Mappenstructuur

Document Governance & Information Management Policy

ISO/IEC 27001 & NIST-aligned
(Microsoft 365 & Google Workspace)

1. Doel en scope

(ISO 27001: A.5.1 / NIST ID.GV)

Deze policy beschrijft de organisatorische en technische maatregelen voor documentbeheer, naamgeving, structuur en versiebeheer binnen de digitale werkomgeving van de organisatie.

De policy is van toepassing op:

  • alle digitale documenten;

  • alle medewerkers, externen en systemen;

  • Microsoft 365 (SharePoint, OneDrive);

  • Google Workspace (Drive, Shared Drives).

Doelstellingen:

  • vertrouwelijkheid, integriteit en beschikbaarheid van informatie (CIA-triade);

  • beheersbaarheid en overdraagbaarheid van informatie;

  • beperking van operationele en menselijke risico's.

2. Normatieve referenties

Deze policy sluit aan bij:

ISO/IEC 27001 (Annex A – 2022)

  • A.5.1 Information security policies

  • A.5.10 Acceptable use of information

  • A.5.12 Classification of information

  • A.5.15 Access control

  • A.5.33 Protection of records

  • A.8.9 Configuration management

  • A.8.10 Information deletion

NIST Cybersecurity Framework (v1.1 / v2.0)

  • ID.GV Governance

  • ID.AM Asset Management

  • PR.DS Data Security

  • PR.IP Information Protection Processes

  • DE.CM Continuous Monitoring

3. Informatieclassificatie & structuur

(ISO A.5.12 / NIST ID.AM)

3.1 Structuurprincipes

  • Informatie wordt georganiseerd volgens logische hiërarchie, vergelijkbaar met een Work Breakdown Structure (WBS).

  • Elke map vertegenwoordigt één duidelijk afgebakend informatiesegment (project, proces, dossier).

  • Structuren zijn organisatiebreed consistent.

3.2 Beperkingen

  • Maximaal 5 logische niveaus (absolute limiet: 8).

  • Persoonsgebonden structuren in gedeelde omgevingen zijn niet toegestaan.

  • Eigenaarschap ligt bij de organisatie, niet bij individuele gebruikers.

4. Naamgeving van mappen en bestanden

(ISO A.5.10 / A.8.9)

4.1 Technische vereisten

Toegestane tekens:

  • a–z, A–Z

  • 0–9

  • _ en -

Niet toegestaan:

  • spaties

  • leestekens

  • diakritische tekens

  • speciale tekens

Deze beperkingen voorkomen interpretatiefouten, synchronisatieproblemen en integratiefouten tussen systemen.

4.2 Naamgevingslogica

  • Namen zijn beschrijvend, eenduidig en contextueel correct.

  • Afkortingen zijn enkel toegestaan indien centraal gedocumenteerd.

  • Vage namen ("Varia", "Divers") zijn verboden.

5. Bestandsnaamstructuur

(ISO A.5.33 / NIST PR.DS)

Verplichte structuur:

Datum (YYYYMMDD) – Context – Onderwerp – Optionele status

Voorbeelden:

  • 20250301_ProjectX_Nota.docx

  • 20250315_ProjectX_Nota_GOEDGEKEURD.pdf

Bestandsextensies worden automatisch beheerd door het besturingssysteem en mogen niet handmatig worden aangepast.

6. Versiebeheer en integriteit

(ISO A.8.9 / A.5.33 / NIST PR.IP)

6.1 Automatisch versiebeheer

Microsoft 365 en Google Workspace voorzien automatisch versiebeheer, dat:

  • wijzigingen logt;

  • eerdere versies herstelbaar maakt;

  • samenwerking ondersteunt zonder duplicatie.

Dit mechanisme is de primaire methode voor versiecontrole.

6.2 Expliciete versies

  • Expliciete versienummers in bestandsnamen zijn niet toegestaan voor tussentijdse iteraties.

  • Uitzondering: formele mijlpalen (goedkeuring, ondertekening, externe verspreiding).

  • Termen zoals final, laatste, definitief zijn niet toegestaan.

7. Platformspecifieke governance

(ISO A.5.15 / NIST PR.AC)

7.1 Microsoft 365

  • Organisatiedocumenten worden opgeslagen in SharePoint of Teams.

  • OneDrive is uitsluitend bedoeld voor persoonlijk of tijdelijk gebruik.

  • Versiegeschiedenis blijft actief en ongewijzigd.

7.2 Google Workspace

  • Organisatiedocumenten worden opgeslagen in Shared Drives.

  • "My Drive" wordt niet gebruikt voor team- of procesinformatie.

  • Eigenaarschap ligt altijd bij de organisatie.

8. Padlengte en technische robuustheid

(ISO A.8.9)

  • Maximale padlengte: 255 tekens.

  • Structuren die deze limiet overschrijden zijn niet toegestaan.

  • Periodieke controles maken deel uit van het beheerproces.

9. Wijzigingen, hernoemen en lifecycle

(ISO A.8.10 / NIST PR.IP)

  • Hernoemen en herstructureren gebeurt gecontroleerd en gedocumenteerd.

  • Wijzigingen worden getest buiten productie.

  • Verwijdering van informatie volgt vastgelegde bewaartermijnen.

10. Rollen en verantwoordelijkheden

(ISO A.5.2 / NIST ID.GV)

  • Gebruikers: correct gebruik en naleving van richtlijnen.

  • Informatie-eigenaars: inhoudelijke correctheid en classificatie.

  • ICT / Security: handhaving, monitoring en auditing.

11. Monitoring, audit en naleving

(ISO A.5.36 / NIST DE.CM)

  • Logging van toegang en wijzigingen via platformfunctionaliteit.

  • Periodieke controles op structuur, naamgeving en toegang.

  • Afwijkingen worden geregistreerd en gecorrigeerd.

12. Slotbepaling

Deze policy ondersteunt aantoonbaar:

  • ISO/IEC 27001 compliance,

  • NIST CSF-alignment,

  • duurzame informatiebeveiliging en governance.

Afwijkingen zijn enkel toegestaan na formele goedkeuring.

Goedgekeurd door:
Datum:
Versie:

Als volgende stap kan ik dit:

  • mapen naar een Statement of Applicability (SoA),

  • inkorten tot een audit-samenvatting,

  • of afstemmen op ISO 27701 (privacy) of NIS2.

bron https://www.projecttracks.be/overzicht-toolbox/ordenen-en-beschrijven/naamgeving-van-mappen-en-bestanden