Management

Dit is een bijdrage van EDM
Privacy
edm

In drie stappen naar informatiebeveiliging volgens de ISO 27001 norm

Bedrijven worden vanuit de AVG vanaf mei 2018 wettelijk verplicht om (gevoelige) gegevens goed te beschermen. Reden te meer om aan de slag te gaan. 

10 augustus 2017
Door: EDM, partner

Bedrijven worden vanuit de AVG vanaf mei 2018 wettelijk verplicht om (gevoelige) gegevens goed te beschermen. Reden te meer om aan de slag te gaan. 

Door: Esther Dirkse, Senior Consultant EDM

We hebben recent de ISO 27001-certificering behaald. Daarom delen we in drie blogs onze learnings van het certificeringstraject, zodat u als professional aan de gang kunt met de kennis die we hebben opgedaan. Deze kennis is relevant voor iedereen, die zelf volgens deze ISO-normen wil werken. In de vorige blog gaven we vijf tips om veilig om te gaan met data, in deze blog volgen drie tips waarmee u zelf aan de slag kunt met informatiebeveiliging.

Het stemt ons trots dat we de ISO 27001-certificering behaalden, want dat betekent dat we voldoen aan de geldende norm omtrent de beveiliging van onze bedrijfsgegevens en de gegevens die onze klanten aan ons toevertrouwen. Bedrijven worden vanuit de AVG vanaf mei 2018 wettelijk verplicht om (gevoelige) gegevens goed te beschermen. Reden te meer om aan de slag te gaan met onderstaande stappen. 

Stap 1: Benoem de scope van het ISMS en communiceer deze duidelijk binnen de organisatie

De scope van het ISMS (information security management system) kadert af welke informatie of bedrijfsonderdelen binnen het ISMS vallen. Denk hier goed over na; welke onderdelen en type informatie wilt u onderdeel laten zijn van het ISMS. Voor welke onderdelen binnen het bedrijf is informatiebeveiliging nu belangrijk/cruciaal. Door hier duidelijkheid over te verschaffen, hebben medewerkers inzicht wanneer ze dienen te handelen volgens de gekozen richtlijnen. Het is van groot belang dat iedereen hiervan op de hoogte is, zodat het mogelijk is om elkaar aan te spreken als er niet volgens het ISMS gehandeld wordt. Stel een communicatieplan op met doelstellingen om de organisatie mee te nemen in de inhoud en onderdelen van het ISMS.  

Stap 2: Stel beleid op waarin de procedures vastgelegd worden

Het opstellen van een informatiebeveiligingsbeleid met hierin alle procedures beschreven die betrekking hebben op de scope is een must (en verplichting vanuit de norm) voor implementatie van het ISMS.  Een beleid zorgt voor duidelijkheid en handvatten hoe er in de organisatie met (gevoelige) gegevens omgegaan wordt. Beleid verspreidt zich niet vanzelf en het verankeren in procedures is hiervoor een bruikbare tool. Procedures kunnen vervolgens uitgroeien tot gewoontes, zodat beleid uiteindelijk praktijk wordt. Dat is belangrijk, want de kernwaarde van informatiebeveiliging is dat het een continu proces is: gegevens worden niet eenmalig beveiligd, daar moet steeds op worden gestuurd.  Het informatiebeveiligingsbeleid moet voortkomen uit de opgestelde risico analyse en inventarisatie van alle stakeholders. 

Stap 3: Verdiep u in de scope, zodat u binnen uw functie weet waar u rekening mee moet houden

Als u als professional aan de slag gaat met het opstellen of implementeren van een ISMS, dan zijn er op functioneel niveau een aantal zaken relevant. U wilt allereerst weten of de systemen waar u mee werkt wel of niet binnen de scope vallen. Ook wilt u weten of (alle of sommige) werkzaamheden die u uitvoert onder de scope vallen of juist niet. Het kan zo zijn dat bepaalde informatie, systemen of afdelingen binnen de organisatie wel of niet binnen de scope vallen. Dat heeft invloed op de procedures waar u, als medewerker of manager, in de dagelijkse praktijk mee te maken krijgt. Verdiep u dan ook in de scope, zodat u weet of en wanneer het ISMS voor u en uw (directe) collega’s van toepassing is. 

Fundament

Met behulp van de eerste twee blogs kunt u een goed fundament leggen voor een betrouwbare informatiebeveiliging. In het laatste blog uit onze driedelige serie leggen we daarom uit hoe u uw beveiliging in topconditie houdt. 

In drie blogs delen we onze learnings van het certificeringstraject, zodat u als professional aan de gang kan met de kennis die we hebben opgedaan. In het eerste blog geven we vijf tips om veilig om te gaan met data, dit blog behelst een stappenplan naar datasecurity volgens de ISO-normen en in het laatste blog leggen we uit hoe databeveiliging continu kan worden verbetert.

Reactie toevoegen