iso 27001 in het kort
ISO 27001. Wat is dat? ISO 27001 is dé internationale norm voor informatiebeveiliging. Het is een kader of eenvoudiger gezegd, een handboek dat organisaties helpt om hun informatiebeveiliging goed te organiseren. Denk aan toegangsbeveiliging, autorisaties, back-ups, processen, ICT-beleid, incidenten en veilige manieren van softwareontwikkeling.
de wereld verandert continu
De ontwikkelingen staan niet stil. Meer en meer staat data in de cloud, komen er nieuwe softwaretoepassingen en groeit het aantal devices. Maar ook het toegenomen thuiswerken, als gevolg van Corona, is iets dat van grote invloed is op de beveiliging van uw bedrijfsinformatie. Het goed en veilig omgaan met informatie vraagt steeds vaker om dagelijkse aandacht.
Maatregelen zijn nodig om te zorgen dat onbevoegden geen toegang kunnen krijgen tot uw gegevens. Om te voorkomen dat informatie op straat komt te liggen. Maar ook om te zorgen dat informatie altijd beschikbaar is voor de organisatie en haar medewerkers zodat zij hun werk kunnen doen.
Dus ook als uw leveranciers uw data opslaan buiten uw eigen beveiligde omgeving. Bijvoorbeeld wanneer u werkt met Microsoft 365, CRM-systemen, of uw administratie doet in bijvoorbeeld Exact Online (de bekende SAAS-oplossingen), wordt er data van/over u of uw klanten bewaard. De vraag is hoe u kunt vaststellen dat die leveranciers dit netjes doen. Het antwoord: onderdeel van ISO 27001 is dat er ieder jaar een leveranciersbeoordeling plaatsvindt.
de relatie met vindicta
De onderwerpen hierboven leggen vrij eenvoudig een relatie met Vindicta. Wij zijn uw leverancier zoals hierboven is beschreven. Het is een van onze basistaken te zorgen dat onze gegevens en die van onze klanten goed beveiligd zijn en dat de beschikbaarheid van die informatie maximaal is. ISO 27001 is voor ons dan ook een belangrijke norm die ons helpt dat goed te organiseren. En wanneer vanuit uw eigen audit een leveranciersbeoordeling moet plaatsvinden naar ons toe, dan kunnen we daar met onze eigen certificering eenvoudig op antwoorden dat het in orde is.
don’t tell it – show it
‘Goed dat jullie daarmee bezig zijn’ zult u wellicht nu denken. ‘Maar wat heb ik daaraan en hoe weet ik of jullie het ook daadwerkelijk op orde hebben?’ Wat u eraan heeft is in de eerste plaats dat uw informatie elke dag optimaal beschikbaar is zodat iedereen zijn werk kan doen. Daarnaast minimaliseren we de kans dat onbevoegden zich toegang verschaffen tot uw data en dat het niet zomaar op straat komt te liggen. We dragen dus bij aan uw bedrijfscontinuïteit en voorkomen imagoschade en onnodige kosten.
Om te weten of we het ook daadwerkelijk op orde hebben laten we ons certificeren. In 2013 is dat voor het eerst gedaan en vervolgens ieder jaar een audit en iedere drie jaar een hercertificering. Een onafhankelijke instelling controleert dan of wij het ook in de praktijk zo doen zoals we het in het Information Security Management System (ISMS) hebben opgeschreven.
Daarmee kunnen we aan onze relaties en klanten laten zien dat wij goed én veilig omgaan met alle informatie die zij ons toevertrouwen.
iso 27001 is alleen voor grote organisaties. toch?
Het is een misverstand om te denken dat ISO 27001 er alleen is voor de grote bedrijven. Ook kleinere organisaties hebben hier baat bij. Een volledig certificeringtraject is wellicht teveel van het goede. Maar het beoordelen en strakker organiseren van bepaalde onderdelen is absoluut nuttig. Voor het technische IT-deel regelt Vindicta dit voor u, maar zelf bent u voor de organisatorische kant verantwoordelijk.
risico’s als vertrekpunt
Informatiebeveiliging op orde betekent minder verstoringen en onnodige kosten, omdat u simpelweg vaker voorkomt dat het misgaat. Gaat het dan toch mis dan zorgen de juiste procedures ervoor dat de gevolgen worden beperkt. Waar begin je?
Wat voor organisaties een mooi startpunt is zijn de risico’s. De plekken zoeken waar het mis kan gaan. Wat is de kans dat het gebeurt en hoe groot zijn dan de gevolgen. Daarmee krijgt u goed beeld van de aandachtsgebieden. Inzichten die je vervolgens kan gebruiken voor een goede inschatting waar de tijd, aandacht en geld naar toe moet gaan.
Mocht u hiermee aan de slag willen dan is onze tip: begin klein en bouw het op. Een nulmeting is vaak een goed startpunt. Het geeft een goed beeld van waar u staat en wat er nodig is om uw informatiebeveiliging naar een hoger plan te tillen.
ervaringen delen
Uiteraard bespreken we graag met u hoe wij de IT-kant van uw informatiebeveiliging voor onze rekening kunnen nemen en hoe u daarvan profiteert in uw eigen ISO 27001 certificeringstraject. Ook is het mogelijk hulp in te schakelen bij de leveranciersbeoordeling. Bel of mail gerust. Een afspraak voor een kop koffie of thee is snel gemaakt!