Veilig databeheer begint met ISO 27001

maandag 13 juli 2020
Afbeelding Veilig databeheer begint met ISO 27001

Opmerkelijk nieuws was er begin dit jaar: de Maastrichtse universiteit tastte flink in de buidel met bitcoins om bestanden terug te kopen die door cybercriminelen in gijzeling waren genomen na een aanval met ransom ware. Opmerkelijk nieuws, dat past binnen deze tijd. Keuzes maken in bedrijfsvoering betekent steeds vaker ook adequate aandacht voor informatiebeveiliging.

Ondanks dat bedrijven nog steeds met regelmaat het slachtoffer zijn van ransomware, neemt het veiligheidsbewustzijn bij het opslaan en beheren van informatie toe. We delen veel data, en we slaan ook veel op. Veilig achter slot en grendel is dan natuurlijk het devies, zoals we van Maastricht leerden. ISO 27001, de internationale norm voor informatiebeveiliging, stelt eisen waaraan een bedrijf moet voldoen om data zo goed mogelijk te beschermen.

Méér dan AVG

ISO 27001 gaat over alle vormen van data binnen een organisatie, privacygevoelig of niet. De norm behandelt zaken als de computer lock-time, back-ups, wacht woorden, persoonsgegevens van medewerkers en klanten, toegangscontrole tot kantoren en e-mail protocollen. De richtlijn gaat ook over bewustwording en vertrouwelijk heid; is jouw team zich bewust van de gevoeligheid van bepaalde data, dan is een eerste belangrijke stap naar een goed beveiligde opslag gezet. Voor wie dat nog niet begrepen had: ISO 27001 gaat veel verder dan de AVG-wetgeving. Die betreft maar twee of drie procent van het hele spectrum aan informatiebeveiliging.

Onbeheerde laptop

Informatiebeveiliging heeft alles te maken met veiligheidsbewustzijn. Inbreken in een computersysteem wordt natuurlijk extra makkelijk als iemand nalatig is: een inlog blijft openstaan, een laptop blijft onbeheerd achter of dossiers belanden op een openbare plek op het internet. ISO 27001 geeft richtlijnen voor de juiste processen en werkwijze, en maakt zo een continu verbeteringsproces mogelijk.

De praktijk

Met ISO 27001 werk je structureel aan informatiebeveiliging. De norm begint met een dreigingsanalyse: wat zijn concrete dreigingen binnen jouw organisatie? Uit deze analyse volgen typisch twintig tot dertig belangrijke  veiligheidselementen; risicogebieden die speciaal voor jouw bedrijf gelden. Bij elk gebied formuleer je twee tot drie veiligheidsrisico’s. Daarna ga je aan de slag met de zogenaamde Annex A. Hier formuleert de norm 114 te nemen maatregelen. De dreigingsanalyse, risicoanalyse en jouw maatregelen voeg je tenslotte samen in een Statement of Applicability. Je hebt nu één overzicht met alle, door jou genomen maatregelen.

Tip

Maak het allemaal niet te ingewikkeld. Beschikt jouw organisatie al over ISO 9001? Dan is ISO 27001 een logische vervolgstap voor jouw bedrijfsvoering, mede door de high level overlap op een aantal onderdelen. Bij het behalen van ISO 27001 begeleidt onze voordeelpartner De Duurzame Adviseurs je graag.

Meer weten?

Wil je meer informatie over het ledenvoordeel met De Duurzame Adviseurs
of heb je vragen over ISO 27001? Neem dan contact met ons op per mail of bel 079 3 252 166.