klar fest, wer für die Initiierung und Entscheidung über Cybersicherheitsmaßnahmen verantwortlich ist. Die förmliche Genehmigung der Richtlinie durch das Management ist für die Einhaltung und Umsetzung im Sinne der DSGVO unerlässlich.
  • Die Richtlinie muss regelmäßig überprüft und aktualisiert werden, insbesondere nach wesentlichen Änderungen im Unternehmen oder im externen Bedrohungsumfeld. Dies gewährleistet eine dauerhafte Wirksamkeit und Relevanz.

Español (Spanish):

1.2 Política de Seguridad de la Información y Aprobación Directiva

La dirección de la organización debe elaborar una política en la que se establezcan los objetivos estratégicos para la protección de la disponibilidad, integridad y confidencialidad de la información frente a las ciberamenazas. La política ha de ser aprobada por la alta dirección y comunicada a los empleados y demás partes interesadas.

La organización debe formular normas de política específicas basadas en la política de ciberseguridad, destinadas a apoyar la preparación proactiva y la protección frente a incidentes y ciberamenazas. Las normas de política deben aclarar las prácticas estándar, como la seguridad de acceso, la gestión de aplicaciones, la gestión de TI, la gestión de redes y la gestión de copias de seguridad. Las normas de política han de ser aprobadas por la dirección competente y comunicadas a los empleados pertinentes.


Objetivo

Prevenir que se produzcan incidentes de seguridad de la información como consecuencia de que los empleados tengan poca concienciación y carezcan de directrices para proteger la disponibilidad, integridad y confidencialidad de la información frente a las ciberamenazas, de conformidad con el Esquema Nacional de Seguridad (ENS).


Puntos de enfoque

  • Desarrolle una política detallada de seguridad de la información que abarque las prácticas y procedimientos estándar. Esta política debe ser aprobada formalmente por la dirección y compartida con todas las partes interesadas.
  • Garantice actualizaciones periódicas, cambios de contraseña, gestión de instalaciones, restricciones de acceso y copias de seguridad de datos conforme al ENS. Estas prácticas apoyan la protección proactiva frente a incidentes y amenazas.
  • Defina claramente quién es responsable de iniciar y decidir sobre las medidas de ciberseguridad. La aprobación formal de la política por parte de la dirección es esencial para su cumplimiento e implementación, en línea con el RGPD.
  • La política debe revisarse y actualizarse periódicamente, especialmente tras cambios importantes en la organización o en el entorno de amenazas externas. Esto garantiza una eficacia y relevancia continuas.