Niveau beheerd

Bij organisaties met het profiel ‘Beheerd’ is er in samenspraak met het hoger management en het IT-management een korte-termijnbeleid voor informatiebeveiliging en IT-security. De IT-afdeling is zich bewust van de risico’s en communiceert hierover met de directie en medewerkers van de organisatie. IT-security wordt actief opgepakt en wordt meegenomen in projecten en beheer. Er is bekend welke maatregelen er getroffen zijn en de documentatie hiervan wordt regelmatig bijgehouden. Zo zijn er maatregelen getroffen om de organisatie te beschermen tegen bekende en onbekende bedreigingen die niet speciaal gericht zijn op de organisatie. Ook worden systemen en applicaties up-to-date gehouden. Binnen de organisatie is de logging centraal geregeld waardoor de gebeurtenissen in de infrastructuur zichtbaar zijn. In het geval van een security incident kan het IT-management de oorzaak onderzoeken en maatregelen nemen.

Organisaties met dit securityprofiel hebben een goede bescherming tegen de meeste bedreigingen die niet specifiek op de organisatie gericht zijn. In het geval dat informatie en systemen niet beschikbaar zijn zal dit niet binnen enkele dagen leiden tot een faillissement. Organisaties die binnen dit profiel passen hebben bedrijfskritische processen en privacygevoelige of vertrouwelijke gegevens maar zijn geen specifiek doelwit. Ze kunnen zich tot op zekere hoogte verweren tegen bekende en onbekende bedreigingen.