“Eerst organiseren, dan automatiseren”.
Dit gaat ook op voor het opzetten van informatiebeveiliging, want het omvat meer dan alleen de digitale informatie. Hoewel deze norm daar in basis op gericht is, is het verstandig na te denken over hoe men in het algemeen binnen de organisatie omgaat met gegevens en informatie. Hoe is die geregeld? Zijn vertrouwelijke gegevens op een deugdelijke wijze opgeslagen? Is het mogelijk voor in- of outsiders daar toch eenvoudig bij te komen? Wie heeft toegang tot die gegevens en op welke wijze?
Hoe eenvoudig dit ook lijkt een informatiebeveiligingssysteem is redelijk complex te noemen, wat op zich niet vreemd is als we kijken naar de tijd waarin we op dit moment leven. Met name de ontwikkelingen op IT-gebied volgen elkaar in razendsnel tempo op en dwingen ons tot actie/maatregelen, stilzitten is geen optie!
Het doel van informatiebeveiliging is om ervoor te zorgen dat belangrijke informatie altijd in een beschermde omgeving is opgeslagen en alleen toegankelijk is voor bevoegden. De wijze waarop gegevens en informatie is opgeslagen en de zorg waarop deze wordt bewaard is een verantwoordelijkheid van de organisatie.
Met het oog op de ontwikkeling van de digitale snelweg en mogelijkheden tot opslagruimte in de Cloud, is het voor uw organisatie in toenemende mate van belang om ervoor te zorgen dat informatie en gegevens veilig zijn. Vooral daar waar het gaat om persoonlijke gegevens en informatie van gevoelige aard. Dat is geen eenvoudige zaak en vraagt veel aandacht, zowel aan de ‘voordeur’ als de ‘achterdeur’.
Klanten en medewerkers willen de zekerheid dat er zorgvuldig met hun gegevens en informatie wordt omgegaan. Dan wilt u kunnen aantonen dat:
- Informatie beschikbaar is voor de daarvoor geautoriseerde personen (beschikbaarheid).
- Informatie die niet beschikbaar is voor ongeautoriseerde personen (geheimhouding).
- Informatie accuraat en volledig gewaarborgd is (integriteit).
Informatiebeveiliging kan opgezet worden door de norm NEN-ISO/IEC 27001:2017 toe te passen. Dit is een internationale norm die eisen stelt ten aanzien van de informatiebeveiliging van een organisatie. Met een ISO 27001 certificaat kan de organisatie aan haar klanten laten zien dat zij beschikt over een geborgd informatiebeveiligingssysteem.
Door deze norm toe te passen op het managementsysteem kan een organisatie haar vertrouwelijke (fysieke en digitale) informatie organiseren en beveiligen. Dit managementsysteem is geschikt voor ieder type organisatie en kan van grote toegevoegde waarde zijn.
Voor de zorg is er naast de ISO 27001 specifiek de norm NEN-7510 van toepassing, klik hier voor meer informatie.