--- titel: Besluit voorschrift informatiebeveiliging rijksdienst 2007 bwb_id: BWBR0022141 type: ministeriele-regeling status: geldend datum_inwerkingtreding: '2007-07-01' bron: https://wetten.overheid.nl/BWBR0022141 citeertitel: Besluit voorschrift informatiebeveiliging rijksdienst 2007 --- # Besluit voorschrift informatiebeveiliging rijksdienst 2007 ### Artikel 1 In dit besluit wordt verstaan onder: a. a. Informatiebeveiliging: het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen; b. b. Informatiesysteem: een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie. ### Artikel 2 **1.** Dit voorschrift geldt voor de Rijksdienst waartoe gerekend worden de Ministeries met de daaronder ressorterende diensten, bedrijven en instellingen. **2.** Dit voorschrift geldt voor het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. **3.** Informatiebeveiliging is een lijnverantwoordelijkheid en vormt een onderdeel van de kwaliteitszorg voor bedrijfs- en bestuursprocessen en de ondersteunende informatiesystemen. ### Artikel 3 De secretaris-generaal van een Ministerie stelt het informatiebeveiligingsbeleid vast, draagt dit uit en legt verantwoording hierover af. Het beleid omvat ten minste: a. a. De strategische uitgangspunten en randvoorwaarden die het Ministerie hanteert voor informatiebeveiliging en in het bijzonder de inbedding in, en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid; b. b. De organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, taken en bevoegdheden; c. c. De toewijzing van de verantwoordelijkheden voor ketens van informatiesystemen aan lijnmanagers; d. d. De gemeenschappelijke betrouwbaarheidseisen en normen die op het Ministerie van toepassing zijn; e. e. De frequentie waarmee het informatiebeveiligingsbeleid wordt geƫvalueerd; f. f. De bevordering van het beveiligingsbewustzijn; ### Artikel 4 Het lijnmanagement is verantwoordelijk voor de beveiliging van zijn informatiesystemen. Het lijnmanagement: a. a. Stelt op basis van een expliciete risico afweging de betrouwbaarheidseisen voor zijn informatiesystemen vast; b. b. Is verantwoordelijk voor de keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen; c. c. Stelt vast dat de getroffen maatregelen aantoonbaar overeenstemmen met de betrouwbaarheidseisen en dat deze maatregelen worden nageleefd; d. d. Evalueert periodiek het geheel van betrouwbaarheidseisen en beveiligingsmaatregelen en stelt deze waar nodig bij. ### Artikel 5 **1.** Het Besluit voorschrift informatiebeveiliging rijksdienst 1994 wordt ingetrokken. **2.** Dit besluit treedt in werking met ingang van 1 juli 2007. **3.** Dit besluit wordt aangehaald als het Besluit voorschrift informatiebeveiliging rijksdienst 2007.