Contact

Dataclassificatie bij informatiebeveiliging: Beschikbaarheid, integriteit en vertrouwelijkheid (BIV)

Alles over dataclassificatie van je informatie.

Data classificatie van informatie
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Data is voor veel organisaties het meest waardevolle bezit. Om die reden is informatiebeveiliging belangrijk, zodat de data veilig is en er op een juiste wijze mee wordt omgegaan. Als organisatie wil je namelijk niet dat data op straat komt te liggen of niet benaderbaar is. Het is daarom zaak om serieus na te denken over de classificatie die je als organisatie geeft aan informatie. De dataclassificatie van informatie bestaat uit drie classificatieniveaus namelijk: Beschikbaarheid, Integriteit en Vertrouwelijkheid. In dit artikel vertellen wij je meer over deze BIV-classificatie en de impact ervan op je organisatie.

BIV-classificatie voor informatiebeveiliging

Als organisatie verwerk en bewaar je informatie die waardevol of ondersteunend is aan de informatiesystemen en -processen. Deze informatieverwerking brengt bepaalde risico’s met zich mee. Deze risico’s stel je vast met een risicoanalyse. In deze risicoanalyse worden de risico’s beschreven met de bijbehorende invloeden op de Beschikbaarheid, Integriteit en Vertrouwelijkheid. Op basis hiervan bepaalt de organisatie en de wetgeving welke risico’s aanvaardbaar zijn en voor welke risico’s passende technische en organisatorische maatregelen genomen dienen te worden om de risico’s te beheersen of terug te brengen op een aanvaardbaar niveau.

Risicoanalyse informatiebeveiliging
Lees ook

De informatiebeveiliging risicoanalyse uitgelicht: zo werkt de ISO 27001 risicoanalyse

Wat is dataclassificatie?

Dataclassificatie is het labelen van informatie om er een bepaalde waarde aan toe te kennen en zo te kunnen bepalen welk niveau van bescherming er nodig is. De classificatie van de data bepaalt dus de hoeveelheid maatregelen en mate van beveiligingseisen die genomen moeten worden om de informatie te kunnen beschermen. Dataclassificatie dwingt bedrijven om na te denken over de mate waarin Beschikbaarheid, Integriteit en Vertrouwelijkheid van data moet worden gegarandeerd. Met bepaalde informatie ga je immers vertrouwelijker om dan met andere. Zo vraagt je salarisadministratie om een ander beveiligingsniveau dan de bedrijfswebsite.

BIV-classificatie informatiebeveiliging

Het beschermingsniveau van data wordt aangeduid met behulp van classificatieniveaus voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. Maar wat houden de waarden van de BIV-classificatie precies in?

  • Beschikbaarheid: hoeveel en wanneer data toegankelijk is en gebruikt kan worden.
  • Integriteit: het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen.
  • Vertrouwelijkheid: de bevoegdheden en mogelijkheden tot muteren, kopiëren, toevoegen, vernietigen of kennisnemen van informatie voor een gedefinieerde groep van gerechtigden.

Alle informatie krijgt dus een classificatieniveau toegekend en op basis daarvan wordt, met het oog op de risico’s, bepaald welke beveiligingseisen en maatregelen genomen worden. Kortom, de BIV-classificatie van de data bepaalt dus de mate van informatiebeveiliging.

Jan Penning, Algemeen Directeur bij WSB Solutions: “Het hele ISO-traject heeft ons een managementsysteem opgeleverd dat bij ons past. Al met al denk ik dat de grootste winst van het hele traject is dat we onze informatiebeveiliging op een veel hoger plan gebracht hebben, dat er structuur is gebracht in de organisatie en, het belangrijkste, dat we continu kritisch kijken naar wat er beter kan en dit dan ook aanpakken!” – Wil je het hele verhaal van WSB Solutions lezen? Bekijk dan de WSB Solutions klantcase.

De voor- en nadelen van dataclassificatie

Het toekennen en delen van BIV-classificatie aan informatie zorgt voor het creëren van bewustwording. Omdat je als organisatie wordt gedwongen om bewust te handelen en te denken over het beveiligen van data. Een document waarop vertrouwelijk staat, laat je immers niet zomaar op een USB-stick door het bedrijfspand slingeren.

Door data te classificeren breng je precies in kaart welke data er in de organisatie aanwezig is en welke waarde deze heeft. Wanneer je dat niet hebt gedaan, weet je niet altijd (direct) welke data er gestolen is of waar je moet zoeken. Tot slot draagt het classificeren van data bij aan het voldoen aan eisen vanuit wet- en regelgeving. Denk bijvoorbeeld aan de AVG-wet. En mocht je op weg zijn naar een ISO 27001 certificering, de internationaal erkende norm voor informatiebeveiliging, dan is dataclassificatie een verplicht onderdeel.

Wat is ISO 27001
Lees ook

Wat is ISO 27001? Een introductie op dé norm voor informatiebeveiliging.

Natuurlijk brengt het classificeren van data niet enkel voordelen met zich mee. Het vergt ook investering. Dataclassificatie zorgt ervoor dat medewerkers hier bewust van moeten zijn en hiernaar behoren te handelen. Dit kost tijd en soms een investering. Daarnaast dien je passende technische en organisatorische beveiligingsmaatregelen te treffen om de risico’s te mitigeren. Tot slot kun je niet alle data in eigen beheer beveiligen. Denk bijvoorbeeld aan data die is opgeslagen in de cloud. Hiervoor ben je in sommige gevallen overgeleverd aan externe partijen.

Dataclassificatie is geen doel op zich

Dataclassificatie is geen doel op zich. Door data te classificeren ga je niet bewerkstelligen dat je data veiliger is en er minder kans is op datalekken. Ga dus niet classificeren om het classificeren, maar juist met het doel om je informatie beter te beveiligen. Dataclassificatie maakt namelijk onderdeel uit van een groter geheel en draagt samen met andere maatregelen bij aan het verbeteren van de informatiebeveiliging binnen je organisatie. Het dient geïntegreerd te worden in je dagelijkse werkzaamheden. Het is daarom belangrijk dat je als organisatie de intrinsieke motivatie hebt om serieus met informatiebeveiliging aan de slag te gaan. Om aan te kunnen tonen dat je inderdaad serieus bezig bent met informatiebeveiliging kun je jezelf ISO 27001 laten certificeren.

ISO-27001-en-27002
Artikeltip:

Wat is het verschil tussen ISO 27001 en 27002?

Meer informatie

Wil je meer weten over dataclassificatie binnen informatiebeveiliging? Of juist over ISO 27001? Neem dan gerust contact met ons op. Onze adviseur helpt je graag op weg en vertelt je alles over de mogelijkheden.

Download Informatiegids ISO 27001

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Meer weten over ISO 27001?

Download de handige informatiegids!

  • Alles over informatiebeveiliging
  • Stap voor stap inzicht
  • Antwoord op al je vragen
Download gidsContact

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields

Nieuwsbrief

Informatiebeveiliging

Nut of noodzaak?

Informatie is van grote waarde voor bedrijven. Een digitale strategie met belangrijke plaats voor informatiebeveiliging is pure noodzaak.

Lees meer

Gerelateerde artikelen