In het nieuws komen steeds vaker berichten voorbij over grootschalige datalekken, uitval van belangrijke systemen en inbraak door hackers. Het grootste gevaar is dat persoonsgegevens en andere vertrouwelijke informatie van een organisatie of haar klanten op straat komt te liggen. Dit schendt de privacy. Privacy is een grondrecht en gaat over zeggenschap over onze eigen persoonsgegevens. Een organisatie wil de privacy van haar werknemers of klanten natuurlijk niet schenden. Hoe kan een organisatie risico’s rondom privacy en informatiebeveiliging voorkomen?
ISO 27001
Risico’s rondom privacy en informatiebeveiliging kunnen beperkt of voorkomen worden door een managementsysteem te implementeren conform ISO 27001. ISO 27001 is een internationale norm die eisen stelt aan informatiebeveiliging. Elke organisatie kan zich op deze norm certificeren, maar dit is niet verplicht. De norm is vooral relevant voor organisaties die vertrouwelijk informatie bewerken, verwerken en/of opslaan.
Certificeren op ISO 27001
Een organisatie kan certificeren op ISO 27001 wanneer zij voldoet aan de eisen die in de norm worden gesteld aan informatiebeveiliging. Om te certificeren moet je de risico’s in kaart brengen en maatregelen formuleren om deze risico’s te voorkomen. Vervolgens moet er ook een Verklaring van Toepasselijkheid worden opgesteld, een verplicht onderdeel uit de norm. In deze verklaring moet je aangeven welke maatregelen uit de Annex A van ISO 27001 wel/niet van toepassing zijn op de organisatie. Ten slotte moet er een managementsysteem voor informatiebeveiliging worden geïmplementeerd. Na dit traject moet een onafhankelijke certificatie instelling toetsen of de organisatie daadwerkelijk aan de gestelde eisen voldoet. Certificaat behaald? Het certificaat is geldig voor drie jaar. Ieder jaar moet een audit uitgevoerd worden om te controleren of nog steeds aan de eisen wordt voldaan. Na drie jaar volgt weer een controle door een onafhankelijke partij.
Voordelen ISO 27001
Met een certificaat voor ISO 27001 toon je aan dat jouw organisatie voldoet aan de eisen voor informatiebeveiliging. De voordelen van een ISO 27001 certificaat zijn:
- Concurrentie voordeel bij aanbestedingen. In aanbestedingen wordt steeds vaker gevraagd hoe een organisatie omgaat met vertrouwelijke informatie. Met een ISO 27001 certificaat kan je aantonen dat je op een integere manier omgaat met vertrouwelijke informatie en risico’s rondom informatiebeveiliging.
- Informatiebeveiligingsrisico’s verkleinen en incidenten voorkomen. Dit verkleint weer de kans op grote imago schade door bijvoorbeeld een datalek.
- Aantoonbaar voldoen aan wet- en regelgeving, zoals AVG.