beleidspiramide informatiebeveiliging

Beleidspiramide informatiebeveiliging: van strategisch beleid tot uitvoering in de praktijk

Het organiseren van informatiebeveiliging binnen een instelling is geen eenvoudige opgave. Er zijn strategische keuzes te maken, tactische kaders op te stellen én operationele maatregelen te implementeren. De beleidspiramide informatiebeveiliging helpt om hier structuur in aan te brengen.

De vier lagen van de beleidspiramide informatiebeveiliging

De beleidspiramide informatiebeveiliging bestaat uit vier lagen. Elke laag heeft een eigen doel, inhoud en verantwoordingsniveau. Door deze structuur te hanteren ontstaat samenhang tussen strategische keuzes en dagelijkse uitvoering.

1. Beleid

Niveau: Strategisch
Doel: Vastleggen van het ‘waarom’— de visie, ambitie en uitgangspunten van informatiebeveiliging binnen de organisatie
Vastgesteld door: Bestuur (zoals het College van Bestuur of Raad van Bestuur)
Geldigheidsduur: Meestal vastgesteld voor een periode van 3 tot 5 jaar

Beleidsdocumenten beschrijven de strategische doelen en principes van informatiebeveiliging. Ze geven richting aan de gehele organisatie en vormen het fundament voor alle onderliggende documenten. Denk aan beleid voor informatieveiligheid in brede zin of aan specifieke thema’s zoals dataclassificatie of privacy.

2. Standaarden

Niveau: Tactisch
Doel: Vertalen van beleid naar ‘wat’ er geregeld moet zijn per thema (bijvoorbeeld logging, toegangsbeheer of encryptie)
Vastgesteld door: CISO, CIO of directeur ICT
Geldigheidsduur: Meestal vastgesteld voor een periode van 1 tot 3 jaar

Standaarden zijn themagerichte documenten die de beleidsdoelstellingen concreet maken. Ze leggen vast wat de gewenste of vereiste beveiligingsniveaus zijn binnen een bepaald domein. Standaarden dienen als kader voor uitvoering en toetsing.

3. Richtlijnen

Niveau: Tactisch
Doel: Uitleggen ‘hoe’ de standaarden in de praktijk toegepast kunnen worden
Vastgesteld door: Het relevante domein- of lijnmanagement, afhankelijk van de inrichting van de organisatie
Geldigheidsduur: Doorgaans 1 jaar, met regelmatige actualisatie op basis van ontwikkelingen of evaluaties

Richtlijnen bieden praktische handvatten voor medewerkers en teams. Ze geven interpretaties van standaarden, met concrete aanwijzingen voor bijvoorbeeld inrichting van processen of selectie van maatregelen. Richtlijnen kunnen organisatiebreed gelden of toegespitst zijn op specifieke eenheden.

4. Procedures en processen

Niveau: Operationeel
Doel: Beschrijven ‘wie wat wanneer doet’ in de dagelijkse uitvoering van beveiligingsmaatregelen
Vastgesteld door: Teamleiders, afdelingshoofden of proceseigenaren
Geldigheidsduur: Meestal vastgesteld voor 1 jaar, met evaluatie op basis van praktijkervaring

Deze documenten beschrijven stap voor stap hoe beveiligingsmaatregelen worden uitgevoerd binnen de organisatie. Denk aan procedures voor incidentafhandeling, toegangsverzoeken of patchbeheer. Ze zorgen ervoor dat afspraken helder zijn en consistent worden nageleefd.

Aanvullend: praktische handreikingen en hulpmiddelen

Hoewel deze documenten niet onder de formele lagen van de beleidspiramide vallen, bieden ze wel waardevolle ondersteuning bij de implementatie van beleid en maatregelen. Denk aan stappenplannen, formats, toolkits, checklists of best practices.

Waarom werken met de beleidspiramide?

Instellingen staan voor toenemende eisen rond digitale veiligheid, onder andere door wetgeving zoals NIS2, sectorale normen en het SURFaudit Toetsingskader Informatiebeveiliging. De beleidspiramide maakt het makkelijker om:

  • Strategisch beleid te vertalen naar praktische uitvoering
  • Interne rollen en verantwoordelijkheden te verduidelijken
  • Te voldoen aan audit- en compliance-eisen
  • Documenten op elkaar af te stemmen en actueel te houden

Het model helpt instellingen bovendien om beleid modulair op te bouwen. Zo kun je per thema (bijvoorbeeld toegangsbeheer of incidentafhandeling) standaarden, richtlijnen en procedures ontwikkelen die onderling samenhang vertonen.

Documenten per niveau beschikbaar op het SEC

Het Security Expertise Centrum biedt templates, handreikingen en voorbeelddocumenten aan die aansluiten bij elk niveau van de beleidspiramide. Deze documenten zijn ontwikkeld in nauwe samenwerking met vertegenwoordigers van universiteiten, hogescholen en mbo-instellingen. Ze zijn gebaseerd op internationaal erkende standaarden en afgestemd op de dagelijkse praktijk en de behoeften in de sector.

De templates zijn opgesteld volgens een vaste structuur en voorzien van concrete inhoud. Je kunt ze direct gebruiken, met uiteraard het advies deze eerst goed door te lezen en waar nodig aan te passen aan je eigen organisatiecontext, verantwoordelijkheden en processen.

Sectorbreed schaalvoordeel

Door als sector dezelfde structuur en basisdocumenten te gebruiken, ontstaat schaalvoordeel en efficiëntie. Instellingen hoeven niet telkens zelf het wiel uit te vinden, maar bouwen voort op een gedeeld fundament. Dit bespaart tijd en kosten en maakt samenwerking eenvoudiger.

Zo komt er meer ruimte vrij om te doen wat er écht toe doet: werken aan duurzame digitale weerbaarheid van de onderwijs- en onderzoeksector.

Bekijk de beleidspiramide en alle documenten per niveau

Visuele ondersteuning: de beleidspiramide in één oogopslag

Om het model snel te begrijpen, is ook een visuele weergave van de beleidspiramide beschikbaar. Deze piramide laat zien hoe de verschillende niveaus zich tot elkaar verhouden en hoe je ze kunt inzetten binnen je eigen instelling.

Download of de beleidspiramide als afbeelding (PDF/JPG)

Wil je aan de slag met je eigen beleid of bestaande documenten verbeteren? Gebruik dan de beleidspiramide als uitgangspunt.

Gerelateerde artikelen