Cyberspionage, datalekken en ander digitaal onheil zijn nog altijd aan de orde van de dag. Niet vreemd dus dat informatiebeveiliging hoog op de maatschappelijke agenda staat en dat informatiebeveiliging bij veel organisaties bovenaan staat op het prioriteitenlijstje. Desondanks doen zich met grote regelmaat beveiligingsincidenten voor waarvan, achteraf, blijkt dat ze niet gebeurd zouden zijn met up-to-date beveiligingssoftware of als iedereen zich had gehouden aan de afgesproken informatieprotocollen.
Hoe veilig móet je zijn?
Veel organisaties die een strategie voor cybersecurity en informatiebeveiliging implementeren laten zich verleiden door state-of-the-art hightech oplossingen, waarmee alle bedrijfsprocessen zoveel mogelijk worden dichtgetimmerd. Toch zouden organisaties zich beter kunnen afvragen hoe veilig ze daadwerkelijk móeten zijn, in plaats van hoe veilig ze technisch kúnnen zijn. Bovendien valt of staat ook informatiebeveiliging met een goed fundament. Als standaard beveiligingsmaatregelen ontbreken, medewerkers onzorgvuldig omgaan met usb-sticks of klakkeloos elk mailtje openklikken heeft ook de meest gesofisticeerde cybersecurity-oplossing weinig zin. Goede cyber- en datasecurity begint dan ook met stimuleren van bewustzijn en een structureel beveiligingsbeleid.
Norm voor informatiebeveiliging
Voor dat laatste bestaan verschillende hulpmiddelen. Zo is de internationale norm voor informatiebeveiliging ISO 27001 van toegevoegde waarde voor vrijwel elke organisatie die gegevens digitaal bewaart en verwerkt. De ISO 27001 beschrijft onder andere de eisen voor een Information Security Management System (ISMS). Dit is een modus operandi waarmee een organisatie haar informatiehuishouding structureel goed beveiligd kan vormgeven. Een ISMS bevat verplichte onderdelen als een interne ISO 27001 audit of risicoanalyse, maar een organisatie kan er ook een eigen draai aan geven en het managementsysteem aanpassen op de eigen processen en risico’s die deze met zich meebrengen.
ISO 27001-certificaat
Organisaties kunnen met een ISO 27001-certificaat laten zien dat ze in control zijn over hun informatiestromen. Dat is niet alleen belangrijk voor externe stakeholders – zoals patiënten en verzekeraars – maar ook voor de eigen medewerkers die hiermee de garantie hebben dat ze werken bij een organisatie die verantwoordelijk omgaat met vertrouwelijke gegevens. Bij een ISO 27001-certificeringstraject wordt door een daarvoor geaccrediteerde onafhankelijke certificeringsinstantie getoetst of de organisatie voldoet aan de certificeringscriteria zoals die zijn geformuleerd in de norm.
Certificeringstraject
Organisaties die opgaan voor ISO 27001-certificering starten met een zogenaamde fase 1-audit. Hierin wordt het bestaande kwaliteitshandboek beoordeeld en gaat de certificeerder op zoek naar aandachtspunten die in het vervolgtraject tot tekortkomingen kunnen leiden. Daarna wordt tijdens de fase-2 audit bij de organisatie op locatie bekeken of het managementsysteem juist is ingevoerd. Als dat het geval is, of als er tekortkomingen zijn die door de organisatie zelf kunnen worden opgelost, dan volgt certificering. Een ISO 27001-certificaat heeft een geldigheidsduur van drie jaar, daarna volgt hercertificering. Tussentijds vinden er jaarlijkse controleaudits plaats.
Certificering door Kiwa
Kiwa is een internationale marktleider op het gebied van testen, inspecteren en certificeren en heeft veel ervaring met ISO 27001-certificeringstrajecten. De auditors van Kiwa hebben ervaring in vrijwel alle bedrijfstakken en sectoren en kunnen daarom organisaties ondersteunen in gecombineerde certificeringstrajecten met andere ISO-kwaliteitsnormen, zoals ISO 9001.
Kijk voor meer informatie over Kiwa op: https://www.kiwa.com/nl/nl/diensten/certificering/
Om te kunnen beoordelen moet u ingelogd zijn: