Besluit voorschrift informatiebeveiliging rijksdienst 2007

De Minister-President, Minister van Algemene Zaken,

Handelend in overeenstemming met het gevoelen van de Ministerraad;

Besluit:

Artikel

1 Begripsbepalingen

In dit besluit wordt verstaan onder:

a.
Informatiebeveiliging: het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen;
b.
Informatiesysteem: een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.

Artikel

2 Plaatsbepaling en reikwijdte

1

Dit voorschrift geldt voor de Rijksdienst waartoe gerekend worden de Ministeries met de daaronder ressorterende diensten, bedrijven en instellingen.

2

Dit voorschrift geldt voor het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie.

3

Informatiebeveiliging is een lijnverantwoordelijkheid en vormt een onderdeel van de kwaliteitszorg voor bedrijfs- en bestuursprocessen en de ondersteunende informatiesystemen.

Artikel

3 Informatiebeveiligingsbeleid

De secretaris-generaal van een Ministerie stelt het informatiebeveiligingsbeleid vast, draagt dit uit en legt verantwoording hierover af. Het beleid omvat ten minste:

a.
De strategische uitgangspunten en randvoorwaarden die het Ministerie hanteert voor informatiebeveiliging en in het bijzonder de inbedding in, en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid;
b.
De organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, taken en bevoegdheden;
c.
De toewijzing van de verantwoordelijkheden voor ketens van informatiesystemen aan lijnmanagers;
d.
De gemeenschappelijke betrouwbaarheidseisen en normen die op het Ministerie van toepassing zijn;
e.
De frequentie waarmee het informatiebeveiligingsbeleid wordt geëvalueerd;
f.
De bevordering van het beveiligingsbewustzijn;

Artikel

4 Verantwoordelijkheden lijnmanagement

Het lijnmanagement is verantwoordelijk voor de beveiliging van zijn informatiesystemen. Het lijnmanagement:

a.
Stelt op basis van een expliciete risico afweging de betrouwbaarheidseisen voor zijn informatiesystemen vast;
b.
Is verantwoordelijk voor de keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen;
c.
Stelt vast dat de getroffen maatregelen aantoonbaar overeenstemmen met de betrouwbaarheidseisen en dat deze maatregelen worden nageleefd;
d.
Evalueert periodiek het geheel van betrouwbaarheidseisen en beveiligingsmaatregelen en stelt deze waar nodig bij.

Artikel

5 Slotbepaling

1

Het Besluit voorschrift informatiebeveiliging rijksdienst 1994 wordt ingetrokken.

2

Dit besluit treedt in werking met ingang van 1 juli 2007.

3

Dit besluit wordt aangehaald als het Besluit voorschrift informatiebeveiliging rijksdienst 2007.

Dit besluit zal met toelichting in de Staatscourant worden geplaatst.

Den Haag 20 juni 2007

De Minister-President, Minister van Algemene Zaken, J.P.Balkenende