Informatiebeveiliging en privacy. Heeft u beide goed geregeld?

Sinds de invoering van de AVG liggen bedrijven en organisaties onder een vergrootglas als het gaat om privacy. Een ISO- of NEN-certificaat is een goed middel om te laten zien dat hier goed mee wordt omgegaan. Daarnaast worden dergelijke certificeringen steeds vaker ingezet als (harde) selectiecriteria. Nu staan certificeringen – en vooral certificeringstrajecten – niet echt bekend als een sexy onderwerp, maar ze zijn wél  belangrijk. In deze blog gaan we wat dieper op de materie in en laten we zien waar leveranciers van IT-diensten enerzijds en bedrijven die IT uitbesteden anderzijds rekening mee moeten houden.

Laatst bijgewerkt: 30 juni 2020

Leestijd: 5 minuten

Gastblog geschreven door Rudi Düpper van inTECHrity (Knowledge Partner iSourcing Hub op het thema Information Security). 

Eerst even voorstellen: inTECHrity begeleidt certificeringen en heeft op dit vlak jarenlange ervaring. Wij worden gevraagd voor ondersteuning in zowel de fase voorafgaand aan de certificering als de fase na het behalen van het certificaat. Na de certificering blijft het immers belangrijk om aan te kunnen tonen dat je als gecertificeerde partij daadwerkelijk handelt naar wat er staat beschreven.

Uiteindelijk draait alles om een goede implementatie van de Information Security Management System (ISMS) structuur en het uitwerken van de controls. inTECHrity helpt daarbij en geeft daarnaast ook gericht advies over de verdere invulling van ISO27001, NEN7510 en/of andere normeringsprojecten, zoals ISO27701, ISO27018, NEN7512, NEN7513, ISO9001 en NTA7516. Dat doen we bij zowel vragende partijen (IT managers, inkopers, CISO) als leverende partijen (IT-dienstverleners, ontwikkelaars).

In de rol van Knowledge Partner op het thema Informatiebeveiliging (Information Security) zullen wij zowel vragende als leverende partijen proberen een handje te helpen door onze kennis, ervaring en nieuwe inzichten te delen. Dat doen we via gastblogs als deze en door de komende tijd extra vragen toe te voegen aan de Public Library.

Als Knowledge Partner willen wij graag een bijdrage leveren die vragende partijen helpt te bepalen welke informatie zij al dan niet moeten opvragen bij IT leveranciers, waarom dit relevant is en hoe die informatie goed kan worden beoordeeld. Voor de leverende partijen geldt dat wij hen helpen bij het bepalen van de toegevoegde waarde van bijvoorbeeld ISO27001 of NEN7510 (voor zorg en zorg-gerelateerde partijen); bij een goed werkend systeem heeft de IT  dienstverlener zowel commerciële- als efficiencyvoordelen.

Klanten (vragende partij) stellen richting IT-dienstverleners (leverende partij) steeds vaker strenge eisen met betrekking tot ISO27001, ISO27701 en NEN7510 op gebied van informatiebeveiliging. Bij aanbestedingen/tenders van de overheid en ook in de private sector worden dergelijke certificeringen steeds vaker als een vereiste gesteld. Als IT-leverancier kan je aan de harde eis/knock-outcriteria voldoen, wat betekent dat het ISO- of NEN-certificaat een extra ‘commercieel’ voordeel heeft.

Dus een certificeringstraject dan maar? Nu staat een certificeringstraject niet echt bekend als een sexy onderwerp en collega’s zullen niet echt staan te springen om ‘extra’ werk. Hoe maak je deze droge materie en complexe processen behapbaar, waardoor het certificeringstraject een stuk eenvoudiger verloopt?

Dat doet inTECHrity door het operationeel te maken. Daarmee bedoelen we dat informatiebeveiliging en certificering geïmplementeerd wordt als onderdeel van de operatie; het wordt onderdeel van de standaard werkzaamheden en op die manier wordt de volwassenheid van de organisatie verhoogd. Een belangrijke eerste stap is de Business Impact Assessment (BIA) gevolgd door een risicoanalyse.

Wij komen echter te vaak tegen dat een BIA en risicoanalyse niet adequaat wordt uitgevoerd en dat privacy (AVG) en informatiebeveiliging volledig door elkaar worden gehaald. Dat de AVG-maatregelen op orde zijn, betekent niet per definitie dat daarmee een certificering zoals ISO27001 eenvoudig te implementeren of te behalen is. De BIA en risicoanalyse zijn essentieel en bepalend voor de rest van een certificeringstraject.

De BIA geeft een inschatting van de pijn en gevolgen indien de vertrouwelijkheid, integriteit en/of beschikbaarheid van informatie wordt geschaad. Aanvullend met de risicoanalyse vormt dit de basis voor de volgorde van het uitwerken en implementeren van certificeringen ISO27001 en ISO27701 beheersmaatregelen.

Informatiebeveiliging en privacy zijn niet hetzelfde; met een ISO27001 en/of NEN7510 certificering heb je wel de basis voor ISO27701, maar andersom heb je met een goede inrichting van AVG-maatregelen niet zonder meer de basis voor informatiebeveiliging – en zeker niet voor een ISO27001 en/of NEN7510 certificering. Hoe dat precies zit, wat daarbij de rol van de BIA en risicoanalyse is, en hoe je zorgt voor een goede en langdurige samenwerking, lees je in onze blog Informatiebeveiliging en privacy. Heeft u beide goed geregeld?

Gastblog geschreven door Rudi Düpper van inTECHrity. Heeft u vragen over de Privacy risicoanalyse of hoe onze GRC tooling daarbij kan helpen, de impact of de invulling van ISO27001? Wij helpen u bij inTECHrity graag verder. U kunt contact met ons opnemen door te bellen naar 085 130 1281 of via onze website www.intechrity.nl. Wij zijn officieel ACP-partner van BSI.

© 2020 iSourcing Hub BV. Alle rechten voorbehouden