Informatiemanagement wordt vereist door stakeholders

Informatiemanagement vereist door stakeholders als onderdeel van de procesbeheersing. In de relatie tussen uw klanten en uw organisatie staat het onderwerp procesbeheersing centraal. Klanten willen foutloze producten en geen problemen. Een integraal onderdeel daarvan is informatiebeheersing. Steeds vaker staat het onderwerp informatiebeveiliging hoog op de lijst van eisen van klanten als onderdeel van deze procesbeheersing. Dat geldt niet alleen voor de klanten, maar voor alle relaties van uw organisatie. Men verlangt een operationeel Information Security Management System: ISMS.

Beveilig informatie met het Information Security Management System

U wilt geen foute informatie, informatie mag niet weglekken en niet onjuist worden gebruikt. Informatiebeveiliging is een van de unique selling points (USP) van organisaties geworden. De praktijk wordt gevormd door het Information Security Management System (ISMS) dat onderdeel is van het algemene managementsysteem van uw organisatie. Lees hoe u dit systeem opzet voor uw organisatie.

De kracht van informatiemanagement voor uw organisatie:

  1. Informatie moet beschikbaar zijn in processen
  2. De integriteit van informatie leidt tot procesbeheersing
  3. Vertrouwelijkheid van informatie borgen in de dagelijkse praktijk

1. Informatie moet beschikbaar zijn in processen

Ondanks de gewenste en noodzakelijke informatieveiligheid bestaat de eerste stap uit de vraag waar en hoe informatie beschikbaar moet zijn om medewerkers hun werk goed te laten voeren. Zonder informatie kan een medewerker het werk niet uitvoeren. Als eerste wordt daarom een procesanalyse gemaakt, vaak met ISO 9001 of ISO 27001, om de processen en de processtappen in beeld te brengen. Met behulp van dit procesmodel wordt duidelijk hoe het proces dient te functioneren en klanten worden bediend. In iedere stap is informatie nodig. Beoordeel per processtap de benodigde informatie en hoe die informatie beschikbaar wordt gemaakt voor de medewerker.

2. De integriteit van informatie leidt tot procesbeheersing

Vervolgens is het de vraag of de informatie in die procestappen juist is, volledig is en op tijd is. Dit noemen we de juistheid, tijdigheid en volledigheid van informatie, of de integriteit van informatie. Medewerkers kunnen hun werk alleen goed uitvoeren als aan alle drie eisen is voldaan. In alle andere gevallen ontstaan directie faalkosten en/of risico’s. Medewerkers moet dan gaan nabellen, mails sturen, opzoeken of gaan aan de slag met onvolledige of incorrecte informatie. Overbodig om toe te lichten hoe schadelijk dat is. De integriteit van informatie is net zo belangrijk als een correcte werking van een computer of freesmachine. Informatie is een asset of gebruiksmiddel, zonder welke het werk niet kan worden uitgevoerd. De productie alvast starten zonder volledigheid van informatie is een oud adagium uit de vorige eeuw. Vooruit werken kan niet (meer) als de informatie niet compleet is.

3. Vertrouwelijkheid van informatie borgen in de dagelijkse praktijk

Dan volgt het onderwerp veiligheid. Gegeven de situatie in de voorgaande twee stappen, welke maatregelen moeten worden genomen om de vertrouwelijkheid van data/informatie te garanderen. Is het voldoende om wachtwoorden te gebruiken, moet data encrypted worden, is er risico op fraude, diefstal of verlies van informatie? Dit is een complex onderwerp met een enorme diversiteit aan mogelijkheden en risico’s. Enerzijds worden servers met complexe, hardware en software tools beveiligd, terwijl mogelijk een medewerker met zijn of haar laptop in een restaurant gaat werken op een publiek wifi netwerk met vreemde mensen in de buurt. Is dat erg? Wel, dat hangt van veel factoren af. Het vereist een degelijke studie van de processen en de eisen van stakeholders om te bepalen welke informatie vertrouwelijk is, wat het niveau van die vertrouwelijkheid is en welke borgingsmaatregelen vervolgens zinvol en nodig zijn. De richtlijnen komen van de stakeholders en de directie van de organisatie.

Bepaal de beschikbaarheid, integriteit en vertrouwelijkheid van informatie

We hebben voorgaande onderwerpen in één figuur voor u samengevat. Zie onder. Deze figuur toont van boven naar beneden de beschikbaarheid, de vertrouwelijkheid, de mate van borging en veiligheid, die in klassen zijn verdeeld. In ieder van deze onderdelen geldt dat informatie integer moet zijn, dus juist, tijdig en volledig om het werk in een bepaalde processtap te kunnen uitvoeren.

informatiebeveiliging iso 27001

Een praktisch voorbeeld. Een accountmanager belt met een klant en registreert daarna de gegevens van dat gesprek in het CRM systeem. Dat gebeurt op kantoor. De telefooncentrale, de server en het CRM systeem zijn waarschijnlijk op klasse II niveau beschermd. Nu vindt dit gesprek plaats in een wegrestaurant, waar de accountmanager in een publieke ruimte het gesprek voert, verbonden is met een openbaar wifi en papieren op tafel heeft liggen, die iedereen kan lezen. Is dit een probleem? Is dit onwenselijk? Het zal van de aard van de business afhangen en de interne eisen van de organisatie. Dit voorbeeld kunt u vertalen naar de engineer die thuis aan een programma werkt, de data analist die op een eigen laptop werkt en de telefoniste die op de sociale media meldt welke gasten aan de balie staan. Onderzoek iedere processtap en ontwerp de beheersmaatregelen.

Verbeter de concurrentiepositie met informatiebeveiliging

Zo zijn er talloze voorbeelden te bedenken, die allemaal werkelijkheid zijn. Denk aan de manager die de persoonlijke gegevens van een medewerker wil zien, denk aan het bewaren van wachtwoorden en niet te vergeten de informatie we per mail wordt verstuurd. Werk vanuit het processchema van uw organisatie, dat met ISO 9001 of ISO 27001 is gemaakt en in het kwaliteitshandboek staat. Loop de processtappen langs en beoordeel de informatie en de mate van beveiliging. Nadat de beheersmaatregelen zijn genomen en geborgd, wordt informatiemanagement en informatiebeveiliging een positief argument voor stakeholders om met uw organisatie samen te werken.

Wilt u uw organisatie laten voldoen aan ISO 27001? Vul dan onderstaande formulier in. U kunt ook bellen via 088 33 666 66 of een e-mail sturen naar info@patagonia-bv.com.

Stel uw vragen

Vul het formulier in en stel uw vragen.

ISMS voor uw organisatie

  • Uitleg van de adviseur
  • Begeleiding bij de uitvoering
  • Teamsamenstelling
  • Processen analyseren
  • Beheersmaatregelen ontwikkelen
  • Risico's reduceren
  • Uitvoering risicoanalyse
  • Certificatie ISO 27001