Ga direct naar de inhoud.

iso 27001 informatiebeveiliging
De ontwikkelingen rond ISO 27001
Blog

Wij zijn uw partner voor managementvraagstukken: organisatieadvies, implementatie trajecten, verbeterprogramma's en opleidingen. Samen met uw collega's streven we naar een verbeterde concurrentiepositie voor uw organisatie.

Lees meer over ons

ISO 27001 industriestandaard voor informatiebeveiliging

ISO 27001 is de nieuwe standaard voor informatiebeveiliging. Deze norm vervangt een aantal oudere versies van de NEN, ISO en de Britisch Standards (BS). Door gebruik te maken van ISO 27001 laat een organisatie zien, informatie actief te beveiligen, aan de wet te voldoen (zoals Wbp, meldplicht datalekken, GDPR, e.a.) en informatieveiligheid in het algemeen niet aan het toeval over te laten, maar te borgen in de operationele processen. Wat bekent ISO 27001 voor een organisatie, voor de stakeholders en op welke manier kan de norm praktische worden gemaakt? Lees de aanwijzingen en de ontwikkelingen.

Vanzelfsprekend moeten organisaties voldoen aan de Wet bescherming persoonsgegevens (Wbp), de richtlijnen voor datalekken en de aanstaande Europese wet voor databescherming: General Data Protection Regulation (GDPR). Die laatste is nu nog een richtlijn, maar zal in 2018 worden omgezet naar wetgeving. De tekst is nu al vrijgegeven, om organisaties de gelegenheid te bieden zich voor te bereiden. Wetgeving is echter maar een deel van ISO 27001.

Met ISO 27001 aan de wet voldoen en uw organisatie certificeren

Voordat over informatiebeveiliging kan worden nagedacht, moet eerst een informatieanalyse worden gemaakt. Daarna kan een Information Security Management System (ISMS) worden ontwikkeld en kunnen beheersmaatregelen worden genomen om afwijkingen te herstellen en risico's te reduceren. We bespreken de volgende onderwerpen.

  1. Analyse van informatie in primaire en secundaire processen
  2. Analyse van de behoeften van stakeholders
  3. Toets op wetgeving en voldoen aan de wetgeving
  4. Classificatie van informatie volgens de industriestandaard
  5. Implementatie en certificatie volgens ISO 27001

1. Analyse van informatie in primaire en secundaire processen

Denk niet te licht over deze analyse. In praktisch iedere exercitie die we bij klanten hebben uitgevoerd, komt naar voren dat er meer informatie rond gaat dan aanvankelijk wordt gedacht en dat veel informatie op plekken ligt die niet werden verwacht. Natuurlijk staat informatie in applicaties in de cloud, op servers en in kasten op afdelingen. Wat vaak over het hoofd wordt gezien, is de informatie, die in de verzonden en verwijderde items van Outlook zit, die op Google Drive staat, die in de papierbak wordt gestopt en die op memory sticks staat. Om maar een paar voorbeelden te noemen. Het is niet waar u verwacht dat informatie staat, maar om de feitelijke analyse waar medewerkers de informatie zelf actief (onbewust) naar toe hebben gebracht. Denk daarbij ook aan sociale media, gesprekken in openbare ruimten, wat zichtbaar op bureaus ligt, onbeveiligde wifi netwerken en wachtwoorden in tassen of bureaula's. Waar stroomt alle informatie naar toe?!

2. Analyse van de behoeften van stakeholders

Nadat de inventarisatie is uitgevoerd, volgt de vraag welke eisen de organisatie zelf stelt en welke verwachtingen stakeholders (waaronder ook de wetgever valt) hebben. Vanzelfsprekend verwachten bijvoorbeeld medewerkers dat aan de Wet bescherming persoonsgegevens wordt voldaan, maar kent u ook de verwachtingen van bijvoorbeeld klanten, leveranciers, de directie of aandeelhouders? Informatie over innovaties mogen niet op straat komen te liggen, financiële cijfers mogen niet bij de concurrentie terecht komen en de strategie mag waarschijnlijk evenmin publiekelijk bekend worden. Maak een ronde langs alle stakeholders en inventariseer de verwachtingen dan wel eisen, waarbij u vooral uw eigen organisatie niet vergeet. Op basis van deze inventarisatie kunt u de informatie classificeren. Kies in eerste instantie 3 categorieën, die het veiligheidsniveau aangeven. We komen hier zo op terug. Deel de informatie in deze 3 categorieën op basis van de richtlijnen van de stakeholders. ISO 27001 biedt in bijlage A van de norm een checklist als hulpmiddel met allerlei soorten informatie.

3. Toets op wetgeving en voldoen aan de wetgeving

Er is een belangrijke wet van toepassing, waar iedere organisatie mee te maken heeft. De Wet bescherming persoonsgegevens (Wbp), die volgend jaar zal worden uitgebreid aan de hand van de Europese richtlijnen General Data Protection Regulation (GDPR). Uw organisatie dient aan die wet(ten) te voldoen. Onderdeel van die wet is ook de meldplicht datalekken. De Wbp houdt in dat data in geautomatiseerde systemen alleen voor een gerechtvaardigd doel mogen worden gebruikt en niet zonder toestemming van personen mogen worden weggegeven, verkocht of aan derden inzichtelijk worden gemaakt voor andere doeleinden. Dat is de reden dat personeelsgegevens moeten worden beschermd. Het gaat om de bescherming van de privacy. Mocht onverhoopt een lek optreden, dan dient de Autoriteit Persoonsgegevens te worden geïnformeerd. Zorg voor goede procedures bij dit onderwerp.

4. Classificatie van informatie volgens de industriestandaard

Gebruikelijk worden 3 of 4 gradaties van vertrouwelijkheid toegepast. De eerste categorie, klasse I of categorie I, bevat algemene informatie, die openbaar mag worden of soms zelfs moet worden, omdat het bijvoorbeeld de marketing ondersteunt. Veel informatie valt in categorie II. Informatie van de organisatie, die wel beschikbaar is voor medewerkers van de organisatie, maar die niet naar buiten mag stromen. Denk aan klantgegevens, financiële cijfers, productinformatie en contracten met leveranciers. Dit soort informatie zit gemiddeld genomen achter een wachtwoord of er geldt een clean desk policy. Om die reden hebben laptops en applicaties een wachtwoord als toegangssleutel en mogen bezoekers in bepaalde ruimten niet komen. Dan is er de informatie die serieus beschermd moet worden; categorie III. Denk bijvoorbeeld aan persoonsinformatie, zoals binnen de Wet bescherming persoonsgegevens wordt bedoeld. Denk ook aan de wachtwoorden zelf of innovatieve producten. Het is de vraag of ter bescherming van deze informatie extra wachtwoorden nodig zijn, of juist afgesloten ruimten met toegangspasjes, toestemming van twee personen, kluizen of andere maatregelen? Tot slot kan er nog een categorie IV worden gedefinieerd met zeer geheime informatie.

5. Implementatie en certificatie volgens ISO 27001

Wat belangrijk is, is dat de informatie, die in een categorie valt de bescherming krijgt, die bij die categorie hoort. Per categorie wordt nagedacht over de mate van bescherming versus de beschikbaarheid van informatie voor de uitvoering van het werk. Bijvoorbeeld, bescherming van Outlook met een wachtwoord is goed, maar het nemen van beschermingsmaatregelen op niveau IV voor e-mails schiet waarschijnlijk door en wordt duur. Moet er toch informatie worden gedeeld van categorie III of IV, gebruik dan geen e-mail. Dat is effectiever en goedkoper, dan de hele organisatie belasten met overdreven veiligheidsmaatregelen op Outlook. Met andere woorden, neem de maatregelen, die passen bij een categorie en borg die processen vervolgens net zoals ook productieprocessen worden geborgd. Ga niet categorie IV veiligheidsmaatregelen op categorie II informatie toepassen. Dan wordt de organisatie duur en onwerkbaar. Sterker, medewerkers zullen de maatregelen niet begrijpen en al snel worden work arounds gecreëerd. Dat is natuurlijk ook niet goed, maar besef dat informatiebeveiliging niet alleen een technische aangelegenheid is, maar voor een zeer groot deel ook een gedragsonderwerp. Zijn eenmaal alle maatregelen geborgd en is het Information Security Management System operationeel, dan is certificatie conform ISO 27001 mogelijk. Doe dit in combinatie met ISO 9001 of zorg dat ISO 9001 vooraf is geborgd.

Informatiebeveiliging conform ISO 27001 is de standaard geworden

Het is een vrij lange weg geweest vanaf de eerste normen voor informatiebeveiliging, die meer het karakter van een checklist hadden, naar de nu geldende norm ISO 27001. Deze norm is geen checklist meer, maar een norm voor procesbeheersing, net als ISO 9001. De PDCA cirkel moet draaien, zodat de normale kwaliteitsmanagementbeginselen van procesbeheersing en continue verbetering als leidend mechanisme werken. Het checklist karakter is naar de achtergrond gegaan en zelf nadenken, analyseren en oplossingen bedenken is daarvoor in de plaats naar de voorgrond gekomen. Net als bij die andere standaard: ISO 9001! Dat is prettig, want nu kunt u maatwerk leveren voor uw organisatie. U bepaalt zelf de informatiestromen, de categorieën, de maatregelen en de wijze van borgen en verbeteren. U kiest bijvoorbeeld uw eigen wachtwoordenbeleid, meet of dat beleid afdoende werkt en verbetert het als dat nodig is. Let er wel op dat nieuwe Europese wetgeving met de richtlijn General Data Protection Regulation (GDPR) in de maak is en er zeker aan komt in 2018. Bereid uw organisatie alvast voor.

Wilt u hulp bij de implementatie van ISO 27001 en uw organisatie certificeren? Bel ons via 088 33 666 66 of stuur een e-mail naar info@patagonia-bv.com.

Gegevens invullen

×
Patagonia B.V. maakt gebruik van cookies. Bij gebruik van onze website gaat u ermee akkoord dat we deze cookies plaatsen en daarmee gegevens verzamelen. Op deze manier krijgen we een goed beeld van u als bezoeker en kunnen we u een optimale gebruikerservaring bieden. Als u geen cookies wilt, kunt u deze website niet gebruiken. Lees meer over cookies