Wat speelt er bij EDM.

ed-edm-2017-5.jpg

In drie stappen naar informatiebeveiliging volgens de ISO 27001 norm

Het stemt ons trots dat we de ISO 27001-certificering behaalden, want dat betekent dat we voldoen aan de geldende norm omtrent de beveiliging van onze bedrijfsgegevens en de gegevens die onze klanten aan ons toevertrouwen. Bedrijven worden vanuit de AVG vanaf mei 2018 wettelijk verplicht om (gevoelige) gegevens goed te beschermen. Reden te meer om aan de slag te gaan met onderstaande stappen.

Stap 1: Benoem de scope van het ISMS en communiceer deze duidelijk binnen de organisatie

De scope van het ISMS (information security management system) kadert af welke informatie of bedrijfsonderdelen binnen het ISMS vallen. Denk hier goed over na; welke onderdelen en type informatie wilt u onderdeel laten zijn van het ISMS. Voor welke onderdelen binnen het bedrijf is informatiebeveiliging nu belangrijk/cruciaal. Door hier duidelijkheid over te verschaffen, hebben medewerkers inzicht wanneer ze dienen te handelen volgens de gekozen richtlijnen. Het is van groot belang dat iedereen hiervan op de hoogte is, zodat het mogelijk is om elkaar aan te spreken als er niet volgens het ISMS gehandeld wordt. Stel een communicatieplan op met doelstellingen om de organisatie mee te nemen in de inhoud en onderdelen van het ISMS.

Stap 2: Stel beleid op waarin de procedures vastgelegd worden

Het opstellen van een informatiebeveiligingsbeleid met hierin alle procedures beschreven die betrekking hebben op de scope is een must (en verplichting vanuit de norm) voor implementatie van het ISMS. Een beleid zorgt voor duidelijkheid en handvatten hoe er in de organisatie met (gevoelige) gegevens omgegaan wordt. Beleid verspreidt zich niet vanzelf en het verankeren in procedures is hiervoor een bruikbare tool. Procedures kunnen vervolgens uitgroeien tot gewoontes, zodat beleid uiteindelijk praktijk wordt. Dat is belangrijk, want de kernwaarde van informatiebeveiliging is dat het een continu proces is: gegevens worden niet eenmalig beveiligd, daar moet steeds op worden gestuurd. Het informatiebeveiligingsbeleid moet voortkomen uit de opgestelde risico analyse en inventarisatie van alle stakeholders.

Stap 3: Verdiep u in de scope, zodat u binnen uw functie weet waar u rekening mee moet houden

Als u als professional aan de slag gaat met het opstellen of implementeren van een ISMS, dan zijn er op functioneel niveau een aantal zaken relevant. U wilt allereerst weten of de systemen waar u mee werkt wel of niet binnen de scope vallen. Ook wilt u weten of (alle of sommige) werkzaamheden die u uitvoert onder de scope vallen of juist niet. Het kan zo zijn dat bepaalde informatie, systemen of afdelingen binnen de organisatie wel of niet binnen de scope vallen. Dat heeft invloed op de procedures waar u, als medewerker of manager, in de dagelijkse praktijk mee te maken krijgt. Verdiep u dan ook in de scope, zodat u weet of en wanneer het ISMS voor u en uw (directe) collega's van toepassing is.

Fundament

Met behulp van de eerste twee blogs kunt u een goed fundament leggen voor een betrouwbare informatiebeveiliging. In het laatste blog uit onze driedelige serie leggen we daarom uit hoe u uw beveiliging in topconditie houdt.

Nieuwsoverzicht
Verstand van data.
Gevoel voor marketing.