QSN Blog: Informatiebeveiliging in de praktijk, hoe houdt een organisatie dit levendig?

Door: Christine Santing

Bij verschillende organisaties, zoals in de Zorg en ICT, ondersteunen we vanuit QSN bij de inrichting van processen in een managementsysteem. De laatste jaren is de vraag van bedrijven naar het borgen van een managementsysteem op het gebied van informatiebeveiliging gegroeid. Hierbij is het streven te voldoen aan de ISO 27001 en NEN 7510 normen. In zo’n traject wordt onder andere het toegangsbeheer tot systemen aangepakt, er wordt een bedrijfscontinuïteitsplan opgesteld en leveranciers worden gemanaged op basis van beveiligingscriteria.

Wanneer de beveiligingsprocessen in praktijk zijn gebracht, start ook de periodieke planning- en controlecyclus om ze te borgen en continu te blijven verbeteren. Dit gaat gepaard met een motivatie om het ISO/NEN-certificaat te behalen dat wordt geaudit door een certificerende instelling en om compliance aan te kunnen tonen aan de Inspectie IGJ. Maar vooral ook met een intrinsieke motivatie om ervoor te zorgen dat er zorgvuldig met informatie van betrokkenen wordt omgegaan en beveiligingsincidenten worden voorkomen.

Zodra organisaties het managementsysteem hebben ingericht en het certificaat hebben behaald, begeleiden wij hen bij het levendig houden van de beveiligingsprocessen. Ik voer audits uit en help bij verbeteracties om het beveiligingsniveau te upgraden of behouden. Het blijkt dat verantwoordelijken het wel eens lastig vinden om van informatiebeveiliging een periodiek thema te maken. Het fundament staat, maar integratie met de dagelijkse bedrijfsvoering is er niet altijd. Het managementsysteem werkt nog niet als een gestroomlijnde keuken; daar ligt de uitdaging.

Ontwikkelingen in de markt volgen we op de voet. Normen zoals de ISO 27001 en NEN 7510 geven een goede richtlijn bij het implementeren van informatiebeveiliging in de praktijk. Ook de NEN 7512 voor het faciliteren van veilige gegevensuitwisseling en NEN7513 voor het loggen van acties in elektronische patiëntendossiers dragen daaraan bij. Gecombineerd met de ISO 27001 norm is er nu de ISO 27701 norm, om het managementsysteem van organisaties ‘privacy proof’ maken.

De normen geven houvast en sturen je een richting op, maar geven niet veel input hoe de processen levendig te houden. Door praktijkervaring weten we vanuit QSN steeds meer hoe we dit kunnen bereiken. We hebben daarom werkpakketten in het kader van informatiebeveiliging op ons menu. We spelen daarbij in op de beveiligingsrisico’s en wensen van jouw organisatie. We onderzoeken welke ingrediënten we moeten combineren om het perfecte gerecht te serveren.

We nodigen je van harte uit voor ons webinar op 22 juni 2020. We vertellen je dan meer over de menukaart die QSN jouw organisatie kan bieden en nodigen je uit om ervaringen te delen. Klik hier voor meer informatie en aanmelden.