Informatiebeveiliging

Hoe je certificeringen kunt gebruiken om je organisatie nóg beter te maken

Nut en noodzaak van norm implementatie

Welke risico’s schuilen er in de bestaande processen van jouw organisatie? Is de kwaliteit ook geborgd bij thuiswerken? Werken alle medewerkers volgens de opgestelde informatiebeveiligingseisen? Heeft een medewerker conform beveiligingseisen (zorg)data gedeeld? Zijn de toegangsrechten wel goed ingericht in de systemen? Wie controleert dat? Wie heeft daar overzicht op nu we voornamelijk thuis werken? Bovenstaande vragen zijn voorbeelden van de ontelbare vraagstukken die een aanleiding kunnen vormen om normeringen te implementeren.

Maar wat houden deze normen eigenlijk in? Waarom is het interessant om ze te implementeren binnen uw organisatie? Wat brengt het de organisatie? En waarom zijn zoveel andere organisaties daar juist nu mee bezig? In de onderstaande alinea’s komen al deze vraagstukken aan bod, maar eerst zullen we gaan we kijken naar drie specifieke normeringen.

Informatiebeveiliging verbeteren met behulp van de ISO 27001 norm
De wereldwijd erkende norm voor Management Systemen voor informatiebeveiliging. Deze internationale norm past de hoofdstructuur HLS (high level structure) toe voor het beheren van risico’s op het gebied van kwaliteit binnen de processen van een organisatie. De HLS bestaat uit een hoofdstukindeling en een basistekst voor een managementsysteem die geldt voor alle ISO-managementsystemen. ISO doet dit om het voor organisaties zo makkelijker mogelijk te maken om managementsystemen voor bijvoorbeeld informatiebeveiliging en kwaliteit in de eigen bedrijfsprocessen te integreren.

De norm is opgesteld om te voorzien in eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Het toepassen van een risicobeheerproces beschermt de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Daarnaast geeft het belanghebbenden het vertrouwen dat risico’s adequaat worden beheerd.

Het is belangrijk dat het managementsysteem voor informatiebeveiliging echt deel uitmaakt van de organisatie. Dit is mogelijk wanneer we het integreren met de procedures van de organisatie en met de algehele managementstructuur. Informatiebeveiliging moet aan de orde komen bij zowel het ontwerpen van processen en informatiesystemen als bij de maatregelen voor het beheren van risico’s binnen deze genoemde domeinen.

Doelstelling: Een veilige digitale omgeving inrichten binnen de organisatie. Het management van informatiebeveiliging zo inrichten dat de beschikbaarheid, juistheid en vertrouwelijkheid van informatie geanalyseerd kan worden en beheersmaatregelen inrichten waarmee informatiebeveiligingssystemen gemanaged en continu verbeterd kunnen worden.

Informatiebeveiliging voor de zorg: de NEN 7510 norm
Dé Nederlandse norm voor informatiebeveiliging binnen de zorg. Ontwikkeld als beheersmaatregel om medische en patiëntgegevens op een veilige manier uit te wisselen en te beheren. Dit is een aanvulling op de ISO 27001 voor zorgorganisaties en andere organisaties die ontwikkelen voor- of leveren aan zorg(gerelateerde)instellingen. 

De extra in te richten beheersmaatregelen die aansluiten op de beheersmaatregelen in de ISO 27001, zijn de beheersmaatregelen waarvan is bepaald dat ze geschikt zijn om de Beschikbaarheid, Integriteit en Vertrouwelijkheid, in vakjargon de zogenaamde BIV, van persoonlijke gezondheidsinformatie in de zorg te beschermen en ervoor te zorgen dat de toegang tot dergelijke informatie gecontroleerd en verantwoord kan worden.

Doelstelling: Deze beheersmaatregelen helpen fouten in de medische praktijk te voorkomen. Bovendien dragen ze bij aan het handhaven van de continuïteit van medische dienstverlening.

Kwaliteitsmanagement met de ISO 9001 norm
De wereldwijd erkende norm voor een kwaliteitsmanagementsysteem. Deze internationale norm past, net als de ISO 27001, de hoofdstructuur HLS toe. Deze norm is erop gericht om de algehele prestaties van de organisatie te verbeteren en vormt tevens een goede basis voor duurzame ontwikkelinitiatieven. De norm besteedt aandacht aan alle risico’s binnen bestaande processen waarin gewerkt wordt aan producten of diensten voor de klant.

Doelstelling: Verbetermanagement. De kwaliteit binnen processen verbeteren door een risicobeoordeling en daarnaast beheersmaatregelen inrichten om de risico’s te mitigeren en de processen continu te verbeteren.

Waarom certificeren? 
Waarom kiezen organisaties ervoor om zich voor bovenstaande normen te certificeren? Volgens Marjolein Veenstra, consultant en lead auditor voor de bovenstaande managementsystemen, komt dat omdat bedrijven ‘’in toenemende mate naar binnen kijken’’. Ze zien dat kwaliteitsmanagement structuur biedt en steeds belangrijker wordt. Ze willen bovendien hun informatiebeveiliging op orde hebben en zien specifieke IT-vraagstukken op het gebied van medische zorg en AVG op zich af komen. Marjolein vervolgt:

‘’Op het gebied van kwaliteitsmanagement kun je denken aan een goed ingericht HR- of onboarding proces. Wat zijn de verantwoordelijkheden van medewerkers en tot wie moeten zij hun vragen richten? Daarnaast zien we dat het ontbreken van een inwerktraject veel leegloopuren oplevert. Ook zijn er organisaties die bijvoorbeeld merken dat het aantal tickets met klantvragen over de kwaliteit van een verkocht product snel oploopt als ze dat niet erkennen als een risico en daarop passende bedrijfseigen beheersmaatregelen nemen. Dat is jammer, want er zijn uitstekende beheersmaatregelen te nemen om die risico’s te mitigeren. Allemaal volgens de internationaal erkende normen, maar mét aandacht voor bedrijfseigen eisen.’’

In de ISO 27001 en de NEN 7510 wordt ook gekeken naar verantwoordelijkheden met betrekking tot toegangsrechten. Vragen zoals: ‘welke personen hebben er vanuit hun specifieke functie toegang tot bepaalde informatie?’ zijn belangrijk om te stellen en om vast te leggen. Afhankelijk van de concrete uitdaging of doelstelling van de organisatie is certificering voor een de genoemde normen dan een interessante vervolgstap.

Naast dit soort preventieve certificering zien we vaak ook reactieve aanvragen. Organisaties die een tender zijn misgelopen of dreigen mis te lopen zien ineens de urgentie en willen zich graag laten certificeren. In de beide gevallen kan de certificering ISO 9001 of een combinatie van ISO 27001 & NEN 7510 van grote toegevoegde waarde zijn. In lijn met deze tweede doelstelling is certificering voor steeds meer organisaties ook een marketingtool. Ze gebruiken het om aan te tonen dat hun kwaliteitsstandaarden van hoog niveau zijn (ISO 9001), om de zekerheid te bieden dat de informatiebeveiliging op orde is (ISO 27001 & NEN7510) en om specifiek binnen de zorgsector te garanderen dat er goed wordt omgegaan met medische en patiëntengegevens (NEN 7510). 

Een ding moge duidelijk zijn: wat de aanleiding ook is, met onze aanpak voldoen de beheersmaatregelen zoveel mogelijk aan de bedrijfseigen eisen. Op deze manier worden de beheersmaatregelen beter opgenomen in de bedrijfsvoering en wordt het eenvoudiger om te voldoen aan de norm. Tegelijkertijd vormen ze de basis voor een kwalitatief sterkere bedrijfsvoering. 

Interessant voor mijn organisatie? 

Certificering voor ISO 27001, NEN 7510, ISO 9001, en/of eventuele combinaties zijn voor veel organisaties interessant. De norm(en) laten aansluiten op de bedrijfseigen eisen is een doordachte strategisch doelstelling voor zowel de interne organisatie als externe stakeholders. Om u te helpen met de vervolgstappen zetten we hieronder de te verrichten handelingen op een rijtje:

  1. Download de norm
    Ga naar www.nen.nl om informatie over de norm te downloaden.
  2. Lees de norm! 
    Lees de relevante norm en ga binnen de organisatie na waar momenteel al aan wordt voldaan en waaraan nog niet. Vraag je in de gevallen waarbij er nog niet aan voldaan wordt af of dat wellicht wel belangrijk is op het gebied van kwaliteitsmanagement of informatiebeveiliging. 
  3. Neem contact op met Avensus
    Onze betrokken security consultants hebben écht ervaring met IT. Niet alleen met de technologie, maar juist ook met de processen en de mensen daarachter.

Maatwerk
Wist je dat Avensus consultants 70% van hun tijd werken als consultant in implementatietrajecten bij onze klanten en 30% van de tijd als auditor werken voor een certificerende instelling (CI)? Hierdoor kennen ze beide kanten van de tafel, waardoor ze precies weten tegen welke praktische zaken uw organisatie aan kan lopen. 

Onze consultants hebben tientallen, soms honderden, bedrijven van binnen gezien. Ze kennen de concrete uitdagingen en weten ook bedrijfseconomisch te prikkelen. Hun doel is om van de normering een toegevoegde waarde voor de organisatie te maken. Ze denken bijvoorbeeld mee over de juiste manier om alle gedocumenteerde informatie te beheren. Denk bijvoorbeeld aan beleid, procedures, plannen, planningen, beschrijvingen, overzichten en resultaten.

Blijkt daaruit dat u nog wat extra hulp kunt gebruiken? Ook dan levert Avensus maatwerk, bijvoorbeeld met onze Security Officer- en Kwaliteitsmanager-as-a-Service. We voeren een nulmeting uit en maken gezamenlijk transparant een plan van aanpak voor een implementatie. De nulmeting (incl. rapportage) geeft een duidelijk beeld wat er nodig is om aan de belangrijke norm(en) te voldoen. 

Tip: vragen over de norm(en) of benieuwd wat de ISO-certificering precies inhoudt? 

Tip: benieuwd welke vragen onze consultants u zouden stellen en hoe ze uw organisatie volgens de Plan, Do, Check, Act-methode (PDCA) graag van dienst zijn?

Vraag een nulmeting aan!

Bel Avensus op 085 – 020 00 70, stuur een e-mail naar info@avensus.nl of gebruik ons online contactformulier. Marjolein en onze andere collega’s helpen u graag verder! 

Meer weten?

Wij helpen je graag verder

+31 (0) 36 539 3100
info@avensus.nl

Gerelateerd

Menu