ISO 27001

Natuurlijk komen uw vertrouwelijke documenten niet direct op Wikileaks terecht. Zo’n vaart loopt het echt niet. Maar misschien is het niet eens zo’n heel gek idee om na te gaan of er bij u informatie lekt. Hoeft niet per se een griezelige hacker te zijn, vlak een medewerker die zijn bureau wat slordig achter laat niet uit. Of wat te denken van gevoelige informatie op een verloren USB-stick. Gebeurt wel vaker.

Informatiebeveiliging

Informatiebeveiliging gaat niet per se over ICT. Het gaat erom dat u en uw medewerkers zich bewust worden van de waarde van de voor u vanzelfsprekende informatie. En dat u zich bewust wordt van het gemak waarmee u deze informatie blootstelt aan mogelijke ontvreemding. Informatiebeveiliging is in die zin meer een zaak van gedrag dan van regels en techniek.

ISO 27001

De norm ISO 27001 – bijbehorende richtlijnen incluis – biedt een handig kader om een passend managementsysteem op te zetten. Gericht op de mate van gevoeligheid van uw informatie en gebaseerd op dezelfde principes als ISO 9001 en ISO 14001. Daarmee ook perfect te integreren in uw bestaande managementsysteem. Geen ingewikkelde zaken. Gewoon Plan-Do-Check-Act. Alleen nu niet over kwaliteits- of milieuaspecten, maar over ‘informatiebeveiligingsaspecten’. Het invoeren van een Informatiebeveiligingsmanagementsysteem (Scrabble; drie keer woordwaarde), kortweg ISMS, is minder ingewikkeld dan u nu waarschijnlijk denkt. De norm geeft namelijk aan wat voor u de minimale set aan maatregelen is, voor uw risico-niveau.

Zeggen wat je doet, doen wat je zegt en aantonen dat je doet wat je zegt

Aan de hand van ISO 27001 kunt u uw ISMS integraal aanpakken en aantoonbaar maken. Het is een uitstekend middel voor organisaties die de aandacht voor informatiebeveiliging een vast onderdeel laten zijn van het beleid. U geeft hiermee een signaal naar uw klanten, partners en leveranciers dat hun vertrouwelijke gegevens bij u in ieder geval in goede handen zijn.

De norm vertelt u niet wat een goede beveiliging is en heeft geen concrete beveiligingseisen. Wel zijn de eisen gesteld voor het beleid. U dient dan te voldoen aan de wettelijke (privacy) eisen en uiteraard moet u het proces en de werkwijze continu verbeteren.

Certificatie

Van de buitenkant is natuurlijk niet te zien dat er bij u geen muisje kan ontsnappen. Toch zou u naar uw klanten en partners van de daken willen schreeuwen dat dat zo is. Hoeft niet. Daar is iets veel handigers voor bedacht: certificatie. Deskundigen op het gebied van informatiebeveiliging én managementsystemen kunnen toetsen of dat muisje inderdaad niet ontsnapt. Mochten ze overtuigd zijn dat u uw informatie inderdaad goed beheert, dan zijn zij bereid om dit aan de buitenwereld te verklaren. Dat doen zij met een officieel ISO 27001-certificaat.

Voordelen

We kunnen wel een lange lijst met voordelen oplepelen, maar het komt in deze tijd maar op één ding neer: u wilt niet dat uw vertrouwelijke informatie terecht komt bij Wikileaks, een zusje daarvan, of misschien gewoon bij de concurrent.

Wat misschien ook een goed bewaard geheim is, is dat wij graag met u afspreken om er achter te komen of ISO 27001 voor u geschikt is. We hoeven dan heus nog niet alles van uw organisatie te weten, maar een vrijblijvende kennismaking? Het liefst op uw locatie. Biedt ons wel net die informatie die we nodig hebben om u te overtuigen. Of niet, maar dan is uw informatiebeveiliging waarschijnlijk al op orde.

Kunt u een geheim bewaren..?

Lees meer over ISO 27001 op onze blog.