Informatie en kennis zijn doorgaans het belangrijkste bezit van een organisatie. Veel organisaties hebben echter hun informatiebeveiliging nog niet (goed) op orde. Dit geldt voor zowel publieke organisaties als voor ZZP’ers. We hebben allemaal met informatiebeveiliging te maken.

Certificeren hoeft niet het doel op zich te zijn. Bewustwording is nog veel belangrijker. In de ISO 27001 norm staat omschreven hoe een organisatie haar informatiebeveiliging procesmatig kan inrichten.

Definitie informatiebeveiliging

Informatiebeveiliging bestaat uit drie elementen, namelijk: het behouden van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Daarnaast kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid een rol spelen.

De drie elementen van informatiebeveiliging toegelicht:

  • Beschikbaarheid: dat informatie en ook informatiesystemen toegankelijk zijn op het moment dat het nodig is.
  • Integriteit: Nauwkeurigheid, juistheid en volledigheid van de informatie.
  • Vertrouwelijkheid: Informatie wordt niet beschikbaar gesteld of ontsloten aan onbevoegde personen, entiteiten of processen.

Informatiebeveiliging is zoals je kunt lezen erg breed. Het gaat niet alleen om mogelijke gevaren van buitenaf (bijvoorbeeld een DDoS-aanval), maar het is ook gericht op de interne organisatie. Daarnaast gaat het ook niet enkel om het verliezen van informatie (het gevreesde datalek); het gaat ook om de garantie dat de informatie juist is, volledig en uitsluitend voor de juiste personen toegankelijk is.

Informatiebeveiliging

De structuur van de ISO 27001 norm

De ISO 27001 norm heeft dezelfde structuur als andere ISO normen, namelijk de zogenaamde High Level Structure (HLS). Dit is een overkoepelende structuur waardoor verschillende normen gemakkelijk in hetzelfde managementsysteem verwerkt kunnen worden. Binnen de HLS-structuur wordt veel aandacht geschonken aan de contextanalyse. Wat zijn de verwachtingen van je klanten en van je stakeholders en hoe ga je hiermee om? Daarnaast is de risicoanalyse van belang. Wat zijn de kansen en bedreigingen voor je organisatie en hoe speel je hierop in?

Implementatie van het managementsysteem

Een informatiebeveiligingssysteem conform ISO 27001 noemen we het Information Security Management System (ISMS). Het opzetten hiervan verloopt conform een 7-stappenplan.

  1. Het bepalen van de scope
  2. Opstellen van het beleid
  3. Inventarisatie van informatie en middelen
  4. Uitvoeren van de risicoanalyse en selecteren van maatregelen
  5. Implementeren en monitoren van maatregelen
  6. Uitvoeren van interne audits
  7. Directiebeoordeling en correctieve acties

Wanneer je als organisatie met informatiebeveiliging aan de slag gaat, dan is het belangrijk dat het informatiebeveiligingsbeleid en de maatregelen die daaruit voortvloeien passen bij het bedrijf. Een transportbedrijf zal een ander beleid voeren dan een ziekenhuis.

Informatiebeveiliging volgens ISO 27001

Informatiebeveiliging is niet iets wat ‘je even doet’. De beslissing om en vooral hoe de organisatie informatiebeveiliging heeft ingericht dient besloten te worden door het management. Beleid wordt gemaakt op strategisch niveau. De ISO 27001 norm geeft de eisen voor het vaststellen van het informatiebeveiligingsbeleid. Dit beleid moet passend zijn voor het doel van de organisatie. Daarnaast moet het een verbintenis voor continue verbetering van het managementsysteem voor informatiebeveiliging zijn.

Concluderend, de directie dient een informatiebeveiligingbeleid vast te stellen dat past bij het bedrijf. Daarin moeten doelstellingen omschreven zijn en er moet in staan dat het bedrijf wil voldoen aan de eisen voor informatiebeveiliging waarbij het zich continue wil verbeteren. Dit beleid moet ook beschikbaar zijn als gedocumenteerde informatie en worden gecommuniceerd aan de mensen binnen de organisatie.

informatiebeveiliging

Informatiebeveiliging vacatures bij de overheid

Veel publieke organisaties zijn zich bewust van hun rol in de informatiebeveiliging. Er zijn dan ook doorlopend vacatures in dit vakgebied. Neem een kijkje bij onze vacatures voor een overzicht hiervan. Het is ook mogelijk om alvast een open sollicitatie te sturen. Laat jouw CV en gegevens achter via het formulier. Wij nemen dan contact met je op als er een geschikte vacature voor jou gevonden is.

Ben jij als zzp’er nog op zoek naar een uitdagende interim opdracht binnen de overheid of publieke sector?

Kijk dan op onze vacature pagina of meld je onderstaand aan voor onze vacature alert!