Normenkaders: informatiebeveiliging van het hoogste niveau

ISO 27001 en ISO 27002

Laten we beginnen met twee normenkaders die gezien worden als de internationale standaard voor informatiebeveiliging. De eerste is ISO 27001, waarin beschreven wordt hoe procesmatig omgegaan moet worden met alle informatie. Het doel van de norm is ervoor te zorgen dat alle beschikbare informatie op de juiste manier verwerkt wordt met betrekking tot vertrouwelijkheid, integriteit en betrouwbaarheid. Belangrijke factoren in een wereld waarin informatiebeveiliging en privacy in een bijzonder hoog vaandel staan dus.

De ISO 27002 norm beschrijft de beheersmaatregelen en kan daardoor gezien worden als een verdieping op ISO 27001. In de ISO 27002 vindt u bijvoorbeeld welke maatregelen u kunt treffen om ervoor te zorgen dat u aan de eisen van de eerste norm kunt voldoen.

Deze normenkaders zijn van groot belang. Enerzijds omdat u hiermee zeker weet dat u aan de eisen voldoet omtrent informatiebeveiliging en veiligheid van persoonlijke of gevoelige gegevens in het algemeen. Aan de andere kant is dit een signaal naar uw klanten en partners; u laat met deze twee normenkaders zien dat u werk gemaakt heeft van uw beveiliging, waarmee u direct een betrouwbare partner blijkt.

NEN 7510

NEN 7510 is ook een van de normenkaders met betrekking tot de beveiliging van persoonlijke gegevens. Dit normenkader wordt vooral gebruikt binnen de zorg, omdat het gaat om de verwerken en beschikbaarheid van patiëntgegevens, bijvoorbeeld in ziekenhuizen of online beschikbare dossiers. De NEN 7510 is overigens een Nederlands normenkader, maar is wel bekend over de grens; uw internationale partners weten wat dit betekent of kunnen dit zelf gemakkelijk opzoeken.

PCI-DSS; nog een normenkader van groot belang

Bij PCI-DSS gaat het ook om de bescherming van gegevens, maar hier gaat het om een specifieke (en belangrijke) vorm van gegevens. De afkorting staat voor Payment Card Industry Data Security Standard en dit geeft al duidelijk aan waar het hier om draait; de veiligheid tijdens het doen van betalingen. Deze norm is opgesteld door Visa, Mastercard, Discover, JCB en American Express. Het is al snel uitgegroeid tot een belangrijke standaard waar veel waarde aan gehecht wordt. Ook hier geldt dat het niet alleen belangrijk is omdat de veiligheid van uw klanten belangrijk is, het is ook belangrijk omdat u hiermee een goede reputatie opbouwt.

De normen die binnen PCI-DDS opgesteld zijn, verschillen per aanbieder en branche. Er wordt gekeken naar de aard van het bedrijf om te kijken onder welke regels u valt. Als betaalprovider moet u aan andere regels voldoen dan wanneer u bijvoorbeeld winkelier bent.

En BIO?

BIO heeft niets te maken met biologie, het gaat hier opnieuw om de informatiebeveiliging. Niet op een specifiek gebied, maar binnen een bepaalde sector. BIO staat namelijk voor Baseline Informatiebeveiliging Overheid en daarmee hebben we opnieuw een echt Nederlands normenkader te pakken. Het gaat om de manier waarop de overheden (van lokaal tot nationaal) met informatie omgaat. Hierbij kunt u denken aan de verzameling, beschikbaarheid, verspreiding en beveiliging van persoonlijke gegevens van de burger.

BIO is relatief nieuw; het is op 1 januari 2020 ingesteld en verving op dat moment de verschillende uiteenlopende normenkaders die gebruikt werden binnen de overheden.

Zoveel normenkaders; zoveel regels

Voordat u aan de slag gaat met de normenkaders en het opstellen van maatregelen, zijn er een aantal dingen die u moeten weten. Niet alle bedrijven hoeven te voldoen aan alle regels binnen de normenkaders. Tegelijkertijd kunnen normenkaders interessant zijn voor u, ondanks dat u er niet aan hoeft te voldoen. Bijvoorbeeld wanneer u internationale zakenpartners aan wilt trekken en u de beveiliging van uw netwerk en website duidelijk aan wilt kunnen tonen.

Wat minstens zo belangrijk is, is dat er geen sprake is van een statische situatie. Regels veranderen, maatregelen worden aangepast en er moet met regelmaat getest worden. Informatiebeveiliging, afscherming van persoonlijke gegevens en de manier waarop gegevens verwerkt kunnen en mogen worden; het is een dynamisch geheel waarbinnen tal van factoren samenkomen.

Het is daarom belangrijk dat uw informatiebeveiliging altijd actueel én getest is. Alleen op die manier weer u zeker dat u aan de eisen van de normenkaders voldoet die relevant zijn voor uw bedrijf. Regelmatig testen uitvoeren, bijvoorbeeld door ethische hackers of het uit laten voeren van pentesten, is een handige manier om alle mogelijke inzichten te krijgen over de staat van uw informatiebeveiliging. Zo weet u dat alles goed geregeld is.

Informatiebeveiliging uit handen geven

U kunt ervoor kiezen om uw eigen dataspecialisten op uw informatiebeveiliging te zetten aan de hand van de opgestelde normenkaders die gelden voor uw onderneming. Indien gewenst kunnen wij periodieke testen uitvoeren om de beveiliging onder de loep te nemen en te kijken of uw beveiliging nog steeds aan alle eisen voldoet. U kunt er ook voor kiezen om direct contact met ons op te nemen, zodat we samen de mogelijkheden door kunnen nemen om uw beveiliging op orde te maken met het oog op de normenkaders.

Wilt u meer weten of wilt u ons vandaag al inschakelen? Neem dan vooral vrijblijvend contact met ons op zodat we u direct persoonlijk verder kunnen helpen. Laat ons binnen om anderen buiten te houden!