Informatiebeveiliging verbeteren met ISO 27001

ISO 27001 is een kwaliteitsmanagementnorm, die specifiek is gericht op de beveiliging van informatie of data in processen. Een organisatie bevat veel informatie en informatie wordt in alle processen gebruikt. Daarom is het belangrijk informatie eerst te categoriseren voordat processen worden ontworpen. We helpen u informatie op de juiste manier beveiligen en de organisatie certificeren voor ISO 27001.

Certificatie ISO 27001 en de classificatie van informatie

Klanten, overheden en medewerkers verwachten dat uw organisatie zorgvuldig omgaat met informatie. Persoonsgegevens moeten veilig zijn opgeslagen, confidentiële informatie mag niet op verkeerde plekken terecht komen en computers mogen geen data lekken. Klanten, stakeholders en de wetgever stellen steeds strengere eisen. ISO 27001 geeft hiertoe de richtlijnen en hulpmiddelen.

Classificatie van informatie leidt tot beveiliging van informatie in processen:

  1. Verdeel informatie in klassen
  2. Zorg voor borging van informatie per klasse
  3. Zorg voor beschikbaarheid van informatie in processen
  4. Neem beheersmaatregelen om informatie te beschermen

1. Verdeel informatie in klassen

Begin met de indeling van informatie in groepen. Bijvoorbeeld volgens onderstaande figuur.

informatiebeveiliging iso 27001

Klasse I bestaat uit vrij beschikbare informatie

De grijze driehoek toont drie groepen van informatie. Vrije informatie die publiek is of kan zijn en waar verder geen gevaar in zit. Dit is klasse I. Denk aan informatie die op de website staat of die in commerciële uitingen wordt gebruikt. Denk ook aan de informatie waarover medewerkers buiten de organisatie mogen praten, met bijvoorbeeld vrienden of klanten. Informatie beperkt zich niet tot data op een server, maar het gesproken woord en informatie op een telefoon, dienen in de analyse te worden meegenomen. ISO 27001 biedt hiervoor een checklist aan.

Klasse II bestaat uit operationele informatie

Informatie die niet vrij is, maar toebehoort aan uw organisatie, wordt interne of procesinformatie genoemd. Deze informatie is nodig om het dagelijks werk te kunnen uitvoeren. Deze mag niet naar buiten, maar kan wel binnen de organisatie worden gebruikt. Denk hierbij aan operationele informatie, zoals omzetcijfers, doorlooptijden, gegevens in de klantendatabase, planningen en algemene e-mails of agenda’s. Deze informatie is niet bedoeld voor de buitenwereld, maar nodig om de organisatie te laten functioneren. Het beveiligingsniveau voor dit soort informatie bestaat uit basis hulpmiddelen, zoals wachtwoorden, pincodes, bezoekerspasjes en kamersleutels. Inloggen in computers, e-mail accounts en ERP systemen verloopt praktisch vaak via passwords.

Klasse III bestaat informatie die goed beschermd moet worden

Tot slot is er nog de classified information. Dit is informatie die de organisatie heeft aangemerkt als vertrouwelijk, maar ook informatie die bij wet dient te worden beschermd, zoals persoonsgegevens. Ook kan het informatie zijn met als kenmerk need to know. De maatregelen van klasse 2 voldoen niet altijd en er zijn extra beschermingstechnieken en afspraken nodig, die vaak vallen onder encryptie en de beperking van toegang tot ruimten en serverlocaties.

2. Zorg voor borging van informatie per klasse

Desgewenst kunnen er meer klassen worden gemaakt, maar u zult merken dat dat niet snel nodig is. Meestal bestaat de uitdaging eerder uit het goed laten functioneren van beschermingsprotocollen op de genoemde drie niveaus. Stel dat er een incident gebeurt met informatie in klasse 2, dan heeft een verhoging van die informatie van klasse 2 naar klasse 3 weinig zin. De informatie zal wellicht beter afgeschermd zijn, maar het operationele werk dat met die informatie moet worden uitgevoerd, wordt onnodig duur en ingewikkeld gemaakt. Het is beter om de maatregelen op niveau 2 dan beter te borgen. Dat is gelijk het bruggetje naar het volgende onderwerp.

3. Zorg voor beschikbaarheid en integriteit van informatie in processen

Informatie moet om allerlei redenen worden beveiligd, echter, het is ook een ‘gebruiksvoorwerp’. Medewerkers hebben informatie nodig om hun werk uit te kunnen voeren. Dit noemt de norm ISO 27001 de beschikbaarheid van informatie of de toegang tot informatie. Informatie kan met wachtwoorden worden afgeschermd, maar ook met pasjes, sleutels of herkenningssoftware. Het voordeel van ISO 27001 is dat ISO 9001 de basis is. Dat betekent dat alle primaire processtappen en ondersteunende processen zijn gedefinieerd. Kijkend door de bril van informatiebeveiliging kunnen de processen worden bestudeerd en kan per proces worden bepaald welke informatie nodig is en beschikbaar moet worden gemaakt om het werk uit te voeren. Dat wordt de integriteit van informatie genoemd. Informatie moet juist, compleet en volledig zijn om werk goed uit te voeren.

4. Neem beheersmaatregelen om informatie te beschermen

Nu volgt de stap om informatie te beveiligen. De klassen zijn bepaald, het gebruik in het werk is vastgesteld, zodat de beheersmaatregelen kunnen worden ontworpen en geïmplementeerd. Wachtwoorden, software, gescheiden partities, afgesloten ruimten en vele andere hardware en software maatregelen zijn denkbaar. De norm ISO 27001 schenkt daar uitgebreid aandacht aan, maar gelukkig ook aan belangrijke strategische en gedragsonderwerpen. De directie dient duidelijkheid te verschaffen over de status en belangrijkheid van informatie en de bijbehorende beheersmaatregelen. Bekijk de training ISO 27001 voor de praktijk.

ISO 27001 helpt bij de beveiliging van informatie in techniek en gedrag

Beveiliging van informatie is zeker niet uitsluitend een technische aangelegenheid. Medewerkers die informatie op een bureau laten liggen, thuis werken, met derden praten en informatie op hun telefoon downloaden vormen vaak het informatielek. De directie van een organisatie dient dan ook beleid te maken op het onderwerp informatieveiligheid en het bewustzijn hierover te ontwikkelen. Naast alle technische maatregelen, dient het bewustzijn van de informatierisico's te zijn geborgd in de cultuur van de organisatie. Ook dat is onderdeel van ISO 27001 en de uitdaging om te voldoen aan de eisen en verwachtingen van alle stakeholders van uw organisatie.

Vraag de Checklist ISO 27001 aan. Vul dan onderstaande formulier in. U kunt ook bellen via 088 33 666 66 of een e-mail sturen naar info@patagonia-bv.com.

training coaching management

Diensten

Bekijk onze diensten

Lees meer

Oplossingen

Oplossingen

Ga naar de oplossingen

Lees meer

Artikelen

Artikelen

Lees meer artikelen

Lees meer

TQM

Cases

Bekijk voorbeelden

Lees meer

Stel uw vragen

Vul het formulier in en stel uw vragen.

ISO 27001 toepassen

  • ISO 27001 implementeren
  • Informatie beveiligen
  • Informatie classificeren
  • Voldoen aan richtlijnen
  • Compliance wetgeving
  • AVG/GDPR volgen
  • Certificatie ISO 27001
  • Informatiebeveiliging
  • Reductie risico's