Data classificatie informatiebeveiligingData is voor veel organisaties het meest waardevolle bezit. Om die reden is het belangrijk dat data veilig is en er op een juiste wijze wordt omgegaan. Als organisatie wil je namelijk niet dat data op straat komt te liggen of niet benaderbaar is. Het is daarom zaak om serieus na te denken over de classificatie die je als organisatie geeft aan informatie. De classificaties van informatie bestaat uit drie classificatieniveaus namelijk: Beschikbaarheid, Integriteit en Vertrouwelijkheid. In dit artikel vertellen wij je meer over deze BIV-classificatie en de impact ervan op je organisatie.

BIV-classificatie voor informatiebeveiliging

Als organisatie verwerk en bewaar je informatie die waardevol of ondersteunend is aan de informatiesystemen en -processen. Deze informatieverwerking brengt bepaalde risico’s met zich mee. Deze risico’s stel je vast met een risicoanalyse. In deze risicoanalyse worden de risico’s beschreven met de bijbehorende invloeden op de Beschikbaarheid, Integriteit en Vertrouwelijkheid. Op basis hiervan bepaalt de organisatie en de wetgeving welke risico’s aanvaardbaar zijn en voor welke risico’s passende technische en organisatorische maatregelen genomen dienen te worden om de risico’s te beheersen of terug te brengen op een aanvaardbaar niveau.

Lees ook het artikel: De ISO 27001 risicoanalyse uitgelicht

Wat is dataclassificatie?

Dataclassificatie is het labelen van informatie om er een bepaalde waarde aan toe te kennen en zo te kunnen bepalen welk niveau van bescherming er nodig is. De classificatie van de data bepaalt dus de hoeveelheid maatregelen en mate van beveiligingseisen die genomen moeten worden om de informatie te kunnen beschermen. Dataclassificatie dwingt bedrijven om na te denken over de mate waarin Beschikbaarheid, Integriteit en Vertrouwelijkheid van data moet worden gegarandeerd. Met bepaalde informatie ga je immers vertrouwelijker om dan met andere. Zo vraagt je salarisadministratie om een ander beveiligingsniveau dan de bedrijfswebsite.


Download vrijblijvend de handige ISO 27001 informatiegids 
Download gratis de ‘Informatiegids ISO 27001’. Een handig naslagwerk met daarin allerlei informatie over ISO 27001.

DOWNLOAD INFORMATIEGIDS

Informatiegids ISO 27001

BIV-classificatie informatiebeveiliging

Het beschermingsniveau van data wordt aangeduid met behulp van classificatieniveaus voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. Maar wat houden de waarden van de BIV-classificatie precies in?

  • Beschikbaarheid: hoeveel en wanneer data toegankelijk is en gebruikt kan worden.
  • Integriteit: het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen.
  • Vertrouwelijkheid: de bevoegdheden en mogelijkheden tot muteren, kopiëren, toevoegen, vernietigen of kennisnemen van informatie voor een gedefinieerde groep van gerechtigden.

Alle informatie krijgt dus een classificatieniveau toegekend en op basis daarvan wordt, met het oog op de risico’s, bepaald welke beveiligingseisen en maatregelen genomen worden. Kortom, de BIV-classificatie van de data bepaalt dus de mate van informatiebeveiliging.

De voor- en nadelen van dataclassificatie

Het toekennen en delen van BIV-classificatie aan informatie zorgt voor het creëren van bewustwording. Omdat je als organisatie wordt gedwongen om bewust te handelen en te denken over het beveiligen van data. Een document waarop vertrouwelijk staat, laat je immers niet zomaar op een USB-stick door het bedrijfspand slingeren.

Door data te classificeren breng je precies in kaart welke data er in de organisatie aanwezig is en welke waarde deze heeft. Wanneer je dat niet hebt gedaan, weet je niet altijd (direct) welke data er gestolen is of waar je moet zoeken. Tot slot draagt het classificeren van data bij aan het voldoen aan eisen vanuit wet- en regelgeving. Denk bijvoorbeeld aan de AVG-wet. En mocht je op weg zijn naar een ISO 27001 certificering, de internationaal erkende norm voor informatiebeveiliging, dan is dataclassificatie een verplicht onderdeel.

Lees ook het artikel: Wat is ISO 27001? Een introductie.

Natuurlijk brengt het classificeren van data niet enkel voordelen met zich mee. Het vergt ook investering. Data classificatie zorgt ervoor dat medewerkers hier bewust van moeten zijn en hiernaar behoren te handelen. Dit kost tijd en soms een investering. Daarnaast dien je passende technische en organisatorische beveiligingsmaatregelen te treffen om de risico’s te mitigeren. Tot slot kun je niet alle data in eigen beheer beveiligen. Denk bijvoorbeeld aan data die is opgeslagen in de cloud. Hiervoor ben je in sommige gevallen overgeleverd aan externe partijen.

Dataclassificatie is geen doel op zich

Dataclassificatie is geen doel op zich. Door data te classificeren ga je niet bewerkstelligen dat je data veiliger is en er minder kans is op datalekken. Ga dus niet classificeren om het classificeren, maar juist met het doel om je informatie beter te beveiligen. Dataclassificatie maakt namelijk onderdeel uit van een groter geheel en draagt samen met andere maatregelen bij aan het verbeteren van de informatiebeveiliging binnen je organisatie. Het dient geïntegreerd te worden in je dagelijkse werkzaamheden. Het is daarom belangrijk dat je als organisatie de intrinsieke motivatie hebt om serieus met informatiebeveiliging aan de slag te gaan. Om aan te kunnen tonen dat je inderdaad serieus bezig bent met informatiebeveiliging kun je jezelf ISO 27001 laten certificeren.



Download Informatiegids ISO 27001

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl