Strategisch informatiebeveiligingsbeleid

Bijgewerkt op 17/02/2026

Inleiding

Onderwerp

Het onderliggende document bevat het Strategisch informatiebeveiligingsbeleid (Strategisch PSSI) van de BODET SA groep. 

Het strategisch informatiebeveiligingsbeleid is goedgekeurd door de Algemeen Directeur en bevat: 

  • De strategische uitdagingen en doelstellingen op het gebied van informatiebeveiliging;
  • De bestuur principes van Informatiebeveiliging (IB);
  • De engagementen van de Algemene Directie om de duurzaamheid, effectiviteit en voortdurende verbetering van het beveiligingssysteem te waarborgen. 

Het Strategisch Informatiebeveiligingsbeleid wordt aangevuld met een Operationeel Informatiebeveiligingsbeleid, dat alle thematische vereisten omvat met betrekking tot de fysieke, logische, organisatorische en menselijke beveiliging van het informatiesysteem. 

Verspreidingscriteria

De documentatie van het van het Informatiebeveiligingsbeleid wordt verspreid volgens het “need-to-know”-principe.

  • Het Strategisch Informatiebeveiligingsbeleid kan extern in volledige vorm worden verspreid. Het vertegenwoordigt de verplichtingen van de Bodet Groep met betrekking tot Informatiebeveiliging (IB). 
  • Het Operationeel Informatiebeveiligingsbeleid is primair bestemd voor intern gebruik. Relevante fragmenten kunnen worden gedeeld met externe belanghebbenden (klanten, partners, autoriteiten) die te maken hebben met contractuele of regelgevende vereisten. 
  • De bijbehorende procedures worden intern doelgericht verspreid. 

Elk document vermeldt expliciet de lijst van geautoriseerde verspreiding. Indien vereist om redenen van vertrouwelijkheid, mogen alleen relevante fragmenten worden gedeeld.

Toepassingsgebied

Het Strategische Informatiebeveiligingsbeleid is van toepassing op:

  • Het volledige Informatie­systeem van de Bodet Groep, in al zijn componenten;
  • Alle medewerkers, leidinggevenden, werknemers, uitzendkrachten en stagiairs;
  • Alle dienstverleners, partners en derden die toegang hebben tot het informatiesysteem of informatie verwerken onder verantwoordelijkheid van de Groep.

Het Informatie­systeem wordt opgevat als alle middelen die het mogelijk maken informatie te creëren, verwerven, verwerken, opslaan, verzenden of vernietigen, ongeacht de dragers, technologieën of locaties. 

Beveiligingsreferenties

De Bodet Groep volgt een aanpak die in lijn is met de volgende referenties: 

  • De norm ISO/IEC 27001 (2022); 
  • De Gids voor computerhygiëne ), van ANSSI (42 maatregelen); 
  • De AVG (GDPR)RGPD en de vereisten van de CNIL; 
  • De toepasselijke wettelijke en contractuele verplichtingen voor haar activiteiten (RED2, CRA, NIS2). 
  • Het Esquema Nacional de Seguridad (ENS) (ENS) 

Woordenlijst

  • Authenticiteit: Eigenschap of kenmerk waardoor een entiteit is wat ze beweert te zijn of de bron van gegevens garandeert. 
  • Medewerker: Iedere persoon die bijdraagt aan de activiteiten van de Groep en toegang heeft tot het informatiesysteem (werknemer, student/stagiair, uitzendkracht, enz.). 
  • Vertrouwelijkheid: Zorgt ervoor dat informatie alleen toegankelijk is voor personen die deze kennis nodig hebben in het kader van hun werk
  • Regelgevende naleving: Eigenschap die garandeert dat informatie wordt beheerd in overeenstemming met ethische, professionele en wettelijke principes zoals vastgesteld door de toepasselijke regelgeving in elke context. 
  • Beschikbaarheid: Zorgt ervoor dat gegevens toegankelijk en bruikbaar zijn voor de entiteiten op het gewenste moment en met de gewenste prestaties. 
  • Informatie: Alle gegevens die eigendom zijn van de Groep of door een klant zijn toevertrouwd, ongeacht het formaat (papier, digitaal, mondeling). 
  • Integriteit: Zorgt ervoor dat de verwerkte gegevens nauwkeurig en consistent zijn, zowel bij invoer als uitvoer, en dat de gegevens geen ongewenste wijzigingen ondergaan tijdens verwerking of opslag. 
  • Software: Elk programma of uitvoerbaar bestand dat bijdraagt aan de verwerking van informatie (besturingssysteem, supervisiesoftware, kantoortoepassing, bedrijfsapplicatie, enz.). 
  • Hardware: Elk programma of uitvoerbaar bestand dat bijdraagt aan de verwerking van informatie (besturingssysteem, supervisiesoftware, kantoortoepassing, bedrijfsapplicatie, enz.). 
  • Informatiebeveiligingsbeleid: Alle richtlijnen die de verplichtingen, doelstellingen en regels van de Groep op het gebied van informatiebeveiliging definiëren. 
  • Netwerk: Elke vorm van interconnectie van de hardware- en softwarecomponenten van het informatiesysteem die gegevensuitwisseling mogelijk maakt (gespecialiseerde lijn, telefoonnetwerk, Internet, VPN, intersite-verbindingen). 
  • Locatie/Site: Elke fysieke locatie die door de Groep wordt geëxploiteerd (kantoren, fabrieken, datacenters, enz.). 
  • Information Security Management System (ISMS): Alle richtlijnen die de verplichtingen, doelstellingen en regels van de Groep op het gebied van informatiebeveiliging definiëren. 
  • Systeem voor gegevensbeschermingsbeheer (SMPD): Een reeks organisatorische maatregelen die door een onderneming worden toegepast om te waarborgen dat persoonsgegevens worden verwerkt in overeenstemming met de regelgeving inzake gegevensbescherming. Gebaseerd op de vereisten van de AVG (GDPR), is dit een interne richtlijn die helpt bij het garanderen van naleving en, indien nodig, bewijs levert. Dit beheersysteem is voornamelijk gericht op het voorkomen van schendingen, maar kan deze ook achteraf corrigeren of weerleggen. 
  • Traceerbaarheid: Zorgt voor bewijs van het plaatsvinden van een gebeurtenis of actie in het informatiesysteem, evenals van de betrokken entiteiten of personen.

De activiteiten van de Bodet Groep vinden plaats in een omgeving die wordt beïnvloed door cyberdreigingen.

Context van cyberveiligheid

De digitalisering van toepassingen biedt tal van voordelen, zowel voor burgers als voor bedrijven, doordat het innovatie en de ontwikkeling van nieuwe economische kansen bevordert. Tegelijkertijd leidt het tot een grotere afhankelijkheid van kritieke infrastructuren en een complexe onderlinge verbondenheid, waardoor de maatschappij en organisaties worden blootgesteld aan steeds geavanceerdere cyberaanvallen.

De cyberespace is uitgegroeid tot een arena van competitie en confrontatie, die de geopolitieke spanningen en internationale rivaliteiten weerspiegelt. Frankrijk, net als andere landen, wordt geconfronteerd met een intense en brede cyberdreiging, afkomstig van staten, cybercriminelen, activisten of combinaties van deze actoren.

Deze cyberaanvallen kunnen worden gemotiveerd door economische, politieke, militaire of ideologische redenen. Zij kunnen de werking van de maatschappij verstoren, de nationale veiligheid bedreigen en belangrijke economische verliezen veroorzaken, waardoor de toeleveringsketens en de continuïteit van de activiteiten van organisaties worden beïnvloed.

Cyberaanvallen nemen vele vormenaan, van spionage tot sabotage, van afpersing tot subversie. Ze manifesteren zich onder andere door de opkomst van cybercriminaliteit en de proliferatie van intrusieve cybertools. Kritieke infrastructuren, inclusief clouddiensten die gevoelige gegevens en strategische applicaties hosten, zijn bijzonder kwetsbaar..

De opkomst van — baanbrekende technologieën — kunstmatige intelligentie, blockchain, kwantumcomputing — vergroot de risico’s doordat sommige huidige beschermingen verouderd raken en het dreigingslandschap complexer wordt.

Activiteiten van de Groep

De BODET Groep ontwerpt en produceert software en apparatuur voor haar klanten. Ze levert deze producten, installeert ze bij de klanten en verzorgt reparaties en hotline-ondersteuning.

De Groep is daardoor in aanraking met gevoelige informatie, zoals

  • Onderzoeks- en ontwikkelingsgegevens;
  • Gegevens voor het besturen van industriële productie;
  • LPersoonsgegevens van derden (klanten, leveranciers enz.);
  • Persoonsgegevens van haar medewerkers;

Deze informatie is onmisbaar voor het goed functioneren van de Groep.

Strategieën, uitdagingen en beveiligingsdoelstellingen

Strategische assen

De Bodet Groep streeft ernaar haar leiderspositie in elk van haar activiteiten te consolideren, met het waarborgen van klanttevredenheid.

In een steeds meer onderling verbonden en gedigitaliseerde wereld zijn bedrijven gevoeliger voor cyberdreigingen (ransomware, phishing, website-defacement, enz.), en is Informatiebeveiliging essentieel voor de Bodet Groep om haar ontwikkeling te waarborgen.

De Bodet Groep wordt blootgesteld aan cyberrisico’s die de volgende aspecten kunnen beïnvloeden:

  • De vertrouwelijkheid, integriteit, beschikbaarheid, authenticiteit, traceerbaarheid en regelgevende naleving van bedrijfsgegevens en klantinformatie;
  • De vertrouwelijkheid, integriteit, beschikbaarheid, authenticiteit, traceerbaarheid en regelgevende naleving van bedrijfsgegevens en klantinformatie;
  • Haar reputatie en positie op nationale en internationale markten.

Het succes van de Groep hangt daarom af van de algehele beveiliging van haar informatiesysteem. Cybersecurity is een onmisbaar element, uitgevoerd via het Informatiebeveiligingsmanagementsysteem (ISMS / SMSI) en vertaald in het Informatiebeveiligingsbeleid (PSSI):

  • Cyberrisico’s anticiperen en verminderen;
  • Voldoen aan wettelijke, regelgevende en contractuele verplichtingen;
  • Beschermen van informatie- en digitale activa;
  • Zorgen voor continuïteit en veerkracht van de activiteiten.

Beveiligingsuitdagingen

De Bodet Groep wordt geconfronteerd met cruciale beveiligingsuitdagingen die aansluiten bij de strategische richtlijnen:

  • Concurrentievermogen: De beschikbaarheid en betrouwbaarheid van de informatiesystemen garanderen binnen een wereldwijde concurrerende contex.
  • Omgeving: ondersteunen van ISO 14001-gecertificeerde initiatieven via betrouwbare en gecontroleerde systemen.
  • Innovatie: De R&D-activiteiten, bedrijfsgeheimen en het intellectueel eigendom beschermen.
  • Internationaal: De gegevensuitwisseling met filialen, distributeurs en partners in meer dan 110 landen beveiligen.
  • Kwaliteit: Cybersecurity integreren als essentieel onderdeel van de kwaliteit van de producten en diensten, met name in 2026.
  • Reactievermogen: een hoog niveau van beschikbaarheid en klantenondersteuning garanderen.

Operationele doelstellingen

Om deze uitdagingen aan te pakken, garanderen beveiligingsdoelstellingen de behoeften aan vertrouwelijkheid, integriteit, beschikbaarheid en traceerbaarheid van gegevens en hun verwerking. De Bodet Groep verbindt zich hiertoe om:

  • Het informatiesysteem 7 dagen per week en 24 uur per dag veilig te houden;
  • De gegevens van de Groep en haar klanten te beschermen;
  • Een gedeelde cultuur van informatiebeveiliging te bevorderen;
  • Zorg te dragen voor naleving van de wettelijke en regelgevende vereisten;
  • Cyberrisico’s te kennen en te beheersen;
  • De veerkracht van het informatiesysteem bij incidenten te waarborgen;
  • Een beveiligingsniveau vast te stellen bij de integratie van nieuwe verbindingen met het informatiesysteem;
  • Het imago van de gehele Groep te garanderen.

Deze doelstellingen worden thematisch uitgewerkt in het Operationeel Informatiebeveiligingsbeleid. Dit laatste is gebaseerd op de norm ISO 27002:2022, de Gids voor computerhygiëne van ANSSI en best practices op het gebied van informatiebeveiliging.

Governance van de beveiliging van het informatiesysteem

Engagement van de Algemene Directie

De Algemene Directie is zich ervan bewust dat het voortbestaan van de Bodet Groep afhangt van haar vermogen om haar activa te beveiligen tegen bedreigingen die de activiteiten en gegevens van de organisatie kunnen aantasten.

De Directie verankert het Informatiebeveiligingsbeleid (PSSI) in de algemene strategie van de Groep en voorziet de noodzakelijke middelen voor het correcte functioneren van het Informatiebeveiligingsmanagementsysteem (SMSI)

Een gedetailleerde engagementbrief is ondertekend door de Algemene Directie.

Het cybersecuritycomité

Het cybersecuritycomité van de Bodet Groep is verantwoordelijk voor het aansturen en coördineren van acties met betrekking tot de beveiliging van het informatiesysteem, in lijn met de strategische pijlers van de organisatie. Dit comité komt minimaal eenmaal per maand bijeen. De Algemene Directie volgt de evoluties van het Informatiebeveiligingsmanagementsysteem (SMSI) en keurt belangrijke beslissingen goed. Zij fungeert als de belangrijkste sponsor van het comité. 

Specifieke cybersecuritycomités kunnen eveneens worden opgericht om de beveiliging van activiteiten en gegevens binnen gevoelige of noodzakelijke domeinen te behandelen.

De samenstelling van deze comités kan variëren afhankelijk van de betrokken domeinen en de behandelde onderwerpen. Een herziening van de rollen en verantwoordelijkheden vindt minimaal om de twee jaar plaats.

De belangrijkste rollen verbonden aan het comité zijn: de Chief Information Security Officer (CISO / RSSI), de informatiemanager, de afdelingsmanager en de systeemverantwoordelijke.

De belangrijkste verantwoordelijkheden

  • Algemene Directie: Draagt de eindverantwoordelijkheid voor de beveiliging van het informatiesysteem, keurt het informatiebeveiligingsbeleid (PSSI) goed en voorziet de benodigde middelen. 10 
  • Verantwoordelijke Informatiebeveiliging (CISO/ RSSI): ciso@kelio.com) : Bepaalt, stuurt en controleert de implementatie van het informatiebeveiligingsbeleid (PSSI) en het Informatiebeveiligingsmanagementsysteem (SMSI). Is verantwoordelijk voor de naleving door de organisatie van de eisen van ISO/IEC 27001 en de toepasselijke regelgeving inzake informatiebeveiliging (NIS2, CRA, enz.).
  • Functionaris Gegevensbescherming (DPO/ DPD): Bepaalt, stuurt en controleert de implementatie van het Gegevensbeschermingsbeheersysteem (DPMS). Is verantwoordelijk voor de naleving door de organisatie van de eisen van de AVG (GDPR) en van de toepasselijke regelgeving inzake persoonsgegevensbescherming. • IT-directie (DSI): Voert de technische beveiligingsmaatregelen uit in coördinatie met de Chief Information Security Officer (CISO/ RSSI). 
  • Teamleiders: Zorgen voor de toepassing van de beveiligingsregels binnen hun teams. 
  • Medewerkers en dienstverleners: Volgen de beveiligingsregels en melden elk incident of afwijking.

Het informatiebeveiligingsbeleid (PSSI), pijler van de implementatie van Informatiebeveiligingsmanagementsysteem SMSI

De structuur van de documentatie

Het doel van het informatiebeveiligingsmanagementsysteem (SMSI) is ervoor te zorgen dat de risico’s met betrekking tot de beveiliging en vertrouwelijkheid van informatie bekend, geaccepteerd, beheerd of geminimaliseerd worden op een gedocumenteerde, systematische, gestructureerde, reproduceerbare en aanvaardbare manier, en dat dit wordt aangepast aan veranderingen in risico’s, omgeving en technologieën. De documentatie van het SMSI is opgebouwd uit 4 niveaus:

  • Het Strategische Informatiebeveiligingsbeleid (PSSI): Dit is het referentiedocument dat de strategische uitdagingen van de Groep herinnert, de governance principes vastlegt en de fundamentele beveiligingsregels bepaalt.
  • Het Operationele Informatiebeveiligingsbeleid: Dit omvat de beveiligingsregels die de onderneming heeft besloten te volgen, gebaseerd op goede praktijkrichtlijnen voor beveiliging (ISO/IEC 27001/2, Gids voor computerhygiëne van ANSSI, AVG, enz.).
  • Procedures: Dit zijn de technische en organisatorische implementatiemethoden die door de organisatie zijn vastgesteld.
  • Bewijzen en indicatoren: Dit zijn de evaluatiemethoden waarmee de prestaties van het Informatiebeveiligingsbeleid (SMSI) kunnen worden gemeten.

Implementatie

De eerder gedefinieerde informatiebeveiligingsdoelstellingen worden vertaald in beveiligingsrichtlijnen binnen het Operationeel Informatiebeveiligingsbeleid (PSSI)-document. Deze richtlijnen moeten door alle actoren van het informatiesysteem worden toegepast.

In het algemeen wordt bij elke evolutie van het informatiesysteem de beveiliging geïntegreerd, rekening houdend met de eisen van het Operationeel Informatiebeveiligingsbeleid (PSSI) op basis van de beveiligingsbehoeften met betrekking tot vertrouwelijkheid, integriteit, beschikbaarheid en traceerbaarheid van gegevens en verwerking. Dit is de Security/Privacy by Design-aanpak.

De kernprincipes

Alleen het Informatiebeveiligingsbeleid (RSSI) heeft volledige rechten over het beheer en de structurering van het informatiebeveiligingsmanagementsysteem (SMSI. Sommige profielen kunnen beperkte toegang krijgen, aangepast op basis van het “need-to-know”-principe, geval per geval (bijvoorbeeld: bewijslevering door een beheerder, herziening door een validator, ondertekening door de Directie, enz.).

  • Principe van 'need to know': De toegang tot informatie is strikt beperkt tot de personen die deze daadwerkelijk nodig hebben voor de uitvoering van hun functie.
  • Principe van beveiligingsbehoefte: Elk actief wordt beschermd volgens een beveiligingsniveau dat evenredig is aan de kriticiteit en het belang ervan voor de organisatie.
  • Principe van het minste privilege: Elke gebruiker, elk proces of elke dienst beschikt uitsluitend over de rechten die strikt noodzakelijk zijn voor zijn functie, en nooit meer.
  • Principe van relevantie bij gegevensverzameling: De hoeveelheid verzamelde gegevens is beperkt tot de geplande doelstellingen. Alleen de gegevens die strikt noodzakelijk zijn voor de verwerking worden bewaard.
  • Principe van het beheer van de gegevens: De verwerkingen worden beschreven en de gegevens worden actueel gehouden. De proliferatie van onnodige persoonsgegevens wordt vermeden en verouderde of nutteloze gegevens worden regelmatig verwijderd.
  • Principe van rechtmatigheid van verwerking: De verwerking van gegevens moet op een toepasselijke wettelijke basis gegrond zijn: toestemming, wettelijke verplichting, algemeen belang, contract, vitaal belang of gerechtvaardigd belang.
  • Principe van doelbinding: De gegevens moeten op een transparante en eerlijke manier worden verworven, zonder dat de betreffende personen voor verrassingen komen te staan. Het doel van de verwerving moet duidelijk worden gemaakt en er moet indien noodzakelijk toestemming voor zijn verkregen.
  • Principe van doelgerichtheid van de verwerking: De informatie over fysieke personen mag uitsluitend voor specifieke doeleinden worden opgeslagen en gebruikt. Elk gebruik dat op het moment van verwerving niet was voorzien, is verboden.
  • Principe van beperkte bewaartermijn: Elke verwerkingsactiviteit moet een geschikte bewaartermijn vastleggen, gebaseerd op wettelijke verplichtingen en operationele behoeften. Gegevens die langer worden bewaard dan deze termijn moeten worden verwijderd.

Jaarlijkse review

Het Informatiebeveiligingsbeleid (PSSI) moet jaarlijks door het Cybercomité van de Bodet Groep worden herzien en door de Algemene Directie worden gevalideerd. Het doel is te controleren of het beleid nog steeds in lijn is met de strategische richtlijnen van de Groep, haar prioriteiten, of bij significante wijzigingen binnen het informatiesysteem van het bedrijf.

Continue verbetering

De levenscyclus van het informatiebeveiligingsmanagementsysteem (SMSI) is gebaseerd op het principe van continue verbetering, geïllustreerd door onderstaande Deming-cyclus (PDCA: Plan, Do, Check, Act): 

FaseActie
PLANNEN (PLAN)De IT-Commissie stelt het Informatiebeveiligingsbeleid (PSSI) en de operationele uitwerking ervan op, welke worden goedgekeurd door de Algemene Directie. Vervolgens stellen zij een actieplan op om de implementatie van de vastgestelde regels te organiseren.
REALISEREN (DO)Het Informatiebeveiligingsbeleid (PSSI) wordt door alle medewerkers opgevolgd, met gebruik van de middelen die door de Algemene Directie worden verstrekt, via de IT-Verantwoordelijke en zijn team.
CONTROLEREN (CHECK)Het toepassen van de regels van het Informatiebeveiligingsbeleid (PSSI) wordt regelmatig door middel van audits en tests gecontroleerd. Er worden beveiligingsindicatoren (KPI's) verkregen en geanalyseerd tijdens de cybercomités.
AANPASSEN (ACT)De aangetroffen afwijkingen worden gecorrigeerd en/of in acht genomen voor het definiëren van een nieuwe cyclus.Er wordt een nieuwe iteratie (PDCA) uitgevoerd.

De uitzonderingen

Alle afwijkingen van de vastgestelde beveiligingsregels worden beschouwd als beveiligingslekken. Er kunnen uitzonderingen bestaan. Elke uitzondering op de beveiligingsregels vereist een formele afwijking, goedgekeurd door de CISO en de Algemene Directie, en periodiek herzien.

IDOnder-werpAanvrager/VerantwoordelijkeAfwijking van PSSI-regelMaatregelen tot beperking van de gevolgenMaatregelen tot beperking van de gevolgenDatum van goedkeuringBeslisserVerval-datumStatusDatum afsluiting
           

Sancties

Elke overtreding van de door het informatiebeveiligingsbeleid (PSSI) vastgestelde regels brengt de medewerker bloot aan disciplinaire maatregelen, gedifferentieerd naar gelang de ernst van de fout, zoals vastgelegd in het Interne Reglement.

De thematiek van het operationele informatiebeveiligingsbeleid (PSSI)

In het operationele informatiebeveiligingsbeleid (PSSI) zijn de hoofdstukken van de ISO/IEC 27002 opgenomen, inclusief de in 2022 geïmplementeerde eisen. Hier volgen de belangrijkste hoofdstukken.

  • Hoofdstuk 5: Governance van informatiebeveiliging: (PSSI). De governance bepaalt het stuurkader voor informatiebeveiliging. Het definieert de beleidslijnen, richtlijnen en leidende principes die het mogelijk maken om informatiebeveiliging te initiëren, te controleren en te verbeteren, in overeenstemming met de strategie van de organisatie.
  • Hoofdstuk 6: Organisatie van de informatiebeveiliging: (verantwoordelijkheden, coördinatie, mobiliteit, thuiswerken). Dit hoofdstuk definieert de organisatie van de beveiliging, de verdeling van rollen en verantwoordelijkheden, evenals de integratie van beveiliging in interne en externe relaties. Het behandelt ook de beveiliging met betrekking tot mobiliteit en thuiswerken.
  • Hoofdstuk 7: Beveiliging van human resources: De beveiliging van human resources heeft tot doel te verzekeren dat de medewerkers hun verantwoordelijkheden begrijpen op het gebied van informatiebeveiliging. Dit betekent het beschermen van de belangen van de organisatie gedurende de lifecycle van de medewerkers: vóór het in dienst nemen, tijdens de werkzaamheden en na het vertrek.
  • Hoofdstuk 8: Beheer van de activa: Het beheer van de activa bestaat uit het identificeren, inventariseren en classificeren van de activa van de organisatie. Hierdoor kunnen heldere verantwoordelijkheden worden toegekend en kan worden gegarandeerd dat de informatie een mate van beveiliging kent die overeenkomt met de gevoeligheid en het belang ervan.
  • Hoofdstuk 9: Toegangscontrole: Dit hoofdstuk richt zich op het beheren van de toegang tot de systemen en tot de informatie door geschikte authenticatie- en autorisatiemechanismen. Het gebruik van geprivilegieerde toegang volgens het 'need to know'-principe en van de laagste privileges, en het opleggen ven traceerbaarheid van gevoelige acties.
  • Hoofdstuk 10: Cryptografie: Cryptografie garandeert het juiste en doelmatige gebruik van crypto grafische mechanismen om de vertrouwelijkheid, integriteit en authenticiteit van de informatie te beschermen. Hieronder valt ook het beheer van crypto grafische sleutels.
  • Hoofdstuk 11: Fysieke en omgevingsbeveiliging: Fysieke beveiliging richt zich op het voorkomen van niet-geautoriseerde toegang, beschadigingen en onderbreking van de werkzaamheden als gevolg van verlies, diefstal, vernietiging of het compromitteren van fysieke activa, gebouwen en essentiële infrastructuren.
  • Hoofdstuk 12: Beveiliging met betrekking tot exploitatie: Beveiliging met betrekking tot exploitatie: Beveiliging van de exploitatie garandeert een betrouwbaar en beveiligd functioneren van de middelen voor het verwerken van de informatie. Dit omvat de beveiliging tegen malware, het beheer van kwetsbaarheden, het loggen van acties, het veiligstellen van de gegevens en het voorkomen van onherstelbaar verlies van informatie.
  • Hoofdstuk 13: Beveiliging van de communicatie: Beveiliging van de communicatie: Dit hoofdstuk richt zich op het beveiligen van de informatie die op interne en externe netwerken rondgaat. Hierin worden de beveiliging van de communicatie, toegang op afstand, het gebruik van mobiele apparatuur en het uitwisselen met externe actoren behandeld.
  • Hoofdstuk 14: Verwerving, ontwikkeling en onderhoud van de systemen: Verwerving, ontwikkeling en onderhoud van de systemen: De informatiebeveiliging moet tijdens alle stadia van de lifecycle van systemen en projecten worden geïntegreerd: ontwerp, ontwikkeling, integratie, exploitatie, onderhoud en uitfasering.
  • Hoofdstuk 15: Relaties met leveranciers: De beveiliging met betrekking tot leveranciers richt zich op het garanderen dat de aan derden toegankelijke activa beveiligd zijn volgens de eisen van de organisatie. Hierin worden een contractueel kader, veiligheidseisen en het loggen van de prestaties opgelegd.
  • Hoofdstuk 16: Beheer van de informatiebeveiligingsincidenten: Incidentbeheer garandeert een coherente en effectieve reactie op beveiligingsevenementen, ongeacht of ze van menselijke, technische of omgeving gerelateerde oorsprong zijn. Een beveiligingsgebeurtenis is elke situatie die invloed kan hebben op de vertrouwelijkheid, integriteit of beschikbaarheid van informatie. De organisatie volgt een procedure die rekening houdt met het voorkomen, detecteren, reageren en herstellen.
  • Hoofdstuk 17: Continuïteit van de activiteiten: De continuïteit van de activiteiten richt zich op het garanderen dat de kritieke activa en essentiële processen in geval van belangrijk onheil kunnen blijven functioneren, door middel van continuïteits- en herstelplannen en het functioneren in beperkte modus.
  • Hoofdstuk 18: Conformiteit: Conformiteit richt zich op het vermijden van elke schending van wettelijke, contractuele en normatieve verplichtingen. Hiermee wordt gegarandeerd dat de informatiebeveiliging wordt geïmplementeerd, gecontroleerd en aangepast volgens de verplichtingen en het beleid van de organisatie.