Bij Paragin zijn we constant bezig met informatieveiligheid. Dat houdt in dat we goed zorgen voor alle gegevens die we verwerken en onze eigen producten moeten zo goed mogelijk beveiligd zijn. Paragin volgt hiervoor de eisen van de ISO 27001 norm, waarvoor wij gecertificeerd zijn. We lichten graag toe wat de ISO 27001-norm inhoudt en waarom het belangrijk is.
Waar staat ISO voor?
ISO is de internationale organisatie die zich bezig houdt met standaardisatie. Het is de grootste ontwikkelaar voor internationale normen voor allerlei onderwerpen. Inmiddels bestaan er zo’n 20000, waaronder normen voor onder andere productieprocessen, voedselverwerking, landbouw en zorgverlening. Al deze standaardisatie vergemakkelijkt (handels)connecties en samenwerking door gemeenschappelijke normen tussen landen voor te dragen. Ook voor technologie en informatie zijn standaarden ontwikkeld. ISO 27001 met betrekking tot informatiebeveiliging is er daar een van.
In Nederland is de NEN het nationale orgaan voor standaardisering. Voor informatiebeveiliging in de zorg heeft de NEN bijvoorbeeld norm 7510, gebaseerd op ISO 27001. Daarin staan nog extra onderdelen die alleen betrekking hebben op medische (persoons)gegevens.
Wat beschrijft ISO 27001?
De ISO 27001 norm beschrijft hoe informatie procesmatig beveiligd kan worden. Ook stelt de norm eisen voor het vaststellen, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd managementsysteem. In het geval van deze norm heet dat systeem ISMS (Information Security Management System). Een onderdeel hiervan is bijvoorbeeld het regelmatig uitvoeren van een risicoanalyse waarmee risico’s rondom informatiebeveiliging worden geïnventariseerd en procesmatig worden weggenomen.
ISO 27001 is onderverdeeld in hoofdstukken die elk een onderdeel van informatiebeveiliging behandelen. Er zijn in totaal tien hoofdstukken, waarvan de laatste zeven eisen bevatten om in aanmerking te komen voor een certificering. Hieronder staat van die hoofdstukken een korte toelichting:
- Organisatiecontext: dit hoofdstuk bevat de verschillende eisen die betrekking hebben op de organisatie, de context en de (externe) belanghebbenden. Daarbij let je op de verwachtingen en behoeften die anderen van jouw organisatie kunnen hebben.
- Leiderschap: de directie van een organisatie moet altijd betrokken en scherp zijn, zodat de eisen van ISO 27001 worden nageleefd. Er moet gezorgd worden voor continue communicatie over de veiligheid en dat altijd verbetering kan plaatsvinden. Als je als medewerker vergeet om je computer te vergrendelen, kun je er bij Paragin op rekenen dat je daar op aangesproken wordt!
- Planning: een organisatie moet maatregelen hebben voor risicoverkleining. Hierbij hoort onder andere het verdelen van taken, analyseren van risico’s en evaluatie van de procedures.
- Ondersteunende processen: in dit onderdeel wordt beschreven welke middelen beschikbaar moeten zijn voor ondersteuning van het ISMS. Welke competenties zijn er nodig? Bij Paragin krijgt elke nieuwe medewerker bijvoorbeeld een training om kennis te maken met de ISO 27001 en alle eisen die daar onder vallen te kunnen hanteren.
- Uitvoering: natuurlijk moeten alle bovenstaande onderdelen uitgevoerd worden. Bij de uitvoering horen ook eisen die aangehouden moeten worden. Hieronder valt ook risicobeoordeling die de organisatie zelf uitvoert. De resultaten moeten daarvan bewaard blijven.
- Prestaties: de eisen in dit hoofdstuk gaan over het evalueren van de prestaties. Hoe goed gaat het op het gebied van informatieveiligheid? Dit gebeurt door analyse en evaluatie. Interne audits en directiebeoordeling zijn hier onderdelen van. Hieruit volgen aanbevelingen en mogelijke verbeterpunten.
- Verbetering: wat doe je als er een punt is waarop verbeterd kan worden? Ook hier heeft de ISO 27001 eisen voor. Hoe ga je om met afwijkingen, welke corrigerende maatregelen moet je treffen en hoe blijf je bezig met continue verbetering? Hieronder valt ook het aanpassen van het ISMS zelf.
Waarom is het belangrijk?
Veel organisaties en mensen vertrouwen op Paragin voor een veilige opslag en verwerking van hun gegevens en data. Veiligheid, betrouwbaarheid en beveiliging zijn daarom belangrijke begrippen in onze organisatie, waar wij altijd bewust mee omgaan. Zo zorgen wij dat we een betrouwbare partner zijn voor onze klanten, partners en gebruikers. De ISO 27001 helpt ons hierbij, omdat we zo een sterk beleid hebben rondondom veiligheid van data.
Naast het feit dat wij het als organisatie belangrijk vinden, is de intrede van de AVG een sterke wettelijke basis voor het beveiligen van gegevens en informatie. Implementatie van ISO 27001 is niet compleet dekkend voor de eisen die de AVG heeft, maar het is er wel een uitstekend basis voor. De opslag van data, risicoanalyses uitvoeren en bescherming van persoonsgegevens zijn allemaal al opgenomen in ISO 27001.
Door het gebruik van een gestandaardiseerde norm kan hier op getoetst worden door externe, onafhankelijk organisaties zoals onze auditor Lloyd’s Register. Hiervoor kun je certificaat krijgen, zodat aangetoond kan worden dat de informatieveiligheid goed wordt gewaarborgd.
Op onze website kun je dit certificaat terugvinden. Op die pagina staat ook een verdere toelichting over ISO 27001 en kun je meer lezen over onze beveiligingsmaatregelen.
Bron: https://www.nen.nl/nen-en-iso-iec-27001-2017-a11-2020-nl-265545
