ISO 27001 in de praktijk

ISO 27001 draagt zorg voor de beheersing van de informatiebeveiligingsrisico’s en daarmee het borgen van de bedrijfsdoelen. Door ISO 27001 toe te passen blijft informatie die cruciaal is voor het bedrijfsproces beschikbaar en wordt ervoor gezorgd dat vertrouwelijke informatie niet naar buiten komt.

ISO 27001, een samenspel van techniek en mensenwerk

Het gaat hier dus over waardevolle informatie van een organisatie en alle technische en organisatorische maatregelen om deze informatie te beschermen. Dat betekent een samenspel van techniek en mensenwerk. Een organisatie kan nog zoveel technische maatregelen nemen, als de medewerkers zich niet bewust zijn van de risico’s van hun handelen en niet zorgvuldig en adequaat omgaan met informatie, dan is de informatiebeveiliging niet op orde.

De techniek zal dus zo opgezet moeten zijn, dat informatie niet snel verloren gaat en menselijke fouten zoveel mogelijk worden uitgesloten.  Hierbij kan bijvoorbeeld gedacht worden aan het maken van back-ups en het periodiek testen daarvan of het tijdig intrekken van toegangsrechten als (externe) medewerkers vertrekken.

Medewerkers moeten zich op hun beurt bewust zijn van de gevoeligheid van informatie en moeten begrijpen waarom er bepaalde procedures en afspraken zijn. Zo is het gedrag van medewerkers die met privacy gevoelige informatie werken enorm cruciaal. Zij moeten zich bijvoorbeeld realiseren dat deze informatie niet zomaar verstuurd of geprint kan worden.

Een voorbeeld

Wanneer van een database geen excel export gemaakt kan worden ter voorkoming van de verwerking of verspreiding van gevoelige persoonsgegevens, dan is dat een technische maatregel van informatiebeveiliging. Dit voorkomt echter niet dat een medewerker de gegevens overschrijft of een screenshot maakt. Medewerkers moeten zich dus bewust zijn van de reden waarom in dit geval een export functie ontbreekt en waarom op geen enkele andere wijze informatie uit het systeem gehaald mag worden.

De valkuilen

Naast het bewustzijn van medewerkers van de gevoeligheid van informatie, gaat het vaak mis bij het vertrouwen hebben in de techniek.  Een menselijke fout is zo gemaakt, terwijl de techniek goed geregeld is. Ook kiezen medewerkers vaak de makkelijke weg in plaats van een correcte en veilige methode. Zij zijn zich niet bewust van de consequenties van hun handelen. Medewerkers moeten dus zelf hun verantwoordelijkheid nemen en zich voldoende bewust moeten zijn van de gevolgen van hun fouten.

‘In control’ met ISO 27001

Een managementsysteem volgens ISO 27001 is bedoeld om als organisatie ‘in control’ te zijn. Er worden technische en organisatorische maatregelen getroffen en het bewustzijn van medewerkers bij het omgaan met bedrijfskritische informatie wordt vergroot.  Hiermee is een organisatie in staat de juiste dingen te doen om te voorkomen dat informatie verloren gaat, onjuist is of lekt en wordt alleen aandacht besteed aan zaken die écht belangrijk zijn voor ISO 27001 informatiebeveiliging. Zo wordt voorkomen dat bedrijfsdoelen onnodig geschaad worden door onverwachte situaties die een organisatie met een ISO 27001 informatiebeveiligingssysteem had kunnen voorzien. Bijkomend voordeel is dat met het voldoen aan ISO 27001 gelijk wordt voldaan aan de AVG algemene verordening gegevensbescherming die per 28 mei 2018 in werking is getreden.

Aan de slag met ISO 27001 certificering? Laat u overtuigen van onze meerwaarde en goede prijs-kwaliteitverhouding!
offerte aanvragen