|
CODE VOOR INFORMATIEBEVEILIGING 2000 MEER TOEGESPITST OP INTERNETDe meeste beveiligingsincidenten binnen bedrijven worden niet door hackers veroorzaakt, maar door de eigen medewerkers in de omgang met de gebrekkige techniek. Deze conclusie valt tussen de regels door op te maken uit de nieuwe Code voor Informatiebeveiliging 2000. De Code voor Informatiebeveiliging dateert uit 1994 en is de vertaling van de Engelse Code of Practice for Information Security Management (BS 7799). De Code biedt het management principes ter bescherming van informatie binnen bedrijven. Niet alleen de beveiliging van computers en netwerken komt daarbij aan bod, maar ook de informatie die is opgeslagen in papieren documenten, op video, in antwoordapparaten en organizers. De kern van de Code bestaat uit 8 essentiële maatregelen, 10 hoofdcategorieën, 36 doelstellingen en 125 maatregelen. De 2000-versie is op een aantal punten wat bijgeschaafd en uitgebreid met een extra deel over managementsystemen. Vooral opvallend is dat de Code meer is toegespitst op internet en telecommunicatie: - kantoorsystemen (agendabeheer, e-mail, teleconferencing)
- telewerken, laptops, organizers en mobiele telefoons,
- e-commerce en aanbieden van diensten op Internet,
- nieuwe authenticatiemiddelen zoals tokens en certificaten,
- kwaadaardige software.
De Code voor Informatiebeveiliging is veeleisend. Implementatie vergt doorgaans vele jaren en ondersteuning van externe auditors. Van de grote bedrijven gebruikt momenteel ongeveer een kwart de Code. Dat is weinig, maar ten opzichte van twee jaar geleden toch nog een toename van 75 procent. Het Nederlands Normalisatie Instituut (NNI), in Nederland de uitgever van de Code, organiseert een cursus om bedrijven op gang te helpen. De site Informatiebeveiliging.NL, een initiatief van het Nationaal Platform Criminaliteitsbeheersing (NPC), biedt achtergrondartikelen over het opzetten van een beveiligingsbeleid binnen het bedrijf.
(2 november 2000)
|
