Veiligheidsbeleid

Bijgewerkt op 17/02/2026

Inleiding

Onderwerp

Het onderliggende document bevat het Strategische veiligheidsbeleid voor informatiesystemen (Strategisch PSSI) van de Groupe BODET SA. 

Het strategische PSSI is goedgekeurd door de Algemeen Directeur en bevat: 

  • De inzet en strategische doelstellingen op het gebied van beveiliging van informatiesystemen; 
  • De principes voor het beheren van de beveiliging van informatiesystemen; 
  • De inspanningen van de Algemene Directie voor het garanderen van een permanente, efficiëntie en doorontwikkelende beveiligingsmaatregelen. 

Het strategische PSSI wordt aangevuld door een operationeel PSSI, waarin het totaal van de vereisten met betrekking tot de fysieke, logische, organisatorische en menselijke veiligheid van het informatiesysteem zijn ondergebracht. 

De verspreidingscriteria

De documentatie van het PSSI wordt verspreid volgens het principe van 'need to know.

  • Het Strategische PSSI kan extern integraal worden verspreid. Het bevat de inspanningen van de Groupe Bodet met betrekking tot het SSI. 
  • Het Operationele PSSI is hoofdzakelijk voor intern gebruik bedoeld. Pertinente uittreksels kunnen aan belanghebbende externe partijen (klanten, partners, overheid) worden verstrekt die daar contractueel of wettelijk recht op hebben. 
  • De bijbehorende procedures worden intern gericht verspreid. 

Elk document bevat expliciet de toegestane verspreidingslijst. Wanneer dit vanwege vertrouwelijkheid vereist is, worden alleen pertinente uittreksels verspreid.

Het toepassingsgebied

Het Strategische PSSI heeft betrekking op:

  • Het totaal van de informatiesystemen van de Groupe Bodet, inclusief alle onderdelen daarvan,
  • Alle medewerkers, leidinggevenden, werknemers, tijdelijke medewerkers, stagiaires,
  • Alle uitzendkrachten, partners en derden die toegang hebben tot het informatiesysteem of informatie onder verantwoordelijkheid van de Groupe verwerken.

Onder Informatiesysteem wordt verstaan het totaal van de middelen die het mogelijk maken informatie aan te maken, te verwerven, te verwerken, op te slaan, te verspreiden of te verwijderen,, op ongeacht welk middel, technologie of locatie. 

Referenties voor de beveiliging

De Groupe Bodet onderschrijft te werken volgens de volgende referenties: 

  • De norm ISO/IEC 27001 (2022); 
  • De Guide d’hygiène informatique de l’ANSSI (42 maatregelen);
  • De AVG en de vereisten van de CNIL; 
  • De De wettelijke en contractuele verplichtingen die op de activiteiten van de Groep van toepassing zijn (RED2, CRA, NIS2). 
  • Het Esquema Nacional de Seguridad (ENS) 

Woordenlijst

  • Authenticiteit: Eigenschap waarmee een entiteit zich voordoet of de gegevensbron garandeert. 
  • Medewerker: Elke persoon die bijdraagt aan de activiteiten van de Groupe en toegang heeft tot het informatiesysteem (werknemer, student/stagiaire, tijdelijke werknemer enz.). 
  • Vertrouwelijkheid: Betekent dat de informatie slechts toegankelijk is aan de mensen die in het kader van hun activiteiten recht hebben deze te kennen. 
  • Wettelijke conformiteit: Garandeert dat de informatie beheerd wordt volgens ethische, professionele en wettelijke principes, zoals door de voorschriften in de betreffende context zijn vastgesteld. 
  • Beschikbaarheid: Zorgt dat de gegevens toegankelijk enzjin aan en bruikbaar zijn door de entiteiten op de door hen gewenste momenten en met de gewenste prestaties. 
  • Informatie: Elk gegeven dat van de Groupe is en dat door een klant, in welk formaat ook (papier, digitaal, mondeling) beschikbaar is gesteld. 
  • Integriteit: Zorgt dat de verwerkte gegevens juist en coherent zijn, zowel bij invoer als bij uitvoer, maar ook dat de gegevens geen ongewenste wijzigingen ondergaan tijdens de verwerking of de opslag ervan. 
  • Programma: Elk programma of uitvoerbaar bestand dat bij de informatieverwerking (besturingssysteem, bewakingssysteem, kantoortoepassing, bedrijfstoepassing enz.) betrokken is. 
  • Materiaal: Elk fysiek apparaat dat het informatiesysteem ondersteunt (computers, servers, mobile apparatuur, vaste apparatuur, netwerkapparatuur enz.). 
  • Verantwoordelijke voor de beveiliging van de informatiesystemen (RSSI/PSSI): Het totaal van de richtlijnen die de inspanningen, de doelstellingen en de regels van de Groupe met betrekking tot de veiligheid van de informatie beschrijven. 
  • Netwerk: Elke vorm van verbinding tussen materiële onderdelen en programma's van het informatiesysteem dat de uitwisseling van gegevens mogelijk maakt (vaste lijnen, telefonienetwerk, Internet, VPN, interne verbindingen). 
  • Site: Elke fysieke locatie die door de Groupe wordt gebruikt (kantoren, fabrieken, data centers enz.). 
  • Systeem voor het beheren van de veiligheid van de informatie (SMSI): Het totaal van de richtlijnen die de inspanningen, de doelstellingen en de regels van de Groupe met betrekking tot de veiligheid van de informatie beschrijven. 
  • Systeem voor het beheren van de bescherming van de gegevens (SMPD): Het totaal van organisatorische maatregelen die door een bedrijf worden gebruikt om te garanderen dat de persoonlijke gegevens volgens de AVG worden verwerkt. Op basis van de vereisten van de AVG betreft dit een interne richtlijn die bijdraagt aan het garanderen dat de gegevens juist worden beveiligd en die, indien nodig, daartoe bewijzen kan overleggen. Dit beheersysteem richt zich voornamelijk op het voorkomen van schendingen, maar kan deze eveneens op een later tijdstip corrigeren of weerleggen. 
  • Traceerbaarheid: Zorgt dat het optreden van een gebeurtenis of actie met betrekking tot het informatiesysteem bewezen kan worden evenals de daarbij betrokken entiteiten of personen.

De Groupe Bodet acteert in een omgeving die door cyberdreigingen wordt beïnvloed.

Context van cyberveiligheid

Digitaal werken biedt vele voordelen, zowel voor burgers als voor bedrijven, door innovatie en door het ontwikkelen van nieuwe economische kansen te bevorderen. Toch heeft dit een groeiende afhankelijkheid van kritieke infrastructuren tot gevolg en een daarmee samenhangende complexiteit die de maatschappij en organisaties aan steeds geavanceerdere informatiedreigingen blootstelt.

Decyberspaceis een competitieve en confronterende ruimte geworden, die een afspiegeling is van de geopolitieke spanningen en internationale rivaliteiten. Frankrijk, net als andere landen, wordt met een intense en uitgebreide cyberdreiging geconfronteerd, afkomstig van staten, cybercriminelen, activisten en combinaties daarvan

Deze cyberaaanvallen kunnen gemotiveerd zijn economische, politieke, militaire of ideologische redenen. Zij kunnen het functioneren van de maatschappij verstoren, de nationale veiligheid bedreigen en belangrijke economische verliezen veroorzaken, met beïnvloeding van bevoorradingsketens en de continuïteit van activiteiten van organisaties.

Cyberaanvallen kunnen vele vormen aannemen, van spionage tot sabotage, via afpersing en ondermijning. Wij zien ze vooral als cybercriminaliteit en de verspreiding van malware. Kritieke infrastructuren, inclusief clouddiensten waarbij gevoelige gegevens opgeslagen zijn en strategische toepassingen, zijn met name kwetsbaar.

Het verschijnen van baanbrekende technologieën (kunstmatige intelligentie, blockchain, quantuminformatica, vergroot de risico's door bepaalde beveiligingstechnieken verouderd te maken en door het driegingslandschap complexer te maken.

De activiteiten van de Groupe

De Groupe BODET bedenkt en maakt programma's en apparatuur voor haar klanten. Zij levert ze, installeert ze bij klanten, lost problemen op en heeft een hotline voor ondersteuning.

De Groupe is daarmee in staat gevoelige informatie te bewerken, zoals

  • Research- en ontwikkelingsgegevens;
  • Gegevens voor het besturen van industriële processen;
  • Persoonsgegevens van derden (klanten, leveranciers enz.);
  • Persoonsgegevens van haar medewerkers.

Deze informatie is onmisbaar voor het goed functioneren van de Groupe.

Strategieën, inzet en doelstellingen van de beveiliging

De strategische assen.

De Groupe Bodet wil haar positie als marktleider op al haar activiteiten veiligstellen door zich van de tevredenheid van haar klanten te verzekeren. .

In een steeds verder verbonden en gedigitaliseerde wereld worden maatschappijen steeds meer aan cyberdreigingen blootgesteld (ransomware, phishing, aanpassing van websites enz.), en de veiligheid van informatiesystemen is essentieel voor de Groupe BODET om haar ontwikkeling te verzekeren.

De Groupe Bodet wordt aan cyberdreigingen blootgesteld die van invloed kunnen zijn op:

  • De vertrouwelijkheid, beschikbaarheid, authenticiteit, traceerbaarheid en wettelijke conformiteit van de bedrijfsgegevens en de informatie van klanten,
  • De operationele continuïteit van haar kritieke activiteiten,
  • Haar reputatie en positie in nationale en internationale markten.

Het succes van de Groupe is dus afhankelijk van de wereldwijde beveiliging van haar informatiesystemen. Decyberveiligheid is een essentieel onderdeel, dat wordt gerealiseerd in het systeem voor het beheer van de veiligheid van de informatie (SMSI), en in het PSSI wordt beschreven:

  • Anticiperen op de cyberdreigingen en deze beperken,
  • De wettelijke en contractuele verplichtingen opvolgen,
  • De informatie- en digitale activa beschermen,
  • De continuïteit en veerkracht van de activiteiten verzekeren.

De beveiligingsactiviteiten

De Groupe Bodet onderneemt essentiële beveiligingsactiviteiten die de strategische doelstellingen onderschrijven:

  • Concurrentievermogen: De beschikbaarheid en betrouwbaarheid van de informatiesystemen garanderen binnen een wereldwijde concurrentieverhouding.
  • Milieu: Door betrouwbare en beheerde systemen ISO 14001 gecertificeerde processen ondersteunen.
  • Innovatie: De R&D-activiteiten, bedrijfsgeheimen en het intellectueel eigendom beschermen.
  • Internationaal: De gegevensuitwisseling met filialen, distributeurs en partners in meer dan 110 landen beveiligen.
  • Kwaliteit: Cybersecurity integreren als essentieel onderdeel van de kwaliteit van de producten en diensten, met name in 2026.
  • Reactiviteit: een hoog niveau van beschikbaarheid en klantenondersteuning garanderen.

De operationele doelstellingen

In deze context garanderen de beveiligingsdoelstellingen denoodzaak tot vertrouwelijkheid, integriteit, beschikbaarheid en traceerbaarheid van de gegevens en de bewerkingen daarop. De Groupe Bodet zet zich daarom in om:

  • De informatiesystemen 7/7 en 24/24 in veilige toestand te houden,
  • De gegevens van de Groupe en van haar klanten te beveiligen,
  • Een gedeelde cultuur voor de veiligheid van de informatie te bevorderen,
  • De vereisten te respecteren zoals die door de juridische en wettelijke beperkingen zijn gedefinieerd,
  • De cyberdreigingen te kennen en deze te bedwingen ;
  • De veerkracht van de informatiesystemen tijdens incidenten te garanderen,
  • Een veiligheidsniveau te definiëren tijdens de integratie van nieuwe verbindingen met het informatiesysteem,
  • Het imago van de gehele Groupe te garanderen,

Deze doelstellingen worden per thema in het Operationele PSSI beschreven . Dit laatste heeft betrekking op de norm ISO 27002:2022, op de Guide d’hygiène de l’ANSSI en op de op de best practice met betrekking tot de beveiliging van de informatie.

Beheer van de beveiliging van het informatiesysteem

De toezegging van de Algemene Directie

De Algemene Directie is zich er bewust van dat het voortbestaan van de Groupe Bodet afhankelijk is van haar vermogen om de activa te beveiligen tegenover de bedreigingen die zich op de activiteiten en gegevens van de entiteit richten.

De Directie neemt het PSSI in de algemene strategie van de Groupe op en levert de benodigde hulpmiddelen voor het goed functioneren van het SMSI.

De Algemene Directie heeft zich hiertoe formeel verplicht.

Het cybersecurity-comité

Het cybersecurity-comité v an de Groupe Bodet is opgedragen de acties met betrekking tot de beveiliging van informatiesystemen te besturen en te coördineren, met inachtneming van de strategische assen van de organisatie. Het comité vergadert minimaal eenmaal per maand. De Algemene Directie volgt de ontwikkelingen van het SMSI en keurt belangrijke beslissingen goed. Zij is zijn belangrijkste sponsor. 

Specifieke cybersecurity-comités kunnen worden opgericht om de beveiliging van gevoelige activiteiten en gegevens te behandelen, of wanneer zulks noodzakelijk is.

De samenstelling van dergelijke comités kan variëren afhankelijk van de betroffen gebieden en de behandelde onderwerpen. De rollen en verantwoordelijkheden worden minimaal elke twee jaar geëvalueerd.

De belangrijkste aanpalende rollen zijn de volgende: het RSSI, de verantwoordelijke voor de informatie, de verantwoordelijke voor de dienstverlening en de verantwoordelijke voor het systeem.

De belangrijkste verantwoordelijkheden

  • Algemene Directie: Draagt de eindverantwoordelijkheid voor de informatiesystemen, valideert het PSSI en kent de benodigde middelen toe. 10 
  • Verantwoordelijke voor de beveiliging van de informatiesystemen (RSSI/CISO: ciso@kelio.com): Definieert, beheert en controleert de implementatie van het PSSI en het SMSI. Hij of zij staat er garant voor dat de organisatie aan de eisen van ISO/IEC 27001 voldoet en aan de van toepassing zijnde regelingen met betrekking tot de informatiesystemen (NIS2, CRA enz.).
  • Afgevaardigde gegevensbescherming (DPD/DPO): Definieert, beheert en controleert de implementatie van het PSSI en het DPMS. Hij of zij staat garant voor de conformiteit van de organisatie met betrekking tot de eisen van de AVG, en voor de toepasselijke regelgeving voor de bescherming van persoonsgegevens. DSI: Implementeert de technische maatregelen voor de beveiliging in samenwerking mer de RSSI. 
  • Teamleiders: Waken over de toepassing van de beveiligingsregels in al hun teams. 
  • Medewerkers en uitzendkrachten: Respecteren de beveiligingsregels en signaleren elk incident en elke onregelmatigheid.

Het PSSI, steunpilaar voor het implementeren van het SMSI

De structuur van de documentatie

Het SMSI heeft als doel te garanderen dat de risico's voor de beveiliging en vertrouwelijkheid van de informatie bekend, aanvaard, beheerd of geminimaliseerd zijn op een gedocumenteerde, systematische, gestructureerde , reproduceerbare en aanvaardbare manier, aanpasbaar aan de wijzigingen in de risico's, het milieu en de technologieën. De documentatie met betrekking tot het SMSI kent vier niveaus:

  • Het Strategische PSSI: Dit is het referentiedocument waarin de strategische inspanningen en de beheerprincipes van de Groupe staan en waarin de fundamenten van de beveiliging zijn vastgelegd.
  • Het Operationele PSSI: Dit bevat de regels voor de beveiliging die het bedrijf besloten heeft op te volgen, met betrekking tot de best practice richtlijnen voor beveiliging (ISO/IEC 27001/2, Guide d’hygiène de l’ANSSI, AVG enz.).
  • De procedures: Dit bevat de methodes voor het technisch en organisatorisch implementeren die de organisatie heeft vastgelegd.
  • De bewijzen en indicatoren: De evaluatiemethodes om de prestaties van het SMSI te kunnen meten.

Het implementeren

De doelstellingen voor de informatiebeveiliging die eerder zijn gedefinieerd, zijn onderwerp van een indeling in beveiligingsrichtlijnen in het kader van het document Operationeel PSSI. Deze richtlijnen moeten worden toegepast door alle actoren van het informatiesysteem.

In het algemeenwordt in elke evolutie van het informatiesysteem de beveiliging geïntegreerd met inachtname van de vereisten van het Operationele PSSI met betrekking tot de beveiligingseisen uitgedrukt in termen van vertrouwelijkheid, integriteit, beschikbaarheid en traceerbaarheid van de gegevens en bewerkingen daarop. Dit is de aanpak Security/Privacy by Design.

De belangrijke principes

Alleen het RSSI heeft de totale rechten op het beheer en de structurering van het SMSI. Bepaalde profielen kunnen beperkte toegang hebben die individueel kunnen worden aangepast volgens het 'need to know'-principe (bijv.: inbreng van bewijs door een administrateur, review door een beoordelaar, ondertekening door de Directie).

  • Het 'need to know'-principe: Toegang tot informatie is strikt beperkt tot personen die daar daadwerkelijk kennis van moeten nemen om hun functie uit te kunnen voeren.
  • Het 'noodzaak tot beveiliging'-principe: Elk element is beveiligd volgens een beveiligingsniveau dat past bij de mate waarin dit kritiek is en belangrijk is voor de organisatie.
  • Principe van het laagste privilege: Elke gebruiker, elk proces of elke dienst beschikt uitsluitend over de toestemmingen die absoluut noodzakelijk zijn voor het functioneren en nooit over meer.
  • Principe van de bewaring van gegevens: De hoeveelheid verzamelde gegevens is beperkt tot de geplande doelstellingen. Alleen de gegevens die strikt noodzakelijk zijn voor de verwerking worden bewaard.
  • Principe van het beheer van de gegevens: De verwerkingen worden beschreven en de gegevens worden actueel gehouden. Vermeden wordt persoonsgegevens te verspreiden en verouderde of niet langer gebruikte gegevens worden regelmatig verwijderd.
  • Principe van rechtmatigheid van verwerking: De verwerking van gegevens moet op een toepasselijke wettelijke basis gegrond zijn: toestemming, wettelijke verplichting, algemeen belang, noodzaak of legitiem belang.
  • Principe van eerlijke verwerving: De gegevens moeten op een transparante en eerlijke manier worden verworven, zonder dat de betreffende personen voor verrassingen komen te staan. Het doel van de verwerving moet duidelijk worden gemaakt en er moet indien noodzakelijk toestemming voor zijn verkregen.
  • Principe van doelgerichtheid van de verwerking: De informatie over fysieke personen mag uitsluitend voor specifieke doeleinden worden opgeslagen en gebruikt. Elk gebruik dat op het moment van verwerving niet was voorzien, is verboden.
  • Principe van beperkte bewaring: Bij elke activiteit moet een aangepaste bewaringsduur worden gedefinieerd. Hierbij moet rekening worden gehouden met wettelijke verplichtingen en operationele vereisten en gegevens die langer worden bewaard, moeten worden verwijderd.

Jaarlijkse review

Het PSSI moet jaarlijks door het Comité Cyber van de Groupe Bodet worden gereviewd en door de Algemene Directie worden gevalideerd. Het doel hiervan is te verifiëren of het aan de strategische assen van de Groupe en aan haar verplichtingen voldoet of bij belangrijke aanpassingen aan de informatiesystemen van het bedrijf.

Continue verbetering

De levenscyclus van het SMSI heeft betrekking op het principe van continue verbetering, geïllustreerd door onderstaande Deming -cyclus (PDCA: Plan, Do, Check, Act): 

FaseActie
PLANNEN (PLAN)De informatiesysteemcommissie legt het PSSI en de operationele inbedding ervan vast, goedgekeurd door de Algemene Directie. Zij werken vervolgens een actieplan uit om de vastgelegde regels te implementeren.
REALISIEREN (DO)Het PSSI wordt door alle medewerkers gevolgd waarbij zij gebruik maken van de door de Algemene Directie geleverde middelen, via de verantwoordelijke voor de informatica en diens team.
CONTROLEREN (CHECK)Het toepassen van de regels van het PSSI wordt regelmatig door middel van audits en tests gecontroleerd. Er worden beveiligingsindicatoren (KPI)'s verkregen en geanalyseerd door de cyber-comités.
AANPASSEN (ACT)De aangetroffen afwijkingen worden gecorrigeerd en/of in acht genomen voor het definiëren van een nieuwe cyclus. Er wordt een nieuwe iteratie (PDCA) uitgevoerd.

Schendingen

Alle afwijkingen van de vastgelegde beveiligingsregels worden aangemerkt als schendingen van de veiligheid. Uitzonderingen zijn mogelijk.. Voor elke uitzondering op de veiligheidsregels moet een geformaliseerde schending worden gemaakt, goedgekeurd door het RSSI en de Algemene Directie, en periodiek worden gereviewd.

IDOnderwerpAanvrager/ReferentPSSI-regel geschondenMaatregelen tot beperking van de gevolgenDuur van de goedgekeurde schendingDatum van goedkeuringBeslisserVervaldatumStatusDatum afsluiten
           

Sancties

Elke schending van de in de PSSI vermelde regels kan voor de werknemer resulteren in disciplinaire maatregelen, al naar gelang de ernst van de schending, zoals in het Interne reglement gedefinieerd.

De thematiek van het operationele PSSI

In het operationele PSSI zijn de hoofdstukken van de ISO/IEC 27002 opgenomen, inclusief de in 2022 geïmplementeerde eisen. Hier volgen de belangrijkste hoofdstukken.

  • Hoofdstuk 5: Beheer van de informatiebeveiliging: (PSSI). Binnen het beheer wordt het kader van het beveiligen van de informatie beschreven. Hier worden de beleidsmaatregelen, de richtingen en de principes gedefinieerd voor het implementeren, controleren en verbeteren van de informatiebeveiliging volgens de strategie van de organisatie.
  • Hoodstuk 6: Organisatie van de informatiebeveiliging: (verantwoordelijkheden, coördinatie, mobiliteit, thuiswerken). In dit hoofdstuk worden de organisatie van de informatiebeveiliging en de daarmee verbonden verantwoordelijkheden gedefinieerd, evenals de integratie van de beveiliging in de interne en externe relaties. Tevens wordt hier de beveiliging in het kader van mobiliteit en thuiswerken behandeld.
  • Hoofdstuk 7: Beveiliging van human resources: De beveiliging van human resources heeft tot doel te verzekeren dat de medewerkers hun verantwoordelijkheden begrijpen op het gebied van informatiebeveiliging. Dit betekent het beschermen van de belangen van de organisatie gedurende de lifecycle van de medewerkers:vóór het in dienst nemen, tijdens de werkzaamheden en na het vertrek.
  • Hoofdstuk 8: Beheer van de activa: Het beheer van de activa bestaat uit het identificeren, inventariseren en classificeren van de activa van de organisatie. Hierdoor kunnen heldere verantwoordelijkheden worden toegekend en kan worden gegarandeerd dat de de informatie een mate van beveiliging kent die overeenkomt met de gevoeligheid en het belang ervan.
  • Hoofdstuk 9: Toegangscontrole: Dit hoofdstuk richt zich op het beheren van de toegang tot de systemen en tot de informatie door geschikte authentificatie- en autorisatiemechanismen. Het gebruik van geprivilegieerde toegang volgens het 'need to know'-principe en van de laagste privileges, en het opleggen ven traceerbaarheid van gevoelige acties.
  • Hoofdstuk 10: Cryptografie: Cryptografie garandeert het juiste en doelmatige gebruik van cryptografische mechanismen om de vertrouwelijkheid, integriteit en authenticiteit van de informatie te beschermen. Hieronder valt ook het beheer van cryptografische sleutels..
  • Hoofdstuk 11: Fysieke en milieutechnische beveiliging: Fysieke beveiliging richt zich op het voorkomen van niet-geautoriseerde toegang, beschadigingen en onderbreking van de werkzaamheden als gevolg van verlies, diefstal, vernietiging of het compromitteren van fysieke activa, gebouwen en essentiële infrastructuren.
  • Hoofdstuk 12: Beveiliging met betrekking tot exploitatie: Beveiliging van de exploitatie garandeert een betrouwbaar en beveiligd functioneren van de middelen voor het verwerken van de informatie. Dit omvat de beveiliging tegen malware, het beheer van kwetsbaarheden, het loggen van acties, het veiligstellen van de gegevens en het voorkomen van onherstelbaar verlies van informatie.
  • Hoofdstuk 13: Beveiliging van de communicatie: Dit hoofdstuk richt zich op het beveiligen van de informatie die op interne en externe netwerken rondgaat. Hierin worden de beveiliging van de communicatie, toegang op afstand, het gebruik van mobiele apparatuur en het uitwisselen met externe actoren behandeld.
  • Hoofdstuk 14: Verwerving, ontwikkeling en onderhoud van de systemen: De informatiebeveiliging moet tijdens alle stadia van de lifecycle van systemen en projecten worden geïntegreerd: ontwerp, ontwikkeling, integratie, exploitatie, onderhoud en uitfasering.
  • Hoofdstuk 15 : Relaties met leveranciers: De beveiliging met betrekking tot leveranciers richt zich op het garanderen dat de aan derden toegankelijke activa beveiligd zijn volgens de eisen van de organisatie. Hierin worden een contractueel kader, veiligheidseisen en het loggen van de prestaties opgelegd.
  • Hoofdstuk 16: Beheer van de informatieveiligheidsincidenten: Het beheer van de incidenten garandeert een coherent en efficiënt antwoord op beveiligingsgebeurtenissen, ongeacht of deze van menselijke, technische of milieutechnische oorsprong zijn. Een beveiligingsgebeurtenis is elke situatie die van invloed kan zijn op de vertrouwelijkheid, integriteit of beschikbaarheid van informatie. De organisatie volgt een procedure die rekening houdt met het voorkomen, detecteren, reageren en herstellen.
  • Hoofdstuk 17: Continuïteit van de activiteiten: De continuïteit van de activiteiten richt zich op het garanderen dat de kritieke activa en essentiële processen in geval van belangrijk onheil kunnen blijven functioneren, door middel van continuïteits- en herstelplannen en het functioneren in beperkte modus.
  • Hoofdstuk 18: Conformiteit: Conformiteit richt zich op het vermijden van elke schending van wettelijke, contractuele en normatieve verplichtingen. Hiermee wordt gegarandeerd dat de informatiebeveiliging wordt geïmplementeerd, gecontroleerd en aangepast volgens de verplichtingen en het beleid van de organisatie.