Nu steeds meer organisaties te maken krijgen met cyberaanvallen en datalekken, worden informatiebeveiligingstandaarden nog populairder. Meer en meer organisaties kiezen er voor om risico’s te beperken met een zogeheten informatiebeveiligingsbeheersysteem, ofwel een informatiebeveiligingstandaard.
Tegenwoordig zijn er verschillende informatiebeveiligingstandaarden. Hoewel de invulling van deze standaarden met elkaar kan verschillen, hebben ze allemaal hetzelfde doel; het verbeteren van de informatiebeveiliging van een organisatie. Aangezien de ISO27001 wereldwijd het meest gebruikte framework voor informatiebeveiliging is, wordt er in deze blog voornamelijk gekeken naar deze informatiebeveiligingstandaard. Om aan te geven hoe populair deze certificering is; in de afgelopen 10 jaar is het aantal ISO27001 certificeringen met 450% gestegen.
ISO27001
De ISO27001, voluit de ISO.IEC 27001:2013, is een internationale standaard om te voorzien in de eisen voor het vaststellen, implementeren, bijhouden en het continu verbeteren van een managementsysteem voor informatiebeveiliging. Dit managementsysteem, ook wel Information Security Management System (ISMS) genoemd, geeft kaders voor een organisatie om gepast met informatiebeveiligingsmaatregelen om te gaan. De ISO27001 is hierbij toepasbaar op alle soorten organisaties, van grote softwareontwikkelaars tot kleinere consultancybureaus. De basis filosofie van de ISO27001 is gebaseerd op het beheersen van informatiebeveiligingsrisico’s, achterhalen waar de risico’s liggen en ze vervolgens op een systematische manier behandelen. Het idee hierachter is dat alleen de relevante maatregelen moeten worden genomen op basis van de gevonden risico’s. Het is dus een risk based benadering. Hierbij zegt de ISO27001 niks over de concrete invulling van de ISMS. Het geeft dus niet aan welke maatregelen je zou moet nemen. De ISO27001 zegt alleen in hoofdlijnen waar een organisatie aan moet voldoen.
ISO27001/27002
Om de gevonden risico’s te reduceren die naar voren zijn gekomen uit de analyse, staat er in de ISO27001 een bijlage met 114 beheersmaatregelen. Deze maatregelen, die onderverdeelt zijn in 14 hoofdstukken, kunnen organisaties hanteren om de gevonden risico’s te minimaliseren. Voor verdere invulling van deze 114 maatregelen die in de bijlage staan kunnen organisaties gebruik maken van de ISO27002, waar al deze beheersmaatregelen gedetailleerd zijn uitgewerkt. Zonder de details die verstrekt worden in de ISO27002 is het voor organisaties moeilijk om de maatregelen uit de ISO27001 te implementeren. Uit de praktijk blijkt dat de meeste organisaties die de ISO27001 gebruiken dan ook de ISO27002 hanteren als framework. Voor de ISO27002 kun je je niet laten certificeren. Je kunt de ISO27002 wel gebruiken om je te helpen bij de ISO27001 certificering.
Certificering
ISO27001 gecertificeerd ben je niet zomaar. Om aan de vereisten van deze standaard te voldoen zijn er veel processen en procedures die in gang moeten worden gezet, enkele van deze processen zijn:
· De scope moet duidelijk worden vastgesteld;
· Een risicoanalyse moet worden uitgevoerd en hierop moeten maatregelen worden genomen om deze risico’s te beperken;
· Er moeten informatiebeveiligingsdoelstellingen worden vastgesteld;
· Prestaties moeten worden gemeten en gemonitord;
· Audits moeten worden gepland en uitgevoerd.
Een ISO 27001 certificeringstraject is geen eenmalige taak. Er komt namelijk nooit een einde aan een ISO-certificering. Dat komt omdat iedere ISO-norm het principe van continue verbetering hanteert. De omgeving van een organisatie is immers altijd in beweging, waardoor je als organisatie genoodzaakt bent om continu in te spelen op steeds weer veranderende interne en externe risico’s.
Voordelen certificering:
· ISO27001 laat zien dat je voldoet aan strenge eisen met betrekking tot informatiebeveiliging;
· Met de certificering van ISO27001 kunnen informatiebeveiligingsrisico’s worden gereduceerd en kunnen toekomstige incidenten worden voorkomen;
· De ISO27001 certificering geeft een betrouwbaar imago en laat zien dat een organisatie vertrouwelijk met informatie omgaat;
· Met ISO27001 voldoet een organisatie veelal aan de belangrijkste wet- en regelgeving omtrent informatiebeveiliging.
Baseline Informatiebeveiliging Overheid
Nu we gekeken hebben naar de ISO27001/27002, gaan we een kort uitstapje maken naar de Baseline Informatiebeveiliging Overheid (BIO). De BIO is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (rijk, gemeenten, provincies en waterschappen). Begin 2019 zijn alle basisniveaus omtrent informatiebeveiliging gelijk getrokken voor alle overheidslagen. Hierdoor ontstaat er één gezamenlijke taal voor alle overheidsinstanties. Deze baseline is geheel gestructureerd volgens de ISO27001/27002. Deze norm werkt via de ‘pas toe of leg uit’ principe wat betekent dat rijksinstanties deze normen moeten toepassen tenzij er grondige redenen zijn dat niet te doen. De BIO vervangt de ISO27001/27002 niet maar vult deze verder aan toegepast op de overheidsinstanties. Waar de ISO27001/27002 vooral gericht is op organisaties, vult de BIO deze norm aan zodat het meer toepasbaar is voor de overheid. Hoewel organisaties niet verplicht aan de ISO27001 te hoeven voldoen, moeten alle overheidsinstanties wel aan de BIO voldoen. Het grootste verschil tussen de ISO27001 en BIO is dat het bij de ISO om een ISMS gaat, waar het bij de BIO om een baseline gaat. Een ISMS geeft randvoorwaarden waar een managementsysteem voor informatiebeveiliging aan moet voldoen. Een baseline is daarentegen een document met een gedefinieerd basisniveau voor informatiebeveiliging.
NEN7510
Waar de BIO is toegespitst op overheidsinstanties, is de NEN7510 toegespitst op zorginstellingen. De NEN 7510 is een Nederlandse norm, die beschrijft welke maatregelen er genomen moeten worden om adequaat om te gaan met patiëntgegevens. De NEN7510 is verplicht voor alle organisaties in de zorg. Als we de NEN 7510 naast de ISO27001 leggen dan zien we dat de NEN 7510 een uitbreiding vormt op de eisen en beheersmaatregelen uit de ISO27001/27002. Deze extra eisen en maatregelen zijn noodzakelijk om deze bijzondere persoonsgegevens (medische gegevens) goed te kunnen beschermen.
Welke norm moet je hanteren
De juiste norm kun je bepalen aan het type organisatie. Wanneer je een zorgorganisatie bent, dan kies je automatisch voor de NEN 7510. Wil je als zorgorganisatie ook internationaal aantonen dat je zorgvuldig omgaat met informatie, dan kun je ervoor kiezen om naast de NEN 7510 ook nog voor een ISO27001 certificering te gaan. Als je werkzaam bent binnen het rijk, dan heb je geen andere keuze dan de BIO te hanteren. Organisaties die niet onder het rijk en zorg vallen hebben een vrije keuze. Ze kunnen zich laten certificeren (bijvoorbeeld ISO27001), of het besluiten dat niet te doen. Naast de ISO27001 zijn er nog andere certificeringen op het gebied van informatiebeveiliging te behalen, zoals COBIT en NIST. Het is voor een organisatie goed om te kijken of het zich wilt certificeren en tegen welke norm het zich wilt certificeren. Sommige normen zullen beter bij de een organisatie toepasselijk zijn dan de ander. Met de ISO27001 weet je ieder geval dat je goed zit op het gebed van informatiebeveiliging.