In het tijdperk van de digitalisering is het vooral waardevolle informatie die moet worden bewaard of beschermd. Voor bedrijven betekent dit dat naast gegevensbescherming ook informatiebeveiliging een absolute must is. Het goede nieuws is: bedrijven die over een gecertificeerd kwaliteitsmanagementsysteem volgens ISO 9001 beschikken, hebben al een goede basis gelegd voor de stapsgewijze invoering van een allesomvattende informatiebeveiliging.
INHOUD
- Stap voor stap naar meer informatiebeveiliging
- Informatiebeveiliging en kwaliteitsmanagement
- Informatiebeveiliging - risico's en kansen
- Identificeren en aanpakken van risico's
- Bijlage A van ISO 27001 biedt een leidraad
- ISMS en QMS - wat is de beste aanpak
- Wat zijn de voordelen?
- DQS: Eenvoudig gebruik van kwaliteit
Het onderwerp informatiebeveiliging is niet nieuw. De gevaren die het uitgebreide informatielandschap in organisaties bedreigen, zijn al lang bekend. Volgens de BSI "Cyber Security Survey" van april 2019 meldde 43% van de grote bedrijven in 2018 getroffen te zijn door cyberbeveiligingsincidenten.
Voor de KMO was dat 26%. En volgens het "Situation Report on IT Security in Germany 2021" van het Duitse federale bureau voor informatiebeveiliging (BSI) zijn de gevallen van cybercriminaliteit opnieuw aanzienlijk toegenomen. In de rapportageperiode van 1 juni 2020 tot 31 mei 2021 was er niet alleen een toename van ruim 22 procent aan nieuwe malware-varianten (ongeveer 144 miljoen), maar bleef ook de kwaliteit van de aanvallen aanzienlijk toenemen. Daarbij maakten veel daders misbruik van de Corona-nood van veel bedrijven en mensen.
De beveiliging van vertrouwelijke bedrijfsinformatie wordt echter nog steeds verwaarloosd. Vaak ontbreekt het aan voorzichtigheid en voorbedachtheid bij het verwerken en opslaan van informatie. Het besef van de gevolgen van gegevensdiefstal en dergelijke is ook nog lang niet overal voldoende ontwikkeld. Op sommige plaatsen zijn bedrijven ook huiverig om de tijd en moeite te investeren die nodig zijn om hun gevoelige informatie doeltreffend te beschermen.
Stap voor stap naar meer informatiebeveiliging
Maar de inspanning die nodig is voor gegevensbeveiliging hoeft niet zo groot te zijn. Het goede nieuws is dat veel bedrijven niet in één klap een alomvattend managementsysteem voor informatiebeveiliging hoeven te implementeren. Voor kritieke infrastructuren (CRITIS) is dit daarentegen wel vereist volgens de Duitse IT Security Act.
Een stapsgewijze aanpak is ook denkbaar. Dit betekent dat de eerste stap, althans in bedrijven die over een kwaliteitsmanagementsysteem (QM) volgens ISO 9001 beschikken, een actualisering van de vereiste risicogebaseerde aanpak kan zijn - maar nu al met het oog op de overeenkomstige eisen van de belangrijke informatiebeveiligingsnorm ISO 27001.
Risicobeoordeling voor kwaliteitsbeheer kan gemakkelijk worden uitgebreid tot informatiebeveiliging.
ISO 9001 en ISO 27001 in het tijdperk van digitalisering
Nu beschikbaar als gratis whitepaper!
Hoeveel papier voor kwaliteit?Gedocumenteerde informatie effectief beschermenISO 27001: basis voor veilige digitalisering
Deze whitepaper is gebaseerd op de ISO 27001:2013 versie.
Informatiebeveiliging en kwaliteitsmanagement
ISO 27001 vs. ISO 9001: waar liggen de verbanden? In de eerste plaats moet worden opgemerkt dat de norm voor kwaliteitsmanagement ISO 9001 inderdaad een risicogebaseerde aanpak over de hele linie vereist. De implementatie van deze managementsysteemeis is echter grotendeels aan uw organisatie. Kwaliteitsmanagement vereist bijvoorbeeld geen afzonderlijk proces voor risicobeoordeling, maar dit is ontegenzeggelijk te weinig met betrekking tot informatiebeveiliging. Niettemin:
Om dit te doen, is het nuttig te kijken naar de vereisten voor het identificeren en omgaan met beveiligingsrisico's van ISO 27001 voor een informatiebeveiligingsbeheersysteem (ISMS). De meeste aspecten kunnen door gebruikers van een kwaliteitsmanagementsysteem met een redelijke inspanning worden geïmplementeerd - als een eerste stap op weg naar holistische informatiebeveiliging, wel te verstaan.
Informatiebeveiliging - risico's en kansen
Beide internationale normen, ISO 27001 voor informatiebeveiliging en ISO 9001 voor kwaliteitsbeheer, behandelen de relevante onderwerpen in hoofdstuk 6.1 "Maatregelen voor het omgaan met risico's en kansen". In essentie gaat het erom drie essentiële aspecten in het managementsysteem te waarborgen:
- Het bereiken van de beoogde resultaten van uw organisatie
- Het voorkomen of verminderen van ongewenste effecten
- Het bereiken van voortdurende verbetering door naleving van bepaalde normen
Met betrekking tot informatiebeveiliging zijn dit in de eerste plaats de drie essentiële beschermingsdoelstellingen:
- Verlies van vertrouwelijkheid
- Integriteit van informatie
- Beschikbaarheid van informatie
De ISMS-norm ISO 27001 specificeert de volgende eisen (paragraaf 6.1.1):
- Bepalen van risico's en kansen
- Plannen van maatregelen om de geïdentificeerde risico's en kansen aan te pakken
- Plannen hoe de maatregelen zullen worden geïntegreerd in de bedrijfsprocessen en uitgevoerd
Identificeren en aanpakken van risico's
Het volgende subhoofdstuk (6.1.2) van ISO 27001 vereist de vaststelling en toepassing van een risicobeoordelingsproces voor informatiebeveiliging. In het kader van dit proces moeten criteria voor risico's op het gebied van informatiebeveiliging worden vastgesteld en bijgehouden. Dit omvat met name de criteria voor risicoaanvaarding en de uitvoering van risicobeoordelingen op het gebied van informatiebeveiliging.
Verder moet het proces ervoor zorgen dat "herhaalde risicobeoordelingen van informatiebeveiliging consistente, valide en vergelijkbare resultaten opleveren", zoals de ISMS-norm stelt. De volgende sub-items kunnen van belang zijn met een eerste stap in gedachten:
- Identificeer de risico's voor de informatiebeveiliging
- Analyseren van de risico's voor de informatiebeveiliging
- Evalueren van de risico's voor de informatiebeveiliging
De vereisten in 6.1.3 roepen op tot het vaststellen en toepassen van een proces om de informatiebeveiligingsrisico's aan te pakken, teneinde het volgende te bereiken:
- geschikte opties selecteren om het beveiligingsrisico aan te pakken, in het licht van de resultaten van de risicobeoordeling
- alle maatregelen vaststellen die nodig zijn om de geselecteerde opties voor de aanpak van het veiligheidsrisico uit te voeren
- de vastgestelde maatregelen vergelijken met de in bijlage A van ISO 27001 gespecificeerde beheersingsmaatregelen (gerichte acties)
- Opstellen van een verklaring van toepasselijkheid met betrekking tot de redenen voor het (niet) opnemen van de beheersingsmaatregelen uit bijlage A
- Opstellen van een plan voor de aanpak van veiligheidsrisico's
- Verkrijgen van goedkeuring en acceptatie van dit plan van de risico-eigenaren
Certificering volgens ISO 27001
Welke inspanning moet u verwachten om uw managementsysteem voor informatiebeveiliging te laten certificeren volgens ISO 27001? Ontdek het.
Leestip:
Lees ook de blogpost over Annex A van ISO 27001: verantwoordelijkheden en rollen van medewerkers en doe waardevolle vakkennis op met onze gratis Annex A Audit Guide!
Alle informatie gebaseerd op ISO 27001:2013
Bijlage A van ISO 27001 biedt een leidraad
Bijlage A van de bekende managementsysteemnorm ISO/IEC 27001 heeft een expliciet normatief karakter. Het kan worden opgevat als een soort checklist met doelen (controls) en maatregelen. U kunt deze leidraad gebruiken om er zeker van te zijn dat geen essentiële punten voor het omgaan met beveiligingsrisico's over het hoofd zijn gezien. De gids pretendeert echter niet uitputtend te zijn.
Informatiebeveiliging en kwaliteitsmanagement - wat is de beste aanpak?
ISO 27001 vereist dus twee afzonderlijke processen voor de beoordeling en aanpak van risico's voor de informatiebeveiliging. Voor de eerste stap zouden deze echter kunnen worden gecombineerd tot één proces, waarbij de risicobeoordeling van het kwaliteitsmanagement volgens de bovengenoemde eisen specifiek wordt uitgebreid met het aspect informatiebeveiliging. De twee normen bieden aldus een goede basis voor de tenuitvoerlegging van beschermende maatregelen voor gegevensbescherming en IT-beveiliging.
Bekijk het nu: wat verandert er met de nieuwe ISO/IEC 27001:2022
Op 25 oktober 2022 is de nieuwe versie van ISO/IEC 27001 gepubliceerd, aangepast aan hedendaagse informatierisico's. Wat betekent dit voor gebruikers van de norm? In onze gratis webinaropname komt u meer te weten over
- Nieuwe kenmerken van ISO/IEC 27001:2022 - Framework en Annex A
- ISO/IEC 27002:2022-02 - structuur, inhoud, attributen en hashtags
- Tijdlijn voor de overgang en de volgende stappen
ISO 27001 vs. ISO 9001: Hoe diepgaand het bovengenoemde proces uiteindelijk op elke eis ingaat, hangt rechtstreeks af van de complexiteit van het informatielandschap van uw organisatie en de gegevens die bescherming behoeven. Hoe dan ook, het is raadzaam om de effectiviteit ervan te laten verifiëren in een externe audit. Dit is bijvoorbeeld aan te raden in het kader van een certificeringsaudit van uw kwaliteitsmanagementsysteem volgens ISO 9001, die hoe dan ook gepland is.
Informatiebeveiliging en kwaliteitsmanagement - wat zijn de voordelen?
- Een proces dat een fundamentele blik werpt op de risico's van informatiebeveiliging kan dienen als een eerste, belangrijke stap op weg naar een holistisch managementsysteem voor informatiebeveiliging conform ISO/IEC 27001.
- Door een dergelijk proces in te voeren, versterkt het topmanagement het bewustzijn van informatie- en gegevensbeveiliging (gegevensbescherming) op alle niveaus.
- Met de gerichte beschouwing van risico's voor de informatiebeveiliging heeft een bedrijf de mogelijkheid om de noodzaak tot actie aan het licht te brengen en passende maatregelen te nemen (georiënteerd op ISO 27001, aanhangsel A).
- Door de risicobeoordeling uit te breiden tot informatiebeveiliging, bijvoorbeeld als onderdeel van het kwaliteitsmanagement, wordt de algehele risicogebaseerde aanpak van een bedrijf versterkt.
- Zowel de financiële als de personele middelen die nodig zijn voor de uitvoering en het testen van de doeltreffendheid zijn beheersbaar.
DQS: eenvoudig gebruik maken van kwaliteit
In de evenwichtsoefening tussen dynamiek en stabiliteit worden gecertificeerde managementsystemen steeds belangrijker - een ontwikkeling die DQS als positief ervaart. Want succesvolle bedrijven en organisaties gebruiken de bevindingen van onze audits om hun resultaten voortdurend te verbeteren. En zij gebruiken onze wereldwijd erkende certificaten als objectief bewijs van hun kwaliteitscapaciteiten. Dit schept vertrouwen - zowel intern als extern naar uw organisatie.
DQS gaf het eerste certificaat voor kwaliteitsmanagement in Duitsland uit in 1986. De eerste audit in augustus 1986 was gebaseerd op een concept van de norm. In 1991 ontving DQS zijn eerste accreditatie voor ISO 9001/2/3 door de toenmalige TGA Trägergemeinschaft für Akkreditierung GmbH (tegenwoordig: DAkkS). Accreditatie voor informatiebeveiligingscertificering volgens de Britse norm BS 7799-2 volgde in 2000.
Meer dan drie decennia knowhow
Onze teksten en brochures worden uitsluitend geschreven door onze normenexperts of auditors met vele jaren ervaring. Indien u vragen heeft aan de auteur over de inhoud of onze diensten, aarzel dan niet om ons te contacteren.
DQS-nieuwsbrief
André Saeckel
Productmanager bij DQS voor informatiebeveiligingsmanagement. Als normenexpert op het gebied van informatiebeveiliging en IT-beveiligingscatalogus (kritieke infrastructuren) is André Säckel onder andere verantwoordelijk voor de volgende normen en branchespecifieke normen: ISO 27001, ISIS12, ISO 20000-1, KRITIS en TISAX (informatiebeveiliging in de automobielindustrie). Hij is ook lid van de werkgroep ISO/IEC JTC 1/SC 27/WG 1 als nationaal afgevaardigde van het Duitse normalisatie-instituut DIN.