Een must-have!

Informatie-beveiliging

Digitalisering en toenemend belang van informatietechnologie maken bedrijfsresultaten steeds afhankelijker van de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie. Informatie is voor vrijwel iedere organisatie van grote waarde en om die reden een interessant doelwit voor kwaadwillenden. Je wilt als organisatie niet dat je informatie op straat komt te liggen. Dat betekent dat geen enkele organisatie meer om informatiebeveiliging(smanagement) heen kan. Weten wat dit voor jouw organisatie betekent? Neem gerust contact met ons op!

hoelang-iso-27001-certificeren
Laptop werken bij CertificeringsAdvies Nederland

Meer informatie of eens sparren?

Wil je meer weten of eens sparren over het verbeteren van informatiebeveiliging in jouw organisatie? Neem dan contact met ons op!

Informatiebeveiliging

Voldoe aan de informatie-beveiligingsstandaarden

Normen en mogelijkheden binnen het thema Informatiebeveiliging:

Kroonjuwelen: BIV

Digitalisering en het toenemend belang van informatietechnologie maken bedrijfsresultaten steeds afhankelijker van de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie.

informatiebeveiliging

Strengere eisen

Waarom informatie-beveiliging?

Waarom is informatiebeveiliging belangrijk? Organisaties verwerken en bewaren informatie die waardevol of ondersteunend is aan de informatiesystemen en -processen. Ook verwerken ze op steeds grotere schaal informatie en wisselen die ook steeds vaker uit met andere partijen. Informatie is daardoor van grote waarde en dat maakt het interessant voor kwaadwillenden. De ransomware industrie is miljarden waard en richt zich in toenemende mate op (mkb-)bedrijven. Het verwerken van deze informatie brengt bepaalde risico’s met zich mee. Dergelijke risico’s kun je vaststellen met behulp van een risicoanalyse en daarvoor passende maatregelen treffen.

Het is essentieel om dagelijks aandacht te blijven geven aan informatiebeveiliging; je wilt immers niet dat informatie in verkeerde handen komt. Risicomanagement en -analyses zijn dan ook regelmatig terugkerende onderdelen om de informatiebeveiliging binnen je organisatie te waarborgen. Zo kun je voorkomen dat je organisatie bepaalde risico’s loopt. Kortom, een digitale strategie met belangrijke plaats voor informatiebeveiliging is pure noodzaak geworden. Betrouwbare, veilige en efficiënte IT-middelen zijn een must. Bewustzijn van de waarde van informatie en het vertonen van daarbij passend gedrag eveneens.

Daarnaast komt er steeds meer wet- en regelgeving op het gebied van informatiebeveiliging, zowel op nationaal als Europees niveau. Denk bijvoorbeeld aan de Algemene Verordening Gegevensbescherming (AVG) of de NIS2-wetgeving. Die ontwikkelingen benadrukken dat informatiebeveiliging steeds relevanter en belangrijker wordt. Wanneer je in het bezit bent van een ISO 27001 certificering, dan heb je in elk geval geborgd dat je relevante wet- en regelgeving op het gebied van informatiebeveiliging grotendeels naleeft.

Wet- en regelgeving informatiebeveiliging

Samengevat

Redenen voor informatiebeveiliging

Door informatiebeveiliging goed in te regelen binnen je organisatie:

  • Wordt voorkomen dat je organisatie bepaalde risico’s loopt;
  • Voldoe je aan wet- en regelgeving op dit gebied (denk bijvoorbeeld aan de AVG-wet);
  • Voldoe je aan eisen van opdrachtgevers en/of het professioneel belang dat je hebt richting partners;
  • Voorkom je hoge kosten door schade, wanneer kwaadwillenden je informatie, die geld waard is, weten te bemachtigen (phishing, malware, ransomware);
  • Bescherm je jouw imago en til je jouw organisatie naar een hoger niveau. Wanneer je hiervoor bovendien een certificaat behaald, dan heb je tevens een commercieel uithangbord dat kansen biedt en nieuwe deuren opent.
Kosten ISO 27001

De organisatie van de toekomst heeft informatiebeveiliging in het DNA:

Toenemende risico’s

1. Informatie-beveiliging integreren in het DNA van je organisatie!

Uit onderzoek blijkt dat cybercrime als groot risico wordt gezien door veel organisaties. Verbazingwekkend genoeg hebben veel organisaties de informatiebeveiliging nog niet (goed) op orde. Onze visie: aantoonbare beheersing van informatiebeveiliging (door middel van ISO 27001 certificering of vergelijkbaar) is geen onderscheidende factor meer, maar noodzakelijk. Om in de toekomst mee te kunnen blijven doen als organisatie, dien je een volgende stap te zetten op het vlak van informatiebeveiliging: van ‘hygiënefactor’ naar integratie in je DNA.

De volwassenheid van informatiebeveiliging bepaalt mede het succes van vandaag en morgen. Goed is op termijn niet meer goed genoeg. Organisaties die op het eerste of tweede niveau blijven steken (zie afbeelding hieronder), prijzen zichzelf uit de markt. Op niveau drie wordt voldaan, maar onderscheidt de organisatie zich nauwelijks (meer). Niveau vier is op dit moment onderscheidend, maar in de nabije toekomst een basisvoorwaarde om mee te blijven doen.

Corona app informatiebeveiliging
Informatiebeveiliging niveau

Bron afbeelding: Kwaliteit in Bedrijf

Om de volgende stap te maken moet informatiebeveiliging integraalonderdeel worden van alle bedrijfsprocessen, structureel onder de aandacht zijn en continu geborgd en verbeterd worden. Dit vraagt een omslag van reactiviteit naar pro-activiteit, van top-down naar bottom-up en van faalfactor naar succesfactor. Enkel wanneer informatiebeveiliging onderdeel is van het strategisch beleid, proactief en positief wordt benaderd, met samenwerking over disciplines heen (intern en binnen de bredere keten) en daarmee leidt tot betere bedrijfsresultaten, krijgt het zichtbaar waarde voor iedereen binnen de organisatie.

2. Informatiebeveiliging facts & figures

  • Informatiebeveiliging wordt in steeds meer branches gemeengoed. In 2019 waren ongeveer 1.000 Nederlandse organisaties ISO 27001 gecertificeerd. Dit aantal groeit snel en gaat komende jaren alleen maar toenemen (bron: DNV.nl, 2020).
  • 74% van de bedrijven laat beveiligingswerkzaamheden door derden uitvoeren (CBS, 2017)
  • 58% van de slachtoffers van malware aanvallen valt binnen de categorie kleine bedrijven (bron: Verizon, 2018).
  • 80% van alle informatiebeveiligings-incidenten binnen organisaties zijn het gevolg van verkeerd handelen van medewerkers (bron: CBS).
  • Uit een rapport van IBM X-Force blijkt dat het aantal geautomatiseerde cyberaanvallen in 2019 is toegenomen. Phishing is daarbij de meest voorkomende aanvalsmethode (bron: Dutch IT Channel).
  • Uit de Unisys Security Index van 2020 blijkt dat slechts 9% van de Nederlanders zich zorgen maakt over een datalek of cyberaanval als men thuiswerkt (bron: Securitymanagement.nl). Een kwalijke zaak, zeker als je bekijkt dat uit analyses van 2019 blijkt dat het aantal (geautomatiseerde) cyberaanvallen juist aan het toenemen is (bron: Dutch IT Channel) en dat de cybercriminaliteit door de coronacrisis nog eens vervijfvoudigd is (bron: Securitymanagement.nl).
  • Uit analyses van de Nationale Politie blijkt dat de cybercriminaliteit tijdens de coronacrisis fors is gestegen. Vooral WhatsApp-fraude en het versturen van phishingmails waren daarbij populaire aanvalstechnieken (bron: Securitymanagement.nl).

3. Wat is informatiebeveiliging?

Om antwoord op die vraag te geven, allereerst een definitie van informatiebeveiliging:

Informatiebeveiliging is het geheel van beleid, maatregelen, procedures en processen, waarmee het behouden van de beschikbaarheid, integriteit en vertrouwelijkheid (BIV-classificatie) van informatie wordt gegarandeerd. Daarnaast kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid hierbij een rol spelen. Doel van informatiebeveiliging is de continuïteit van de informatievoorziening borgen, risico’s minimaliseren en beveiligingsincidenten beperken of zelfs voorkomen.

Hoe goed je informatie ook beveiligd is, het gedrag van je medewerkers speelt een ontzettend belangrijke rol om de informatieveiligheid van je organisatie uiteindelijk te kunnen waarborgen. Bewustwording bij medewerkers is daarom een factor die niet vergeten mag worden!

E-learning Security Awareness

Met de e-learning Security Awareness zijn medewerkers periodiek actief bezig met bijspijkeren van bewustwordingsniveau op gebied van informatiebeveiliging. Benieuwd naar de leerpaden? Bekijk e-learning security awareness of vraag een gratis demo aan.

De indruk is vaak dat informatiebeveiliging en bijbehorende certificeringen zoals ISO 27001 voornamelijk gaan over online informatiebeveiliging. Niet onbegrijpelijk in deze tijd van digitalisering, cyberaanvallen en allerlei opkomende wetgeving (AVG, NIS2 Directive ed.). Toch is het beveiligen van informatie niet alleen online gericht. Ook offline is het belangrijk. Wat gebeurt er met de informatie binnen je organisatie als er een brand uitbreekt? Kortom, informatiebeveiliging is zeker niet enkel een IT-aangelegenheid.

Demo e-learning

Training

4. Welke interne kennis en competenties zijn benodigd binnen informatie-beveiligings-management?

Ga je een norm binnen informatiebeveiligings-management implementeren? Dan kun je daarvoor hulp en ondersteuning vragen van CertificeringsAdvies Nederland. Wanneer je ervoor kiest om (een deel van de) zaken zelf op te pakken, moet je jezelf ook afvragen of je daarvoor de juiste kennis en competenties in huis hebt? Implementeer je bijvoorbeeld ISO 27001, dan moet je wat weten van de norm en van informatiebeveiliging om de implementatie tot een goed einde te brengen. Denk daarom eens aan training en opleiding omtrent informatiebeveiliging. Dit is belangrijk, want wanneer jij als kartrekker van het ISMS-systeem onvoldoende kennis/competenties hebt, is het ontzettend lastig om de rest van de organisatie op een juiste manier mee te nemen in het traject.

Training ISO 27001 normkennis

Een populaire training binnen het thema informatiebeveiliging is de ISO 27001 normkennis training

BIV-classificatie

5. Wat zijn de drie basisprincipes van informatiebeveiliging?

<class=”wp-block-heading is-style-big” id=”5basis”>De drie basisprincipes van informatiebeveiliging</> zijn Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV). Deze staan voor:

  • Beschikbaarheid: de informatie dient op de juiste momenten toegankelijk en bruikbaar te zijn op verzoek van een bevoegde entiteit.
  • Integriteit: nauwkeurigheid en volledigheid van de beveiliging van bedrijfsmiddelen.
  • Vertrouwelijkheid: informatie wordt niet beschikbaar gesteld of ontsloten aan onbevoegde personen, entiteiten of processen.
data-transfer-impact-assessment

Een goed informatiebeveiligingsbeleid wordt geschreven aan de hand van een BIV-classificatie. Voor de verschillende classificaties gelden verschillende eisen en maatregelen waaraan het gebruik en de opslag van informatie dient te voldoen. Dataclassificatie wordt toegepast om informatie te kunnen labelen en er zo een bepaalde waarde aan toe te kennen om te bepalen welk niveau van bescherming nodig is. De classificatie van de data bepaalt dus de hoeveelheid maatregelen en mate van beveiligingseisen die genomen moeten worden om de informatie te beschermen.

iso-certificaat-controleren-qr-code

Wet- en regelgeving

6. De NIB2-richtlijn

De Network and Information Security Directive (NIS2) is sinds 2023 in gebruik in de EU. De Nederlandse overheid is nog altijd druk bezig om deze EU-wetgeving door te vertalen naar nationale wetgeving: de NIB2-richtlijn. Naar verwachting is deze eind 2024 van kracht. De NIB2 is bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten te verbeteren. Voor veel organisaties is het daarom zaak, omdat het een eis is vanuit de wet, om cyberveiligheid en informatiebeveiliging op orde te brengen. Ook voor organisaties die niet direct onder de NIB2 vallen is het echter absoluut geen overbodige luxe om (het niveau van) cybersecurity te kijken. Ook kleinere organisaties lopen risico’s, zolang er geen maatregelen worden getroffen!

NIB2 wetgeving

NIS2-ISO 27001 implementatiepakket

Hoe zorg je dat je tijdig voldoet aan de NIB2-eisen? Welke stappen moet je ondernemen? Het NIS2 – ISO 27001 implementatiepakket van CertificeringsAdvies Nederland (CAN) vormt een uitstekende basis om de NIS2 in je organisatie te implementeren. Met behulp van deze dienstverlening integreer je de NIS2 verplichtingen in je managementsysteem conform ISO 27001. Zo voldoe je tijdig aan de wetgeving. Wat je situatie ook is: wij adviseren en ondersteunen op maat.

MEER INFORMATIE

Onze klanten aan het woord…

  • Logo Fastned

    “Zonder CertificeringsAdvies Nederland (CAN) waren we als een kip zonder kop aan de slag gegaan. Vooral de pragmatische inval (wat moeten we vastleggen, wat ligt informeel in de organisatie al vast) hadden we niet zonder CAN kunnen doen. We zijn blij verrast met het resultaat.”

    Fastned tanken

    Thijs Baars

    Business Analist & Security Officer

  • Logo Lannet & IT

    “Gedurende het ISO 27001 en NEN 7510 traject viel vooral de pragmatische aanpak op. CertificeringsAdvies Nederland (CAN) denkt echt vanuit de organisatie en niet vanuit de norm. De CAN-adviseur wist de normen feilloos te vertalen naar de praktijk waardoor het voor ons duidelijk en werkbaar was.”

    ISO 27001 checklist

    Paul den Otter

    Oprichter en eigenaar

  • Klantlogo Vecos

    “We hebben de ISO 27001 norm met behulp van CertificeringsAdvies Nederland binnen 2 maanden opgetuigd. De gezamenlijke start en de professionele begeleiding van de adviseur hebben erg geholpen om onze hele organisatie te enthousiasmeren voor ISO. Dat was erg positief!”

    Vecos lockers

    Joris Geelhoed

    Security Officer

  • Klantlogo WSB solutions

    “Samen met Tobias hebben we het afgelopen jaar flinke stappen gezet met betrekking tot ISO 9001 en ISO 27001. Hij heeft veel ervaring in de IT-branche en dat is van grote waarde gebleken. Hij weet hoe andere bedrijven bepaalde uitdagingen hebben opgelost en kan daarom meedenken en alternatieven noemen.”

    Tobias bij WSB Solutions

    Jan Penning

    Algemeen Directeur

  • Klantlogo Infield

    “De manier van communiceren, het snelle contact, de korte lijntjes en de mogelijkheid voor verschillende manieren van ondersteuning spraken ons erg aan bij CertificeringsAdvies Nederland. De adviseurs zijn heel erg ter zake kundig en kunnen dieper op bepaalde zaken ingaan. Over de hele linie kwamen ze met praktische zaken en handige formats!”

    Infield

    Martijn Stuart

    Eigenaar

  • Klantlogo Olympia

    “Tobias heeft ons veel werk uit handen genomen tijdens het ISO 27001 implementatietraject. We zijn blij te kunnen melden dat we recent met vlag en wimpel door de audit van fase 1 zijn gekomen!”

    CAN-Verschuiving-informatiebeveiligingsiricos-door-digitale-organisaties-2

    Henk Kraa

    IT-manager

  • Logo - ULU

    “Voordat we samenwerkten met CertificeringsAdvies Nederland hadden we het gevoel dat we nog ver van ISO 27001 af stonden. Laurens nam ons aan de hand mee en heeft het simpel gemaakt voor ons. Na een tijdje kom je erachter dat je eigenlijk al best ver bent.”

    CAN - Klantcase ULU

    Geertjan Berman

    Operationeel verantwoordelijke

  • Logo connectworks

    “Laurens heeft ons begeleid met de implementatie van ISO 27001 en NEN 7510. Die samenwerking ging zo goed, dat hij momenteel bij ons werkzaam is als Security Officer (as a Service).”

    ConnectWorks directie

    Wouter van Weeren

    Mede-oprichter

Strategisch niveau

7. Wat moet er in een informatie-beveiligsbeleid?

Even terug naar de basis. Actief aan de slag gaan met informatiebeveiliging is een beleidsbeslissing. Beleid wordt gemaakt op strategisch niveau. In veel gevallen door of in samenwerking met de directie dus. In hoofdstuk 5 van de ISO 27001 norm staan eisen voor het vaststellen van het informatiebeveiligingsbeleid. In de praktijk worden al deze zaken vaak vastgelegd in een managementsysteem. De eisen moeten:

  • Passend zijn voor het doel van de organisatie;
  • Doelstellingen bevatten;
  • Een verbintenis bevatten om te voldoen aan de eisen van informatiebeveiliging;
  • En een verbintenis voor continue verbetering van het managementsysteem voor informatiebeveiliging.
ISO 27001:2022

8. Informatie-beveiliging en ISO 27001

Er zijn een aantal verschillende manieren en systemen om informatiebeveiliging in een organisatie te integreren. Het meest bekende systeem is vastgelegd in de ISO 27001 norm voor informatiebeveiliging. In de norm staat omschreven hoe een organisatie haar informatiebeveiliging procesmatig kan inrichten. Een ISO 27001 certificaat wordt uitgegeven door een Certificerende Instantie (CI).

De ISO 27001 norm heeft dezelfde herkenbare structuur als andere ISO normen: de Harmonized/High Level Structure (HLS). Dit is een overkoepelende structuur waardoor verschillende normen makkelijk in hetzelfde managementsysteem verwerkt kunnen worden. Naast ISO 27001 zijn er ook nog branche-specifieke normen op informatiebeveiligingsgebied. Zo is er de NEN 7510 voor informatiebeveiliging in de zorg en de Baseline Informatiebeveiliging Overheid (BIO) voor de overheid.

CAN-Verschuiving-informatiebeveiligingsiricos-door-digitale-organisaties-2

9. Informatiebeveiliging en ISO 27002

ISO 27002 is de formele benaming van de ‘Code voor Informatiebeveiliging’. Deze geeft richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie. De code bestaat uit twee delen; een norm (ISO 27001) en een handreiking (ISO 27002). Met behulp van de handreiking is het mogelijk om de informatiebeveiliging in de praktijk te implementeren.

ISO 27002 is dus een toelichtingen document op ISO 27001. ISO 27002 bestaat onder andere uit veertien hoofdstukken waarin concrete maatregelen op basis van best practices worden gegeven om de risico’s te beheersen. Het is echter niet mogelijk om je als organisatie te certificeren voor ISO 27002, omdat het geen managementstandaard is. De norm is ondersteunend aan ISO 27001.

In principe wordt iedere vijf jaar gekeken naar het actualiseren van een bepaalde norm. Voor ISO 27002 staat er in 2022 een update gepland.

  • De huidige ISO 27002 norm verandert door samenvoeging en uitbreiding met 13 maatregelen.
  • Het totaal aantal beheersmaatregelen gaat terug van 114 naar 93 (door samenvoeging).
  • Bovendien bevat de nieuwe ISO 27002 norm meer meta-informatie.
  • Zo wordt elke beheersmaatregel voorzien van ‘Attributes’ en gekoppeld aan één of meer ‘operational capability’. Daardoor wordt het makkelijker om in te schatten wie de verantwoording krijgt over een beheersmaatregel.

Bewustzijn en gedrag

10. Informatie-beveiliging awareness

Met name rondom
dat gedrag van mensen zit een flinke uitdaging. Wanneer je naar de driehoek procedures, systemen en mensen kijkt, dan is de mens doorgaans de zwakste schakel. Uit onderzoek is zelfs gebleken dat zo’n 80% van alle informatiebeveiligings-incidenten binnen organisaties het gevolg zijn van verkeerd handelen van medewerkers (bron: CBS).

Security awareness (of informatiebeveiligingsbewustzijn) is de mate waarin medewerkers van je organisatie in staat zijn om informatiebeveiligings-incidenten te herkennen, te voorkomen en daarop actie te ondernemen. Om je data veilig te houden is het belangrijk dat medewerkers, van alle afdelingen en niveaus, zich bewust zijn van de gevaren, begrijpen waar mogelijke dreigingen zitten en de impact van (cyber)aanvallen op de organisatie en medewerkers inzien en hier ook naar gaan handelen. Het verhogen van het beveiligingsbewustzijn gaat immers gepaard met het kennisniveau, de houding en het gedrag van medewerkers. Om die reden dienen medewerkers continu getraind te worden zodat hun kennis wordt vergroot en zij eerder in kunnen grijpen bij een mogelijke dreiging. Dat kan bijvoorbeeld met een e-learning:

e-learning security awareness

Een e-learning Security Awareness is een middel om bewustwording te creëren. Andere mogelijkheden zijn:

  • Het (laten) organiseren van security awareness sessies;
  • Informatiebeveiliging in persoonlijke doelen verwerken en structureel meenemen in meetings;
  • Simulaties inzetten, zoals een phishing simulatie;
  • Een vragenlijst op (laten) stellen, om te peilen hoe hoog het kennisniveau is en van daaruit gericht actie ondernemen op de grootste pijnpunten;
  • Etc.
E-learning

Risicoanalyse

11. Informatie-beveiliging maatregelen

Iedere organisatie is uniek. Net als de informatie binnen iedere organisatie. En daarmee dus ook de risico’s op informatieverlies. De beveiliging van je informatie wordt daarom gebaseerd op een risicoanalyse. Op basis daarvan neem je maatregelen. Door het treffen van deze maatregelen, is het mogelijk de kans en/of de impact van het risico te verlagen. Hierbij wordt altijd een afweging gemaakt tussen de kosten van de maatregelen en het risico.

Je dient continu te anticiperen en verbeteren om te kunnen inspelen op steeds weer veranderende risico’s vanuit de interne organisatie alsmede de externe omgeving. Door continue monitoring, verbetering, interne audits en corrigerende maatregelen blijven de controles in je managementsysteem up-to-date en daarmee dus functioneel. Zo is de veiligheid van informatie in je organisatie beter geborgd.

Cybersecurity maatregelen

12. Management-systeem voor informatie-beveiliging (ISMS)

Om (vertrouwelijke) informatie beter te kunnen beveiligen kun je een managementsysteem voor informatiebeveiliging opzetten. Dit wordt ook wel een ISMS genoemd wat staat voor Information Security Management System. Een ISMS sluit aan bij het beleid van je organisatie en dient geïntegreerd te worden in je huidige processen. Wanneer we spreken over een ISMS, dan gaat het niet over een systeem in de vorm van een softwaretool, maar juist om een ‘manier van werken’ en het daaraan gekoppelde continue verbeterproces. Het is een manier van werken waarbij een systematische aanpak wordt gehanteerd om (vertrouwelijk) informatie te managen, zodat de veiligheid ervan wordt gewaarborgd.

Stappenplan ISO 27001

Uiteindelijk leg je in het ISMS een complete set aan beheersmaatregelen, processen en procedures vast met betrekking tot informatiebeveiliging om daarmee de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie te controleren. Het ISMS bevat controles waarmee je de risico’s die voortkomen uit de risicoanalyse en die gerelateerd zijn aan mensen, processen en systemen beheersbaar maakt. Wanneer je op een transparante en wereldwijd aanvaardbare manier aan wilt tonen dat je de informatiebeveiliging binnen je organisatie op orde hebt, kun je dat ISMS laten toetsen en certificeren door een onafhankelijke partij.

Wettelijke verplichtingen

13. Wet- en regelgeving rondom informatie-beveiliging

Als organisatie ben je verplicht om te voldoen aan de (inter)nationale wet- en regelgeving van het land/de landen waarin je operationeel bent. Doe je dat niet, dan ben je nalatig. Dat geldt dus ook met betrekking tot wet- en regelgeving rondom het thema informatiebeveiliging en specifiek de ISO 27001 norm. Voor organisaties die informatiebeveiliging serieus oppakken, kent ISO 27001 nog een expliciete eis omtrent naleving die terug te vinden is in de zogenaamde Annex A, hoofdstuk 18. Daarin staat dat een organisatie die een informatie-beveiligingsmanagementsysteem (ISMS) heeft ook moet weten welke wetten relevant zijn voor informatiebeveiliging. Net zoals een organisatie moet voldoen aan (beveiligings)eisen die vastliggen in contracten (belofte aan klanten moet worden gerealiseerd). Deze eisen moet de organisatie handhaven.

AVG voor de uitzendbranche

Wanneer we het over wetgeving in relatie tot informatiebeveiliging en ISO 27001 hebben dan kun je denken aan wetgeving zoals:

Maatwerk

14. Wat kost informatiebeveiliging?

Regelmatig wordt er gevraagd naar de kosten van informatiebeveiliging. Vooropgesteld: een goed beleid voor informatiebeveiliging is voor steeds meer bedrijven pure noodzaak en daarom een investering en geen kostenpost. Denk alleen maar aan de wet- en regelgeving die steeds strenger wordt en waar je als organisatie aan moet voldoen. Daar kun je simpelweg niet (meer) omheen.

Iedere organisatie is uniek en heeft dus een unieke aanpak nodig. Een logische conclusie is dus dat een informatiebeveiligingstraject, of specifiek een ISO 27001 certificering, altijd een maatwerktraject is. Dat geldt dus ook voor de kosten in tijd en geld die ermee gepaard gaan. De hoogte van de investering hangt bijvoorbeeld af van de grootte en complexiteit van de organisatie, maar ook van de hoeveelheid en met name de impact van de maatregelen die je moet treffen. Die worden bepaald door de risicoanalyse.

Wanneer je ervoor kiest om een consultant in de arm te nemen om je te coachen/ondersteunen dan komt daar ook een investering bij kijken. De hoogte daarvan is afhankelijk van de hoeveelheid werk die je wilt uitbesteden. Wanneer je jezelf wilt laten certificering, krijg je te maken met kosten voor de Certificerende Instantie (CI). Al met al is het dus een op maat optelsom.

Kosten ISO 27001

Belangrijke rol

15. De (rol van de) Security Officer binnen informatie-beveiliging

<class=”wp-block-heading” id=”15rolso”>Wanneer je</> informatiebeveiliging en privacy binnen je organisatie serieus neemt, dan kun je er niet omheen om een Security Officer (SO) aan te stellen. Zeker wanneer je met de ISO 27001 norm, de norm voor informatiebeveiliging, aan de slag gaat. In de norm staat namelijk gedefinieerd dat je rollen en verantwoordelijkheden op het gebied van informatiebeveiliging dient te bepalen binnen je organisatie. Daarbij wel de opmerking dat informatiebeveiliging hand in hand gaat met het gedrag van iedereen binnen de organisatie en niet enkel een taak is van degene die een rol of verantwoordelijkheid op dit gebied toebedeeld krijgt. Wanneer je een SO aanstelt:

  • Heeft die continu focus op verhogen van het niveau van informatiebeveiliging en borgen van vooruitgang op dat gebied;
  • Voldoe je aan wensen/eisen van de buitenwereld: wanneer je namelijk met grote(re) organisaties samenwerkt, wordt er vaak om een SO gevraagd;
  • Wordt er adequaat gehandeld wanneer er een incident of datalek plaatsvindt.
Security Officer verplicht

Vooropgesteld staat wel dat we het hebben over een rol, die ervoor zorgt dat bepaalde taken uitgevoerd worden. Deze rol hoeft niet per sé bij één (fulltime) persoon te liggen. Je kunt op verschillende manieren invulling geven aan die rol. Als we beveiligingsonderwerpen voorlopig even splitsen naar expliciete rollen (of afdelingen) dan is de volgende afbeelding een gangbare invulling.

Bron: Kwaliteit in Bedrijf

In 7 stappen op weg

16. Stappenplan informatie-beveiliging

Wanneer je met informatiebeveiliging, of specifiek de ISO 27001 norm, aan de slag gaat dan zijn er een aantal vaste stappen die je dient te doorlopen. Je begint met het inventariseren van de informatiedragers en informatiesystemen in je bedrijf, ook wel business impact analyse genoemd. Er wordt bepaald wat de gevolgen zijn voor jouw bedrijf als een informatiesysteem niet beschikbaar is, hoe lang het systeem niet beschikbaar mag zijn, en tot welk niveau informatieverlies acceptabel is.

Vervolgens neem je een lijst met bedreigingen door. Dit doe je met de informatiedragers en informatiesystemen in het achterhoofd. Per dreiging moet worden bepaald in welke mate de dreiging reëel is voor jouw bedrijf en wat je daaraan kunt doen. Wellicht voldoe je al voor een gedeelte aan de werkwijze van de ISO 27001 norm. De ontbrekende normelementen moeten worden beschreven en geïmplementeerd in het managementsysteem en in jouw bedrijfsvoering.

kib-risicomanagement-papieren-exercitie

Het implementatieproces wordt afgerond met een laatste check om vast te stellen of je gereed bent voor ISO 27001 certificering. Daarnaast moet er een directiebeoordeling worden uitgevoerd. Wanneer alle zaken in orde zijn ben je klaar voor certificering. Die certificering voor ISO 27001 moet worden uitgevoerd door een erkende certificerende instantie. Na certificering ontvang je een certificaat dat 3 jaar geldig is. Daarnaast worden er jaarlijks controle audits uitgevoerd.

Samengevat komt dit neer op de volgende zeven stappen:

    1. Algemene inventarisatie & het bepalen van de scope.
    2. Opstellen beleid(scyclus)
    3. Inventarisatie van informatie en middelen
    4. Uitvoeren van de risicoanalyse en selecteren van maatregelen.
    5. Implementeren en monitoren van maatregelen.
    6. Uitvoeren van interne audits.
    7. Directiebeoordeling en correctieve acties.

Stappenplan Contextanalyse 9001 voor kleine organisatie

ISO 27001 interne audit training

Wil je meer leren over de audit, zodat je zelf audits uit kunt voeren? Kijk dan eens naar onze ISO 27001 interne audit training.

17. Opstaptraject informatiebeveiliging

Wil je niet direct het hele traject doorlopen? Maar liever eerst op een laagdrempelige en toegankelijke manier een informatiebeveiligingsfundament leggen? Dan kan een ‘opstaptraject ISO 27001’ uitkomst bieden. Bij een opstaptraject maken we in overleg een selectie van enkele ‘basic’ beheersmaatregelen vanuit Annex A van ISO 27001. Met ‘basic’ bedoelen we de voor jouw organisatie meest essentiële en voor de hand liggende zaken waarop snel resultaat kan worden geboekt; het ‘laaghangend fruit’. Mocht je organisatie op die punten nog stappen moeten zetten, dan gaan we daarmee als eerste aan de slag. Indien een externe IT-leverancier de technische security van de organisatie beheert, dan pakken we dat samen met hen op.

Opstaptraject informatiebeveiliging

Meer weten over een dergelijk opstaptraject? Bekijk dan: Opstaptraject informatiebeveiliging: een eerste stap naar certificering.

Periodieke controle

18. Wat is een audit informatie-beveiliging?

Een audit is eensystematische en periodieke controle die uitgevoerd wordt door een auditor. Tijdens een audit wordt er binnen een organisatie gekeken of er wordt voldaan aan bepaalde richtlijnen. Een audit kan betrekking hebben op een gehele organisatie, maar ook op een specifiek onderdeel/proces binnen die organisatie. 

Ongeacht het thema is het uitvoeren van interne audits een verplicht onderdeel in iedere managementsysteemnorm. Een ‘must’ dus voor iedere organisatie die gecertificeerd wil worden én blijven voor ISO 27001, NEN 7510, ISO 27701 of elke andere norm waar ‘Plan-Do-Check-Act’ centraal staat. 

Interne audit

Ransomware voorkomen

19. Ransomware en ISO 27001

Ransomware wordt ook wel gijzelsoftware genoemd. Ransomware komt via een bestandje of door verouderde beveiliging op je computer. Het is dus belangrijk dat je dit voorkomt en je beveiliging up-to-date houdt! Wat kan je hieraan doen?

  • Gebruik het meest recente besturingssysteem. Maak dus alleen gebruik van een versie van Windows die nog ondersteund wordt door Microsoft.
  • Houd je programma’s actueel: door verouderde programma’s is je computer namelijk makkelijker te hacken.
  • Klik niet op links in e-mails die je niet vertrouwd. Let hierbij goed op, want tegenwoordig zijn valse e-mails steeds moeilijker te herkennen.

Belangrijk is daarom dat je processen rondom informatiebeveiliging op orde zijn. Weet iedereen in het bedrijf wat hij of zij moet doen als er op een verkeerde link geklikt is? En is er een inventarisatie gemaakt van de belangrijkste informatie? Weet je hoe die beveiligd wordt?

Je kunt je processen rondom informatiebeveiliging naar een hoger niveau brengen door een ISMS te implementeren. De ISO 27001 norm geeft hier richtlijnen voor. Het is niet altijd nodig om ook daadwerkelijk voor de norm te certificeren, alhoewel je dan wel een aantal zaken aantoonbaar hebt geregeld, maar het is wel een handige gids.

ransomware

Kom in contact met de partner in certificeren!

Meer informatie over de mogelijkheden?

Vraag direct en vrijblijvend een offerte op maat aan of neem contact met ons op!