Ga direct naar de inhoud.

iso 27001 informatiebeveiliging
Is informatie veilig in uw organisatie?

Informatiebeveiliging verbeteren met ISO 27001

ISO 27001 is een kwaliteitsmanagementnorm, die specifiek is gericht op de beveiliging van informatie c.q. data in processen. Een organisatie bevat veel informatie en informatie wordt in alle processen gebruikt. We helpen u deze informatie op de juiste manier te beveiligen en de organisatie te certificeren voor ISO 27001.

Klanten, overheden en medewerkers verwachten dat uw organisatie zorgvuldig omgaat met informatie. Persoonsgegevens moeten veilig zijn opgeslagen, confidentiële informatie mag niet op verkeerde plekken terecht komen en computers mogen geen data lekken. Klanten, stakeholders en de wetgever stellen steeds strengere eisen. ISO 9001 en ISO 27001 geven hiertoe de richtlijnen en hulpmiddelen.

Classificatie van informatie leidt tot beveiliging van informatie in processen:

  1. Verdeel informatie in klassen
  2. Zorg voor borging van informatie per klasse
  3. Zorg voor beschikbaarheid van informatie in processen
  4. Neem beheersmaatregelen om informatie te beschermen

1. Verdeel informatie in klassen

Begin met de indeling van informatie in groepen. Bijvoorbeeld volgens onderstaande figuur.

informatiebeveiliging iso 27001

Klasse I bestaat uit vrij beschikbare informatie

De grijze driehoek toont drie groepen van informatie. Vrije informatie die publiek is of kan zijn en waar verder geen gevaar in zit. Dit is klasse I. Denk aan informatie die op de website staat of die in commerciële uitingen wordt gebruikt. Denk ook aan de informatie waarover medewerkers buiten de organisatie mogen praten, met bijvoorbeeld vrienden of klanten. Informatie beperkt zich niet tot data op een server, maar het gesproken woord en informatie op een telefoon, dienen in de analyse te worden meegenomen. ISO 27001 biedt hiervoor een checklist aan.

Klasse II bestaat uit operationele informatie

Informatie die niet vrij is, maar toebehoort aan uw organisatie, wordt interne of procesinformatie genoemd. Deze informatie is nodig om het dagelijks werk te kunnen uitvoeren. Deze mag niet naar buiten, maar kan wel binnen de organisatie worden gebruikt. Denk hierbij aan operationele informatie, zoals omzetcijfers, doorlooptijden, gegevens in de klantendatabase, planningen en algemene e-mails of agenda’s. Deze informatie is niet bedoeld voor de buitenwereld, maar nodig om de organisatie te laten functioneren. Het beveiligingsniveau voor dit soort informatie bestaat uit basis hulpmiddelen, zoals wachtwoorden, pincodes, bezoekerspasjes en kamersleutels. Inloggen in computers, e-mail accounts en ERP systemen verloopt praktisch vaak via passwords.

Klasse III bestaat informatie die goed beschermd moet worden

Tot slot is er nog de classified information. Dit is informatie die de organisatie heeft aangemerkt als vertrouwelijk, maar ook informatie die bij wet dient te worden beschermd, zoals persoonsgegevens. Ook kan het informatie zijn met als kenmerk need to know. De maatregelen van klasse 2 voldoen niet altijd en er zijn extra beschermingstechnieken en afspraken nodig, die vaak vallen onder encryptie en de beperking van toegang tot ruimten en serverlocaties.

2. Zorg voor borging van informatie per klasse

Desgewenst kunnen er meer klassen worden gemaakt, maar u zult merken dat dat niet snel nodig is. Meestal bestaat de uitdaging eerder uit het goed laten functioneren van beschermingsprotocollen op de genoemde drie niveaus. Stel dat er een incident gebeurt met informatie in klasse 2, dan heeft een verhoging van die informatie van klasse 2 naar klasse 3 weinig zin. De informatie zal wellicht beter afgeschermd zijn, maar het operationele werk dat met die informatie moet worden uitgevoerd, wordt onnodig duur en ingewikkeld gemaakt. Het is beter om de maatregelen op niveau 2 dan beter te borgen. Dat is gelijk het bruggetje naar het volgende onderwerp.

3. Zorg voor beschikbaarheid en integriteit van informatie in processen

Informatie moet om allerlei redenen worden beveiligd, echter, het is ook een ‘gebruiksvoorwerp’. Medewerkers hebben informatie nodig om hun werk uit te kunnen voeren. Dit noemt de norm ISO 27001 de beschikbaarheid van informatie of de toegang tot informatie. Informatie kan met wachtwoorden worden afgeschermd, maar ook met pasjes, sleutels of herkenningssoftware. Het voordeel van ISO 27001 is dat ISO 9001 de basis is. Dat betekent dat alle primaire processtappen en ondersteunende processen zijn gedefinieerd. Kijkend door de bril van informatiebeveiliging kunnen de processen worden bestudeerd en kan per proces worden bepaald welke informatie nodig is en beschikbaar moet worden gemaakt om het werk uit te voeren. Dat wordt de integriteit van informatie genoemd. Informatie moet juist, compleet en volledig zijn om werk goed uit te voeren.

4. Neem beheersmaatregelen om informatie te beschermen

Nu volgt de stap om informatie te beveiligen. De klassen zijn bepaald, het gebruik in het werk is vastgesteld, zodat de beheersmaatregelen kunnen worden ontworpen en geïmplementeerd. Wachtwoorden, software, gescheiden partities, afgesloten ruimten en vele andere hardware-matige en software-matige maatregelen zijn denkbaar. De norm ISO 27001 schenkt daar uitgebreid aandacht aan, maar gelukkig ook aan belangrijke strategische en gedragsonderwerpen. De directie dient duidelijkheid te verschaffen over de status en belangrijkheid van informatie en de bijbehorende beheersmaatregelen. Bekijk de training ISO 27001 voor de praktijk.

ISO 27001 helpt bij de beveiliging van informatie in techniek en gedrag

Beveiliging van informatie is zeker niet uitsluitend een technische aangelegenheid. Medewerkers die informatie op een bureau laten liggen, thuis werken, met derden praten en informatie op hun telefoon downloaden vormen vaak het informatielek. De directie van een organisatie dient dan ook beleid te maken op het onderwerp informatieveiligheid en het bewustzijn hierover te ontwikkelen. Naast alle technische maatregelen, dient het bewustzijn van de informatierisico's te zijn geborgd in de cultuur van de organisatie. Ook dat is onderdeel van ISO 27001 en de uitdaging om te voldoen aan de eisen en verwachtingen van alle stakeholders van uw organisatie.

Wilt u uw organisatie laten voldoen aan ISO 27001? Vraag de Quick Scan aan. Vul dan onderstaande formulier in. U kunt ook bellen via 088 33 666 66 of een e-mail sturen naar info@patagonia-bv.com.

Gegevens invullen voor vragen en informatie

Informatiebeveiliging ISO 27001:

  • Informatiebeveiliging praktisch gemaakt
  • Gratis format kwaliteitshandboek
  • Planning, implementatie en certificatie
  • Gespecialiseerde consultants
  • Integraal managementsysteem
×
Patagonia B.V. maakt gebruik van cookies. Bij gebruik van onze website gaat u ermee akkoord dat we deze cookies plaatsen en daarmee gegevens verzamelen. Op deze manier krijgen we een goed beeld van u als bezoeker en kunnen we u een optimale gebruikerservaring bieden. Als u geen cookies wilt, kunt u deze website niet gebruiken. Lees meer over cookies