Gecertificeerde infosecurity maakt slimme wereld veiliger

slider

Het internet of things, web- en big data-oplossingen zijn niet meer weg te denken uit ons dagelijks leven. We vullen online ons boodschappenkarretje, werken massaal in de cloud en als we wat mankeren worden we misschien wel geopereerd door een robot die wordt bediend vanaf de andere kant van de wereld. Maar die ‘slimme wereld’ is ook gevoelig voor malware, id-fraude en ander ongemak. Informatiebeveiliging volgens normen als ISO 27001 en, speciaal voor de Nederlandse zorgsector, NEN 7510 helpt ons daartegen te wapenen.

Hoewel informatiebeveiliging hoog op de maatschappelijke én politieke agenda staat en veel organisaties er topprioriteit aan hebben gegeven, zijn datalekken, cybercrime en andere digitaal ongemak nog steeds vrijwel dagelijks in het nieuws. Naderhand blijkt vaak dat incidenten voorkomen hadden kunnen worden als organisaties hun informatiehuishouding op orde hadden gehad. Nogal wat bedrijven en instellingen die cyber- en informatiebeveiliging structureel willen aanpakken, laten zich verleiden door hightech tools en perfect uitgekristalliseerde protocollen. Daarmee wordt de organisatie weliswaar zo veilig als technisch mogelijk is, maar kunnen ook dagelijkse bedrijfsprocessen behoorlijk worden verstikt.

Basismaatregelen

Organisaties zouden zich, alvorens de gegevenshuishouding opnieuw op te zetten, eerst moeten afvragen hoe veilig ze nu echt móeten zijn en niet hoe veilig ze in technisch opzicht kunnen zijn.  Bovendien hebben ook de meest geavanceerde technische oplossingen weinig zin als basismaatregelen ontbreken. Als binnen een organisatie geen afspraken zijn gemaakt over hoe om te gaan met vertrouwelijke informatie en medewerkers usb-sticks laten rondslingeren of zich niet bewust zijn van de gevaren van phishing mails, heeft ook de best doortimmerde cyber- en infosecurity ter wereld niet zoveel nut. Informatiebeveiliging begint dan ook met awareness en een beveiligingsbeleid dat past bij de organisatie.

Afbeelding 3

Blauwdruk

Er bestaan verschillende normen en standaarden die kunnen gebruiken om hun informatiehuishouding zó in te richten dat aantoonbaar op een veilige en verantwoorde manier wordt omgegaan met data en vertrouwelijke informatie. Zo is de internationale norm ISO 27001 van toegevoegde waarde voor vrijwel elke organisatie die informatie digitaal opslaat en verwerkt. De ISO 27001 beschrijft de eisen voor een Information Security Management System (ISMS), een blauwdruk waarmee de organisatie een solide fundament kan leggen voor informatiebeveiliging. Een ISMS bevat verplichte onderdelen als een risicoanalyse en een interne ISO 27001 audit, maar kan door een organisatie ook worden afgestemd op de eigen bedrijfsprocessen.

ISO 27001 certificaat

Met een ISO 27001-certificaat kunnen organisaties hun in- en externe stakeholders laten zien dat ze hun processen rondom informatieopslag- en verwerking op orde hebben en dat ze continu werken aan het verbeteren van de bescherming van gevoelige informatie. Een ISO 27001-certificaat wordt voorafgegaan door een certificeringstraject. Hierbij wordt door een onafhankelijke geaccrediteerde certificeringsinstantie beoordeeld of een bedrijf of instelling voldoet aan de ISO 27001-criteria. Worden na een audit verbeterpunten geconstateerd, dan komt de certificeerder met een stappenplan hiervoor. Voldoet de organisatie daarna aan de ISO 27001-eisen, dan volgt certificering. De kosten van ISO 27001 certificering hangen nauw samen met de omvang en complexiteit van een organisatie.

NEN 7510 wettelijk verplicht

In Nederland is op basis van de ISO 27001 een speciale norm ontwikkeld voor zorgverleners, de NEN 7510. Volgens de Regeling burgerservicenummer in de zorg moeten zorgorganisaties verplicht voldoen aan deze norm. Zo wordt de NEN 7510 door de Inspectie Gezondheidszorg en Jeugd (IGJ) gebruikt als wordt gekeken of een zorgverlener zijn informatiehuishouding op orde heeft. Certificering volgens de NEN 7510 is niet verplicht, maar organisaties in de zorgsector kunnen hiermee wél aantonen dat ze voldoen aan de geldende eisen op het gebied van privacybescherming en informatiebeveiliging. En dat kan waardevol zijn, in een werkveld waarin informatie vrijwel altijd vertrouwelijk is en waarin organisaties dus onder een vergrootglas liggen als het gaat om de manier waarop ze omgaan met data en persoonsgegevens.

Afbeelding 4

Certificering door Kiwa

Kiwa is een wereldwijde marktleider op het gebied van testen, inspecteren en certificeren. Kiwa’s auditors hebben ervaring met onder meer ISO 27001- en NEN 7510-certificeringstrajecten. Wilt u meer weten over ISO 27001 certificering of wilt u meer informatie over het NEN 7510 certificaat? Neem dan contact op met Kiwa’s Expert Center Information Security via +31 (0)88 998 30 20.