Het belang van Informatiebeveiliging wordt steeds groter. U heeft in uw eigen organisatie naast gegevens van uw relaties – klanten, leveranciers, medewerkers, ketenpartners, heel wat waardevolle bedrijfsinformatie beschikbaar. Deze gegevens wilt u goed beschermen. Daarvoor geeft ISO 27001 de kaders en praktische handvatten.

Wat houdt ISO 27001 informatiebeveiliging in?

ISO27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. Met ISO 27001 certificering maakt u aantoonbaar dat u voldoet aan alle eisen rondom informatiebeveiliging. Met ingang van de Algemene verordening persoonsgegevens (AVG ofwel GDPR) in Europa zijn de regels rondom gegevensbescherming aangescherpt. Als organisatie betekent dit dat u de zaken rondom informatiebeveiliging goed op orde dient te hebben.

Een datalek van persoonsgegevens of een hack heeft niet alleen financiële gevolgen, ook uw reputatie wordt hierdoor in hoge mate aangetast. In ISO 27001 zijn eisen aan informatiebeveiliging vastgelegd en helpt problemen te voorkomen.

Met behulp van ISO 27001 toont u aan er serieus werk van te maken en beperkt u de bedrijfsrisico’s.
Op dit gebied zien wij de vraag naar aantoonbaarheid sterk toenemen. Daarvoor is ISO 27001 een must.

ISO 27001 handen en voeten geven

ISO 27001 is gericht op bescherming van de vertrouwelijkheid, integriteit en de beschikbaarheid van de bedrijfskritische informatie in een organisatie. Bescherming bereiken we door potentiële problemen te achterhalen die kunnen gebeuren met de informatie (risicobeoordeling). Vervolgens bepalen we wat de organisatie kan doen om de risico’s te voorkomen of in ieder geval beheersbaar te houden.

De maatregelen die we in het kader van ISO 27001 treffen, bestaan veelal in de vorm van beleid, procedures en technische implementaties (software en apparatuur). Opmerkelijk is dat in de meeste gevallen bedrijven hard- en software hebben geregeld, maar deze niet optimaal inzetten en gebruiken. Dat geeft onveilige situaties. ISO 27001 richt zich om die reden met name op organisatorische maatregelen. Speerpunten: Bewustzijn rondom gegevensbewerking verhogen, managen van toegang tot de gegevens en managen van de verwerking.

Voordelen van ISO 27001

Beheersing van processen staat centraal in de norm. Dit komt duidelijk tot uiting door toepassing van het model van W. Edwards Deming, de Deming-circel of PDCA-circel:

  • Voldoen aan juridische vereisten – de norm geeft een uitstekend kader om aantoonbaar invulling te geven aan de eisen, uit wet- en regelgeving, contractuele vereisten, in relatie tot informatiebeveiliging. Denk hierbij aan de AVG. Het ISO 27001 certificaat draagt bij aan uw imago als betrouwbare partij die zorgvuldig met persoonsgegevens omgaat en wet- en regelgeving naleeft.
  • Marketingvoordeel behalen– u heeft een pré indien uw organisatie gecertificeerd is voor informatiebeveiliging. In bepaalde branches en binnen ketens is dit al een license-to-operate aan het worden. Daarnaast bewijst het dat u serieus bezig bent met informatiebeveiliging en dat onderscheid u in veel branches, zeker op dit moment, van de concurrentie.
  • Risico’s en incidenten terugdringen Door het inrichten van een managementsysteem voor informatiebeveiliging bent u scherp op eventuele beveiligingsrisico’s; waaronder datalekken en hacks. Hierdoor kunt u in het geval van problemen snel gericht optreden en reputatieschade en claims voorkomen.

NEN 7510

Voor de zorgsector is NEN 7510 opgezet. In feite is deze norm een uitbreiding op ISO 27001 met een set aanvullende eisen voor de zorgsector. Voor deze norm kan een organisatie uit de zorgsector zich certificeren.

AVG

ISO 27001 en de AVG/GDPR overlappen elkaar voor een deel, ze gaan allebei over privacy- en persoonsbescherming aspecten. De AVG/GDPR richt zich specifiek op bescherming en beheer van persoonsgegevens. Bij ISO 27001 ligt de focus op het in standhouden van een managementsysteem om informatie te beveiligen en verlies van gegevens te voorkomen. Certificering voor ISO 27001 vormt een uitstekend pad om invulling te geven aan de AVG/GPDR. De volgende zaken dienen aanvullend expliciet benoemd en geregeld te worden:

  • Naast inzagerecht het recht op vernietiging persoonsgegevens;
  • Minimalisatie van gebruik persoonsgegevens;
  • Aanwijzen functionaris gegevensbescherming.
Tijd voor aantoonbaar maken van informatiebeveiliging binnen uw organisatie; maak nu een afspraak!