Besluit voorschrift informatiebeveiliging rijksdienst 2007

Artikel 1 Begripsbepalingen In dit besluit wordt verstaan onder: a. Informatiebeveiliging: het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen; b. Informatiesysteem: een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie. 2007 122 28-06-2007 20-06-2007 2007 122 28-06-2007 20-06-2007 01-07-2007

Artikel 2 Plaatsbepaling en reikwijdte 1 Dit voorschrift geldt voor de Rijksdienst waartoe gerekend worden de Ministeries met de daaronder ressorterende diensten, bedrijven en instellingen. 2 Dit voorschrift geldt voor het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. 3 Informatiebeveiliging is een lijnverantwoordelijkheid en vormt een onderdeel van de kwaliteitszorg voor bedrijfs- en bestuursprocessen en de ondersteunende informatiesystemen. 2007 122 28-06-2007 20-06-2007 2007 122 28-06-2007 20-06-2007 01-07-2007

Artikel 3 Informatiebeveiligingsbeleid De secretaris-generaal van een Ministerie stelt het informatiebeveiligingsbeleid vast, draagt dit uit en legt verantwoording hierover af. Het beleid omvat ten minste: a. De strategische uitgangspunten en randvoorwaarden die het Ministerie hanteert voor informatiebeveiliging en in het bijzonder de inbedding in, en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid; b. De organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, taken en bevoegdheden; c. De toewijzing van de verantwoordelijkheden voor ketens van informatiesystemen aan lijnmanagers; d. De gemeenschappelijke betrouwbaarheidseisen en normen die op het Ministerie van toepassing zijn; e. De frequentie waarmee het informatiebeveiligingsbeleid wordt geëvalueerd; f. De bevordering van het beveiligingsbewustzijn; 2007 122 28-06-2007 20-06-2007 2007 122 28-06-2007 20-06-2007 01-07-2007

Artikel 4 Verantwoordelijkheden lijnmanagement Het lijnmanagement is verantwoordelijk voor de beveiliging van zijn informatiesystemen. Het lijnmanagement: a. Stelt op basis van een expliciete risico afweging de betrouwbaarheidseisen voor zijn informatiesystemen vast; b. Is verantwoordelijk voor de keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen; c. Stelt vast dat de getroffen maatregelen aantoonbaar overeenstemmen met de betrouwbaarheidseisen en dat deze maatregelen worden nageleefd; d. Evalueert periodiek het geheel van betrouwbaarheidseisen en beveiligingsmaatregelen en stelt deze waar nodig bij. 2007 122 28-06-2007 20-06-2007 2007 122 28-06-2007 20-06-2007 01-07-2007

Artikel 5 Slotbepaling 1 Besluit voorschrift informatiebeveiliging rijksdienst 1994 Hetwordt ingetrokken. 2 Dit besluit treedt in werking met ingang van 1 juli 2007. 3 Dit besluit wordt aangehaald als het Besluit voorschrift informatiebeveiliging rijksdienst 2007. 2007 122 28-06-2007 20-06-2007 2007 122 28-06-2007 20-06-2007 01-07-2007