Data is voor veel organisaties het meest waardevolle bezit. Om die reden is informatiebeveiliging belangrijk, zodat de data veilig is en er op een juiste wijze mee wordt omgegaan. Als organisatie wil je namelijk niet dat data op straat komt te liggen of niet benaderbaar is. Het is daarom zaak om serieus na te denken over de classificatie die je als organisatie geeft aan informatie. De dataclassificatie van informatie bestaat uit drie classificatieniveaus namelijk: Beschikbaarheid, Integriteit en Vertrouwelijkheid. In dit artikel vertellen wij je meer over deze BIV-classificatie en de impact ervan op je organisatie.
BIV-classificatie voor informatiebeveiliging
Als organisatie verwerk en bewaar je informatie die waardevol of ondersteunend is aan de informatiesystemen en -processen. Deze informatieverwerking brengt bepaalde risico’s met zich mee. Deze risico’s stel je vast met een risicoanalyse. In deze risicoanalyse worden de risico’s beschreven met de bijbehorende invloeden op de Beschikbaarheid, Integriteit en Vertrouwelijkheid. Op basis hiervan bepaalt de organisatie en de wetgeving welke risico’s aanvaardbaar zijn en voor welke risico’s passende technische en organisatorische maatregelen genomen dienen te worden om de risico’s te beheersen of terug te brengen op een aanvaardbaar niveau.
Lees ook het artikel: De ISO 27001 risicoanalyse uitgelicht
Download vrijblijvend de handige ISO 27001 informatiegids
Download vrijblijvend de ‘Informatiegids ISO 27001’. Een handig naslagwerk met daarin allerlei informatie over ISO 27001.
Wat is dataclassificatie?
Dataclassificatie is het labelen van informatie om er een bepaalde waarde aan toe te kennen en zo te kunnen bepalen welk niveau van bescherming er nodig is. De classificatie van de data bepaalt dus de hoeveelheid maatregelen en mate van beveiligingseisen die genomen moeten worden om de informatie te kunnen beschermen. Dataclassificatie dwingt bedrijven om na te denken over de mate waarin Beschikbaarheid, Integriteit en Vertrouwelijkheid van data moet worden gegarandeerd. Met bepaalde informatie ga je immers vertrouwelijker om dan met andere. Zo vraagt je salarisadministratie om een ander beveiligingsniveau dan de bedrijfswebsite.
BIV-classificatie informatiebeveiliging
Het beschermingsniveau van data wordt aangeduid met behulp van classificatieniveaus voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. Maar wat houden de waarden van de BIV-classificatie precies in?
- Beschikbaarheid: hoeveel en wanneer data toegankelijk is en gebruikt kan worden.
- Integriteit: het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen.
- Vertrouwelijkheid: de bevoegdheden en mogelijkheden tot muteren, kopiëren, toevoegen, vernietigen of kennisnemen van informatie voor een gedefinieerde groep van gerechtigden.
Alle informatie krijgt dus een classificatieniveau toegekend en op basis daarvan wordt, met het oog op de risico’s, bepaald welke beveiligingseisen en maatregelen genomen worden. Kortom, de BIV-classificatie van de data bepaalt dus de mate van informatiebeveiliging.
Jan Penning, Algemeen Directeur bij WSB Solutions: “Het hele ISO-traject heeft ons een managementsysteem opgeleverd dat bij ons past. Al met al denk ik dat de grootste winst van het hele traject is dat we onze informatiebeveiliging op een veel hoger plan gebracht hebben, dat er structuur is gebracht in de organisatie en, het belangrijkste, dat we continu kritisch kijken naar wat er beter kan en dit dan ook aanpakken!” – Wil je het hele verhaal van WSB Solutions lezen? Bekijk dan de WSB Solutions klantcase.
De voor- en nadelen van dataclassificatie
Het toekennen en delen van BIV-classificatie aan informatie zorgt voor het creëren van bewustwording. Omdat je als organisatie wordt gedwongen om bewust te handelen en te denken over het beveiligen van data. Een document waarop vertrouwelijk staat, laat je immers niet zomaar op een USB-stick door het bedrijfspand slingeren.
Door data te classificeren breng je precies in kaart welke data er in de organisatie aanwezig is en welke waarde deze heeft. Wanneer je dat niet hebt gedaan, weet je niet altijd (direct) welke data er gestolen is of waar je moet zoeken. Tot slot draagt het classificeren van data bij aan het voldoen aan eisen vanuit wet- en regelgeving. Denk bijvoorbeeld aan de AVG-wet. En mocht je op weg zijn naar een ISO 27001 certificering, de internationaal erkende norm voor informatiebeveiliging, dan is dataclassificatie een verplicht onderdeel.
Lees ook het artikel: Wat is ISO 27001? Een introductie.
Natuurlijk brengt het classificeren van data niet enkel voordelen met zich mee. Het vergt ook investering. Dataclassificatie zorgt ervoor dat medewerkers hier bewust van moeten zijn en hiernaar behoren te handelen. Dit kost tijd en soms een investering. Daarnaast dien je passende technische en organisatorische beveiligingsmaatregelen te treffen om de risico’s te mitigeren. Tot slot kun je niet alle data in eigen beheer beveiligen. Denk bijvoorbeeld aan data die is opgeslagen in de cloud. Hiervoor ben je in sommige gevallen overgeleverd aan externe partijen.
Dataclassificatie is geen doel op zich
Dataclassificatie is geen doel op zich. Door data te classificeren ga je niet bewerkstelligen dat je data veiliger is en er minder kans is op datalekken. Ga dus niet classificeren om het classificeren, maar juist met het doel om je informatie beter te beveiligen. Dataclassificatie maakt namelijk onderdeel uit van een groter geheel en draagt samen met andere maatregelen bij aan het verbeteren van de informatiebeveiliging binnen je organisatie. Het dient geïntegreerd te worden in je dagelijkse werkzaamheden. Het is daarom belangrijk dat je als organisatie de intrinsieke motivatie hebt om serieus met informatiebeveiliging aan de slag te gaan. Om aan te kunnen tonen dat je inderdaad serieus bezig bent met informatiebeveiliging kun je jezelf ISO 27001 laten certificeren.
Artikeltip: Lees ook: Het verschil tussen ISO 27001 en ISO 27002.
Meer informatie
Wil je meer weten over dataclassificatie binnen informatiebeveiliging? Of juist over ISO 27001? Neem dan gerust contact met ons op. Onze adviseur helpt je graag op weg en vertelt je alles over de mogelijkheden.
