Home > Woordenlijst cyberbeveiliging > PSSI (beleid voor beveiliging van informatiesystemen) 🟩 Document

PSSI (beleid voor beveiliging van informatiesystemen) 🟩 Document

De PSSI (veiligheidsbeleid is een strategisch document dat de regels en doelstellingen van een organisatie definieert met betrekking tot de beveiliging van haar informatiesystemen.

Het beleid voor de beveiliging van informatiesystemen (Information Systems Security Policy, ISSP) is een referentiedocument dat de strategische visie en doelstellingen van een organisatie voor de beveiliging van haar informatiesystemen weergeeft. Het bevat de leidende beginselen, de aan te nemen beveiligingsregels en het actieplan voor het bereiken en handhaven van een bepaald beveiligingsniveau. Het ISSP wordt op maat gemaakt voor elke organisatie, rekening houdend met haar specifieke kenmerken, uitdagingen, behoeften en beperkingen.


PSSI-spelers

 

Een ISSP wordt meestal opgesteld door verschillende sleutelfiguren binnen een organisatie:

  • Beveiligingsmanager informatiesystemen (CISO) die er verantwoordelijk voor is
  • CIO (Chief Information Officer) en meer in het algemeen het management van de organisatie
  • DPO (Functionaris voor gegevensbescherming)
  • Business line managers
  • Vertegenwoordigers van gebruikers
  • Experts in computerbeveiliging

Voorbeeld van een PSSI

 

Een voorbeeld van een ISSP zou de volgende elementen kunnen bevatten:

  1. Inleiding en toepassingsgebied
  2. Veiligheidsdoelstellingen
  3. Rollen en verantwoordelijkheden
  4. Beveiligingsregels (bijv. wachtwoordbeheer, gebruik van apparatuur)
  5. Risicomanagement
  6. Bedrijfscontinuïteitsplan
  7. Procedures voor incidentenbeheer
  8. Training en bewustwording van gebruikers

 

PSSI-cijfers

  • Volgens één onderzoek, 60% van de Franse bedrijven had een geformaliseerd ISSP in 2020.
  • Organisaties met een goed geïmplementeerd IPSP kunnen de gemiddelde kosten van een datalek terugbrengen van $3,58 miljoen naar $2,10 miljoen.
  • 95% van de inbreuken op de cyberbeveiliging is te wijten aan menselijke fouten, wat het belang onderstreept van bewustmaking in het ISP.
  • Zorginstellingen in Frankrijk zijn nu verplicht om een informatiebeveiligingsplan te hebben.
  • Bedrijven met een goed gedefinieerd ISSP hebben over het algemeen een betere reactietijd op beveiligingsincidenten.
  • Het opstellen van een ISSP duurt gemiddeld 3 tot 6 maanden. voor een middelgrote organisatie.
Op weg naar de ORSYS Cyber Academy: een gratis ruimte gewijd aan cyberbeveiliging