De PSSI is een strategisch document dat de regels en doelstellingen van een organisatie definieert met betrekking tot de beveiliging van haar informatiesystemen.
Het beleid voor de beveiliging van informatiesystemen (Information Systems Security Policy, ISSP) is een referentiedocument dat de strategische visie en doelstellingen van een organisatie voor de beveiliging van haar informatiesystemen weergeeft. Het bevat de leidende beginselen, de aan te nemen beveiligingsregels en het actieplan voor het bereiken en handhaven van een bepaald beveiligingsniveau. Het ISSP wordt op maat gemaakt voor elke organisatie, rekening houdend met haar specifieke kenmerken, uitdagingen, behoeften en beperkingen.
Voorbeeld
Een voorbeeld van een ISSP zou de volgende elementen kunnen bevatten:
- Inleiding en toepassingsgebied
- Veiligheidsdoelstellingen
- Rollen en verantwoordelijkheden
- Beveiligingsregels (bijv. wachtwoordbeheer, gebruik van apparatuur)
- Risicomanagement
- Bedrijfscontinuïteitsplan
- Procedures voor incidentenbeheer
- Training en bewustwording van gebruikers
Cijfers
Hoewel specifieke cijfers per bron en jaar verschillen, volgen hier enkele illustratieve gegevens:
- Volgens een onderzoek zou 60% van de Franse bedrijven tegen 2020 een geformaliseerd ISSP hebben.
- Organisaties met een goed geïmplementeerd ISSP kunnen de gemiddelde kosten van een datalek terugbrengen van $3,58 miljoen naar $2,10 miljoen.
- 95% van de inbreuken op de cyberbeveiliging is te wijten aan menselijke fouten, wat het belang onderstreept van bewustmaking in het ISP.