Waarom certificeren voor informatiebeveiliging?

Informatie­beveiliging binnen organisaties wordt al belangrijker. Steeds meer bedrijven laten zich voor informatie­beveiligings­normen certificeren. Het belang hiervan wordt door DNV GL toegelicht.

Trefwoorden: #certificatie, #cyberaanval, #DNV GL, #ISO 27001, #NEN, #NEN 7510, #norm, #veiligheid

Lees verder

Columns

( Foto: everythingpossible - 123RF )

ENGINEERINGNET.BE - Certificatie voor informatiebeveiligingsnormen maakt dat een bedrijf risico's op dit vlak in kaart brengt en per risico een aantal maatregelen opstelt, aldus DNV GL, een van de belangrijkste certificeerders werelwijd.

Zo kan een bedrijf direct handelen wanneer er iets ernstigs misgaat, zoals bij een datalek of een cyberaanval.

DNV GL stelt dat certificeren voor informatiebeveiliging ervoor zorgt dat:

  • Bestaande risico’s binnen een bedrijf zo goed mogelijk ingedekt worden, met als gevolg minder incidenten.
  • Werknemers binnen de organisatie weten hoe ze juist kunnen handelen tijdens een incident.
  • Een organisatie de relevante wet- en regelgeving naleeft.
  • Een organisatie geloofwaardig en professioneel overkomt.
  • Er awareness binnen een organisatie is.
  • Interne en externe stakeholders extra vertrouwen hebben in de organisatie.
  • Een organisatie continu gemotiveerd is om interne procedures aan te scherpen en te verbeteren.
  • Betrokken medewerkers, met als gevolg een positieve invloed op de ziekteverzuim, werkdruk en werksfeer.

Informatiebeveiligingsnormen, zoals de ISO 27001 en de NEN 7510, zijn aan te schaffen op de website van NEN. Na het doorgronden van de norm gaat een organisatie aan de slag met het opstellen van informatiebeveiligingsrisico’s.

Vervolgens is het zaak om de ernst van risico's te documenteren en welke maatregelen zijn te nemen. In de verklaring van toepasselijkheid wordt vastgelegd welke maatregelen zijn genomen, welke niet zijn uitgevoerd en waarom niet.

De verklaring van toepasselijkheid moet zo opgesteld zijn dat het samen met het beoordelingsdocument is te delen met stakeholders. Dit geeft extra inzicht bij hen.

Het is belangrijk dat deze verklaring elk jaar opnieuw opgesteld wordt aan de hand van een verplichte risicoanalyse (eis vanuit de norm), of als er grote veranderingen zijn zoals extra activiteiten, verhuizing, extra vestiging dan wordt het document aangepast.

Hierna is het nodig om een informatiebeveiligingsbeleid op te stellen, waarin wordt vastgelegd welke maatregelen de organisatie neemt om risico’s terug te dringen.