Informatiebeveiliging onder controle in 8 stappen

12 juli 2019

Uw informatiebeveiliging onder controle houden is geen eenvoudige opgave. Om de beveiliging te waarborgen, dient u immers het proces structureel te doorlopen. Maar hoe pakt u dit het beste aan? In deze 8 stappen houdt u grip op uw beveiligingszaken.

Elke organisatie doet iets aan informatiebeveiliging. Laptops zijn waarschijnlijk beveiligd met wachtwoorden, computers bevatten antivirussoftware en wellicht worden er regelmatig back-ups gemaakt.

Maar wanneer is de informatiebeveiliging écht in orde?

In dit artikel staan 8 stappen omschreven die de informatiebeveiliging binnen uw organisatie onder controle houden:

Krijg inzicht in uw huidige status en de vereiste inzet / kosten voor de implementatie van een certificering. 

KRIJG INZICHT IN UW HUIDIGE STATUS

Lees verder onder de afbeelding.

Informatiebeveiliging encrypted op computerscherm

Stap 1: Vaststellen van een beleid

Allereerst dient u het informatiebeveiligingsbeleid van uw organisatie vast te stellen. Dit beleid maakt inzichtelijk hoe belangrijke en gevoelige informatie wordt verwerkt en beschermd. Daarnaast omvat het regels omtrent gegevensbescherming, maatregelen om de veiligheid te waarborgen en de te nemen stappen bij incidenten. Maar ook betreffende gedrag en geheimhouding van uw medewerkers.

Stap 2: Analyseren van de informatiesystemen en -bronnen

Om de gestelde doelstellingen van stap 1 te behalen, dienen alle bedrijfsprocessen goed te functioneren. Daarom classificeert u in stap 2 alle bedrijfsinformatie en inventariseert u alle informatiesystemen binnen uw organisatie.

Stap 3: Starten met de risicoanalyse

De beheersing van alle risico’s vormt een belangrijk aspect binnen de informatiebeveiliging. Daarom dient u een gedegen risicoanalyse uit te voeren, waarbij u alle potentiële dreigingen en risico’s in kaart brengt. Welke bedreigingen zijn er en voor welke soorten bedreigingen vormen de informatiesystemen van uw organisatie een doelwit? Met alle risico’s in kaart gebracht, kunt u adequaat reageren op echte problemen.

 

Stap 4: Implementeren van de maatregelen voor de risico’s (Risicomanagement)

In deze stap gaat u aan de slag met het risicomanagement. Alle risico’s – die uit de risicoanalyse zijn voortgekomen – worden volledig uitgewerkt, waarna u de aanpak bepaald per risico. U bepaalt of u het risico beheerst, overdraagt, ontwijkt of accepteert.

Stap 5: Evalueren van de resterende risico’s

Zijn alle bedreigingen en risico’s in kaart gebracht, uitgewerkt en voorzien van maatregelen? Dan kunt u de risico’s langslopen om het restrisico te bepalen. Het restrisico is het risico dat resteert nadat alle maatregelen zijn genomen.

Stap 6: Invulling geven aan de AVG

Het beheren, opslaan en uitwisselen van persoonsgegevens gaat gepaard met wettelijke verplichtingen. Daarom geeft u in stap 6 invulling aan de AVG, waarbij u inventariseert hoe persoonsgegevens worden verwerkt en een risicoanalyse uitvoert, specifiek gericht op deze gegevens.

Bewustwording over informatiebeveiliging binnen organisatie

Stap 7: Vergroot de bewustwording onder de medewerkers

Na het uitwerken van het beleid en de bijbehorende maatregelen, is het van belang dat de gehele organisatie deze kent en naleeft. Zonder het commitment van het management en de medewerking van al uw collega’s faalt de informatiebeveiliging.

Stap 8: Implementeren van een interne controle

Het implementeren van de informatiebeveiliging is geen eenmalige activiteit, maar een herhalend proces waarvoor structurele aandacht nodig is. Zeker voor organisaties waarbij de gevoeligheid met betrekking tot informatiebeveiliging van groot belang is. Een interne controle helpt om nieuwe risico’s tijdig te signaleren en de beveiliging voortdurend te verbeteren.

ISO 27001 certificering behalen?

De ISO 27001 is een standaard binnen de informatiebeveiliging en de certificering ervan toont aan dat uw organisatie deze set van maatregelen, processen en procedures hanteert. Daarmee fungeert de ISO 27001 certificering als een bevestiging voor alle stakeholders – zoals klanten, leveranciers en belangenverenigingen – dat uw organisatie serieus met informatiebeveiliging omgaat.

Om dit certificaat te verkrijgen, wordt de beveiliging binnen uw organisatie volledig onder de loep genomen en beoordeeld middels een externe audit: van de documentatie van uw beleid, processen en procedures tot de implementatie van de maatregelen en de uitvoering van interne controles.

Krijg inzicht in uw huidige status en de vereiste inzet / kosten voor de implementatie van een certificering.

KRIJG INZICHT IN UW HUIDIGE STATUS

 

Recente berichten

Ondersteunde normenkaders

  • ISO 27001 / ISO 27002 (2022!)
  • NEN 7510
  • ISO 27017/18
  • EU-AVG/GDPR
  • ISO 27701
  • BC 5701
  • ISO 22301
  • ISO 9001
  • ISO 14001
  • TISAX
  • PCI-DSS
  • BIO
  • DigiD
  • IBHO / SURFaudit
  • COBIT
  • NIST CSWP
  • ISAE 3000 / 3401
  • SOC 2
  • NIS 2
  • En meer...

Deze blogs vindt u wellicht ook interessant:

Stappenplan voor het in kaart brengen van bedrijfsprocessen en systemen

Als organisatie wil je voorkomen dat je bedrijf kwetsbaar is voor cybercriminaliteit. Het in kaart brengen van bedrijfsprocessen en informatiesystemen helpt zwakke punten te ontdekken en jouw organisatie tegen incidenten te beschermen.

27 juni 2023

Welk dreigingsmodel gebruikt wordt voor uw scope

Om ervoor te zorgen dat aan alle factoren wordt gedacht tijdens een risicoanalyse, zijn er dreigingsmodellen ontwikkeld. Denk bijvoorbeeld aan RAVIB, OWASP en MAPGOOD. Maar welk dreigingsmodel wordt gebruikt voor uw specifieke scope?

10 februari 2023

Interne audit van ISO normen

Een periodieke interne audit aan de hand van een ISO norm zoals bijvoorbeeld de ISO 9001 of ISO 27001, is noodzakelijk voor het voldoen aan deze normen en biedt het management inzicht in de effectiviteit en kwaliteit van lopende bedrijfsprocessen en...

16 december 2022