U kunt absoluut niet zonder, en staat daar mogelijk niet eens bij stil: informatie. Data is namelijk een drijvende kracht achter veel bedrijfsprocessen. Het spreekt dan ook voor zich dat u er goed voor zorgt, en informatie veilig beheert.
Hoewel uw vertrouwelijke documenten of klantgegevens natuurlijk niet zomaar op straat belanden, en de kans aannemelijk is dat u niet het directe doelwit van een hack bent, zit een incident in een klein hoekje. Denk maar aan een verloren USB-stick met gevoelige informatie, verkeerd toegekende gebruikersrechten van een stagiair, een medewerker die zijn werkstation vergeet af te sluiten, of een leverancier die de beveiliging niet op orde heeft. Die dingen gebeuren nu eenmaal wel vaker.
We weten inmiddels ook dat beveiliging van informatie niet louter over technische oplossingen gaat, maar vooral ook in de ‘zachte kant’ zit. Zijn uw medewerkers, leveranciers of onderaannemers zich wel bewust van mogelijke risico’s bij hun handelen? En hoe zorgt u ervoor dat iedereen op zijn of haar qui-vive blijft waar nodig? Informatiebeveiliging heeft dus ook te maken met voorlichting en training, en per organisatie moet gekeken worden waar de uitdagingen zitten.
ISO 27001 – Informatiebeveiliging
De managementsysteemnorm voor informatiebeveiliging is de ISO 27001. Deze norm –inclusief bijbehorende richtlijnen- biedt het kader om een passend managementsysteem op te zetten.
Mocht u al bekend zijn met managementsysteemnormen zoals ISO 9001 voor kwaliteitsmanagement, ISO 14001 voor milieumanagement, of ISO 45001 voor Arbomanagement, dan zal de inhoudsopgave van ISO 27001 u bekend voorkomen. De norm is namelijk ook opgebouwd volgens de High Level Structure (HLS, tegenwoordig Harmonized Structure (HS)), en laat zich dus uitstekend combineren met bijvoorbeeld ISO 9001 of ISO 14001. Leuk weetje: in 2013 was de ISO 27001 één van de eerste managementsysteemnormen om de HLS toe te passen.
Het invoeren van een Informatiebeveiligingsmanagementsysteem (Scrabble; drie keer woordwaarde), kortweg ISMS, is minder ingewikkeld dan u nu waarschijnlijk denkt. De kern is namelijk het bepalen van de mogelijke risico’s die gelden voor uw organisatie, en als basis geeft de norm al een flinke set van maatregelen ter overweging. Die maatregelen (of variaties daarop) zijn voor veel organisaties voldoende om de meest kritische risico’s af te dekken.
Uiteindelijk draait het allemaal om Plan-Do-Check-Act: vaststellen wat de relevante invloeden zijn, wat de gewenste richting van de organisatie is, wat daarbij kan helpen of juist kan tegenwerken, hoe dat in de praktijk te borgen en tot slot hoe de prestaties gemeten en gemonitord kunnen worden om zo de cyclus opnieuw in gang te zetten.
Waarom voor u?
Ook als u geen Google, Microsoft, of Amazon bent, u geen gevoelige patiëntgegevens opslaat, of wanneer u geen serverruimte verhuurt, is ISO 27001 mogelijk relevant voor u en uw opdrachtgevers. Met de toenemende aandacht voor datalekken en privacy zien we dat ook buiten de ‘usual suspects’ naar maatregelen omtrent informatiebeveiliging wordt gevraagd. Het is steeds vaker onderdeel van inkoopvoorwaarden of een projectplan, en van tijd tot tijd komt informatiebeveiliging ook in aanbestedingseisen voorbij. Daarbij gaat het dan niet altijd om álle eisen uit de norm, maar soms om een selectie daarvan.
Voordelen
Aan de hand van ISO 27001 kunt u uw ISMS integraal aanpakken en aantoonbaar maken. Het is een uitstekend middel voor organisaties die de aandacht voor informatiebeveiliging een vast onderdeel laten zijn van het beleid. U geeft hiermee een signaal naar uw klanten, partners en leveranciers dat hun vertrouwelijke gegevens bij u in ieder geval in goede handen zijn.
Net als bij andere normen schrijft de ISO 27001 niet letterlijk voor wat een ‘goede’ beveiliging is en welke concrete maatregelen u dient te treffen, maar er worden wel eisen gesteld aan de manier waarop u uw risico’s vaststelt, een beleid formuleert, en uw maatregelen plant. Wat rest is continu verbeteren.
Certificatie
Om aan externen te laten zien dat u informatiebeveiliging serieus aanpakt, kunt u uw ISMS laten certificeren door een onafhankelijke, externe partij. Dat geeft klanten en partners vertrouwen, en geeft u in aanvulling op uw eigen, interne audits en onderzoeken een periodieke controle van uw managementsysteem. Dat leidt dan uiteindelijk tot een officieel ISO 27001-certificaat.
En nu?
Nu gaan we graag in gesprek over waar uw behoeften en vragen zitten, en hoe we u daar het best bij kunnen helpen. Wilt u een ISMS opzetten? Dan beginnen we veelal met een nulmeting. Bent u al even bezig en wilt u sparren over de volgende stap? Of heeft u behoefte aan ondersteuning op één specifiek onderdeel? We drinken graag een (virtuele) kop koffie of thee met u.
In alle gevallen geldt: we zijn slechts een mailtje of telefoontje van u verwijderd.