Incidentresponsbeleid - MKB

Het incidentresponsbeleid (P30S) is ontwikkeld voor kleine en middelgrote ondernemingen (MKB's) die robuuste, ISO/IEC 27001:2022-conforme protocollen zoeken zonder een intern Security Operations Center (SOC) of een fulltime Chief Information Security Officer (CISO) te vereisen. Dit MKB-beleid wijst de verantwoordelijkheid voor incidenttoezicht en regelgevende kennisgevingen expliciet toe aan de algemeen directeur (GM), en biedt een duidelijke structuur die geschikt is voor organisaties met beperkte toegewijde IT-operaties. Het document beschrijft eisen waarmee MKB's schade kunnen beperken, gevoelige informatie kunnen beschermen en kritieke wettelijke verplichtingen kunnen nakomen, zoals de 72-uurs meldplicht voor een datalek onder de AVG. De scope is breed en omvat al het personeel (werknemers, contractanten en externe dienstverleners), alle technische bedrijfsmiddelen (websites, cloudplatformen, e-mailaccounts en mobiele apparaten) en elke significante vorm van incident (van ongeautoriseerde toegang tot malware-infectie, phishing, systeemuitval en verlies/diefstal van apparaten). Het beleid stelt gedetailleerde doelstellingen vast: snelle herkenning, logging, escalatie, juridische kennisgeving, effectieve indamming, gegevensherstel en preventie op basis van hoofdoorzaakanalyse. Het ondersteunt MKB's ook bij het slagen voor ISO/IEC 27001-audits en het aantonen van passende bevoegdheid en verantwoordingsplicht richting klanten en toezichthouders. Specifieke rollen en verantwoordelijkheden zijn vereenvoudigd om aan te sluiten op de MKB-context: de GM behoudt de algehele verantwoordelijkheid, ondersteund door interne of uitbestede IT-beheerders. Medewerkers en contractanten krijgen instructies om elk incident onmiddellijk te melden zonder ongeautoriseerde noodreparaties uit te voeren. Externe leveranciers zijn verplicht de GM te informeren en indammingsacties te ondersteunen conform wettelijke verplichtingen, met dezelfde meldtermijnen als interne incidenten. Het beleid bevat gestructureerde meldingsprocedures, waaronder duidelijke communicatiekanalen (een speciaal incident-e-mailadres of mondelinge melding), vereiste details (tijdstip van ontdekking, aard, getroffen systemen en waarneembare impact) en categorisering binnen één uur. Incidentlogboeken, bijgehouden door de GM, vormen de kern van de registratie voor audits. Kwartaalbeoordelingen, hoofdoorzaakanalyses en updates na incidenten zorgen voor zowel voortdurende doeltreffendheid als responsiviteit op opkomende dreigingen. Het document beschrijft ook de eisen voor training en bewustwording voor al het personeel, onboarding, opfrissessies en verplichte meldingsverwachtingen. Handhavingsbepalingen vereisen dat alle entiteiten, inclusief derde partijen, volledig naleven: tekortkomingen of protocolschendingen kunnen leiden tot waarschuwingen, intrekking van toegangsrechten, contractuele sancties of verwijdering uit leverancierslijsten. Al het auditbewijsmateriaal en logs moeten ten minste één jaar worden bewaard en op verzoek voor audits worden verstrekt. Uitgebreide herzieningsmechanismen zorgen ervoor dat het beleid afgestemd blijft op evoluerende normen, regelgevende wijzigingen en operationele verschuivingen, en relevant blijft voor MKB's.