Management

Dit is een bijdrage van EDM
Juridische zaken
edm

Hoe zorgt u ervoor dat uw informatiebeveiliging op niveau blijft?

Zoals u inmiddels weet, hebben we de ISO 27001-certificering behaald. In drie blogs helpen we u op weg, als u ook een certificeringstraject ingaat.

10 september 2017
Door: EDM, partner

Zoals u inmiddels weet, hebben we de ISO 27001-certificering behaald. In drie blogs helpen we u op weg, als u ook een certificeringstraject ingaat.

Door: Esther Dirkse, Senior Consultant EDM

In de eerste blog gaven we vijf tips om veilig om te gaan met data en daarna volgden drie tips waarmee u zelf aan de slag kunt met informatiebeveiliging. In dit laatste blog gaan we het hebben over drie aandachtspunten die ervoor zorgen dat uw informatiebeveiliging ook op niveau blijft.

Met de GDPR die vanaf mei 2018 van kracht gaat, worden bedrijven die met persoonsgegevens te maken hebben, wettelijk verplicht om (gevoelige) gegevens goed te beschermen. Het doel van deze Europese wetgeving, is ervoor te zorgen dat persoonsgegevens beter beschermd worden. Voor deze wet is de ISO 27001-certificering overigens niet nodig, maar het maakt het naleven van de GDPR wel makkelijker. Reden te meer om aan de slag te gaan met onderstaande aandachtspunten en de verbetermethodiek van de regelkring te implementeren. Een regelkring maakt het namelijk mogelijk om processen bij te sturen, doordat er steeds nieuwe informatie inzichtelijk wordt over de output van die processen. De regelkring is dan ook onmisbaar rondom de ISO-certificering, aangezien informatiebeveiliging bij uitstek een continu proces (en geen product) is. Deze drie punten verdienen uw aandacht.

Aandachtspunt 1: plan-do-act-check-cyclus
Om de ISO 27001-certificering te behalen én te behouden, is het essentieel om een continue verbetering van de informatiebeveiligingsprocessen aantoonbaar te maken. Om deze constante verbetering mogelijk te maken, is de ‘plan–do–check–act cyclus’ onmisbaar. Door deze cyclus zijn onvolkomenheden in beveiligingsprocessen op te sporen en kan hier actie op ondernomen worden. Hierdoor ontstaat als het ware een platform voor de verbetering van processen. Deze PDCA-cyclus vormt de kern van het Information Security Management System, vaak afgekort tot het ISMS.

Aandachtspunt 2: zorg dat de onderdelen van uw ISMS up to date blijven
Bij de ISO 27001-certificering is het essentieel ervoor te zorgen dat de onderdelen van het ISMS up to date blijven. De inhoud en continue verbetering van deze onderdelen wordt periodiek gecontroleerd en zorgt ervoor dat informatiebeveiliging continue op orde is. Dit zijn de belangrijkste onderdelen van het ISMS:

• Risicoanalyse: organisaties zijn verplicht om alle databeveiligingsrisico’s in kaart te brengen. Hiervoor moet ook een risico behandelplan opgesteld worden, dat uiteraard ook uitgevoerd moet worden;
• Incidentenregistratie: organisaties zijn verplicht om incidenten op het gebied van informatiebeveiliging te registreren en actie te ondernemen aan de hand van deze incidentenregistratie;
• Directiebeoordeling: organisaties zijn verplicht om één keer per jaar een directiebeoordeling uit te voeren. In deze directiebeoordeling dient het hele ISMS beoordeeld te worden;
• Interne audit: dit behelst een jaarlijkse, verplichtte interne audit van het ISMS;
• Externe audit: jaarlijks dient er eveneens een externe auditor het ISMS te toetsen.

Aandachtspunt 3: documenteer voor aantoonbaarheid
Documentatie en aantoonbaarheid zijn belangrijke kernpunten binnen de regelkring van ISO. Door processen en de output van processen te documenteren, valt er immers aan te tonen dat er actief gestuurd wordt op datasecurity. Zorg er dus altijd voor dat alle (wijzigingen en verbeteringen van) processen goed gedocumenteerd zijn in het ISMS.

Tot slot
Draag er zorg voor dat processen continu verbeteren door de ‘plan–do–check–act cyclus’ te hanteren. Monitor deze verbeteringen, door aandacht te besteden aan risicoanalyses, incidentenregistraties, directiebeoordelingen, interne- en externe audits. Zorg er daarbij voor dat alle (verbeteringen van) processen gedocumenteerd worden. Als u aandachtig omgaat met deze drie punten, dan wordt het gemakkelijker om de regelkring te implementeren. We hopen u met deze blog-reeks geholpen te hebben om tot een gestructureerde informatiebeveiliging te komen. Succes met de voorbereidingen voor de GDPR!

 

Reactie toevoegen