ISO 27001/NEN 7510
Opstaptraject informatie-beveiliging
Ransomware, datalekken; is jouw organisatie echt beschermd? Informatiebeveiliging is geen luxe, maar pure noodzaak. Toch schrikt een volledige ISO 27001 / NEN 7510 certificering veel organisaties af vanwege tijd en kosten. Maar wist je dat je niet alles in één keer hoeft te doen? Met ons opstaptraject begin je direct met de belangrijkste maatregelen. Snel, effectief en zonder onnodige complexiteit. Zet vandaag de eerste stap!
Meer informatie of offerte aanvragen?
Wil je meer weten over het opstaptraject informatiebeveiliging? Neem dan contact met ons op! Wil je direct aan de slag? Vraag dan een offerte aan!
Wij zijn je graag van dienst
Onze informatiebeveiliging specialisten
Het fundament
Welke basics komen aan bod?
De basis waarmee we het fundament voor een informatieveiligere organisatie leggen, zijn:
- Operationele beveiliging (malware, backups, software-installatie etc)
- Netwerkbeveiliging
- Autorisaties
- Wachtwoorden
- Leveranciersbeheersing
- Fysieke toegang
- Clean desk / clear screen beleid
Indien gewenst (en binnen de specifieke context van een organisatie relevant) kunnen hier nog enkele aspecten aan worden toegevoegd.
Programma opstaptraject
Stappenplan
De stappen in dit opstaptraject om te starten met informatiebeveiliging zijn:
- Inventarisatie huidige situatie & GAP-analyse t.o.v. normeisen
- Opstellen verbeterplan
- Implementatie verbeteracties, monitoring & bewustwordingssessies
- Interne audit
Een opstaptraject IB
Resultaten
Na afronding van dit ‘opstaptraject’ heb je als organisatie een belangrijk en stevig fundament gelegd voor een hoger niveau van informatiebeveiliging. Informatiebeveiliging staat na dit traject binnen de organisatie op de kaart. Op basis van de opgestelde documentatie, opgebouwde registraties en het interne auditrapport kan je op deze essentiële zaken (de basics) aan belanghebbenden aantonen dat je ‘in control bent’ op de meest kritieke informatiebeveiligingsrisico’s. En je bent als organisatie klaar voor de volgende stap richting het behalen van de gewenste/benodigde ISO 27001 of NEN 7510 certificering.
“Zonder CertificeringsAdvies Nederland (CAN) waren we als een kip zonder kop aan de slag gegaan. Vooral de pragmatische inval (wat moeten we vastleggen, wat ligt informeel in de organisatie al vast) hadden we niet zonder CAN kunnen doen. We zijn blij verrast met het resultaat.”
“Gedurende het ISO 27001 en NEN 7510 traject viel vooral de pragmatische aanpak op. CertificeringsAdvies Nederland (CAN) denkt echt vanuit de organisatie en niet vanuit de norm. De CAN-adviseur wist de normen feilloos te vertalen naar de praktijk waardoor het voor ons duidelijk en werkbaar was.”
“We hebben de ISO 27001 norm met behulp van CertificeringsAdvies Nederland binnen 2 maanden opgetuigd. De gezamenlijke start en de professionele begeleiding van de adviseur hebben erg geholpen om onze hele organisatie te enthousiasmeren voor ISO. Dat was erg positief!”
“Samen met Tobias hebben we het afgelopen jaar flinke stappen gezet met betrekking tot ISO 9001 en ISO 27001. Hij heeft veel ervaring in de IT-branche en dat is van grote waarde gebleken. Hij weet hoe andere bedrijven bepaalde uitdagingen hebben opgelost en kan daarom meedenken en alternatieven noemen.”
“De manier van communiceren, het snelle contact, de korte lijntjes en de mogelijkheid voor verschillende manieren van ondersteuning spraken ons erg aan bij CertificeringsAdvies Nederland. De adviseurs zijn heel erg ter zake kundig en kunnen dieper op bepaalde zaken ingaan. Over de hele linie kwamen ze met praktische zaken en handige formats!”
“Tobias heeft ons veel werk uit handen genomen tijdens het ISO 27001 implementatietraject. We zijn blij te kunnen melden dat we recent met vlag en wimpel door de audit van fase 1 zijn gekomen!”
“Voordat we samenwerkten met CertificeringsAdvies Nederland hadden we het gevoel dat we nog ver van ISO 27001 af stonden. Laurens nam ons aan de hand mee en heeft het simpel gemaakt voor ons. Na een tijdje kom je erachter dat je eigenlijk al best ver bent.”
“Laurens heeft ons begeleid met de implementatie van ISO 27001 en NEN 7510. Die samenwerking ging zo goed, dat hij momenteel bij ons werkzaam is als Security Officer (as a Service).”
Tips
Basismaatregelen Cybersecurity
Een start maken aan het managen van je informatiebeveiliging of zelfs het inrichten van je processen volgens een bepaalde informatiebeveiligingsnorm (zoals ISO 27001 of NEN 7510) kan lastig zijn. Hieronder een aantal tips die ingaan op deze onderwerpen:
- Operationele beveiliging
- Wachtwoorden
- Autorisaties
- Leveranciersbeheersing
- Bewustwording
Operationele beveiliging
Wanneer we het hebben over operationele beveiliging in het kader van informatiebeveiliging, dan kun je denken aan je processen en besluiten met betrekking tot het verwerken en beschermen van data assets. Concreet kun je jezelf de volgende vragen stellen:
- Hoe is je device management ingeregeld? En is er controle op geïnstalleerde software op gebruikersapparaten?
- Worden alle systemen regelmatig bijgewerkt naar de laatste versie van security updates? Systemen worden niet voor niets geüpdatet. Er worden fouten en kwetsbaarheden verholpen. Zorg er daarom dus altijd voor dat systemen zo snel mogelijk worden bijgewerkt naar de laatste versie.
- Hoe is de back-up van je data geregeld? En voer je regelmatig een restore test uit? Back-ups zijn essentieel wanneer je data of systemen zijn aangetast en hersteld moeten worden.
Wachtwoorden
Iets waar je vandaag nog mee kunt beginnen is het opstellen van een wachtwoordenbeleid. Wordt er bijvoorbeeld al overal (en door iedereen) gebruik gemaakt van een multifactor authenticatie? Dit is een vrij eenvoudige stap om in te voeren waarmee je al een stuk van je informatieveiligheid verbetert. Daarnaast kun je gebruik maken van een ‘Password Management System’ waar wachtwoorden zijn opgeslagen en worden ontsloten door RBAC (methode waarmee op efficiënte wijze toegangscontrole voor informatiesystemen kan worden ingericht). En tot slot kun je voor iedereen een mate van complexiteit van de wachtwoorden verplichten.
Autorisaties
Vaak is er binnen organisaties wel aandacht voor autorisaties, maar de actualiteit daarvan laat dan te wensen over. Stel daarom een beleid vast waarin je in ieder geval vaststelt hoe:
- Regelmatig er wordt gecontroleerd of autorisaties en rechten nog kloppen;
- Je de on- en offboarding van medewerkers hebt ingeregeld;
- Je autorisaties toewijst op basis van rollen en functies.
Let op: dit soort maatregelen kun je automatiseren. Besteed je dus aan het begin voldoende aandacht aan je informatiebeveiligings-management, dan ga je daar later de vruchten van plukken en merken dat de efficiëntie binnen je organisatie verbetert. En dat je daarmee dus ook kosten bespaart.
Leveranciersbeheersing
Wanneer je zelf consequent omgaat met je informatiebeveiliging, dan verwacht je dat waarschijnlijk ook van je leveranciers. De meest eenvoudige manier om dit te kunnen borgen is om alleen samen te werken met leveranciers die middels een certificering kunnen aantonen dat hun informatiebeveiliging op orde is. Is dit niet het geval, probeer het aantal leveranciers waarmee je samenwerkt dan vooral beperkt te houden. Op die manier blijft het ook controleerbaar. Dit betekent dus ook dat je kritisch moet gaan kijken naar wat je momenteel gebruikt en wat de toegevoegde waarde daarvan is. Ieder stuk software bevat kwetsbaarheden én moet je up to date houden. Probeer het daarom beperkt en centraal te houden waar dat kan.
Opstaptraject?
Breng je informatiebeveiliging op orde!
Wil je meer weten over de mogelijkheden? Neem dan gerust contact met ons op. Of vraag direct, geheel vrijblijvend, een offerte aan!