Risicoanalyse informatiebeveiliging? Is dat wel nodig? Verwerkt u privacy gevoelige persoonsgegevens of bedrijfsvertrouwelijke informatie binnen uw organisatie? Gaan deze gegevens ook naar buiten of ontvangt u persoonsgegevens van derden? Of heeft u belangrijke bedrijfsinformatie waarvan u vermoed dat die gelekt is of wordt? Heeft u uw (IT) Security voldoende op orde om het lekken van data of privacygegevens te voorkomen of vroegtijdig te signaleren?
Om zicht te krijgen op de antwoorden is het verstandig om een risicoanalyse informatiebeveiliging uit te laten voeren.
Risicoanalyse informatiebeveiliging
Voorafgaand aan de risicoanalyse is het noodzakelijk de reikwijdte (scope) van de risicoanalyse te bepalen. De scope van een risicoanalyse kan variëren van een hele organisatie tot een server. Voorbeelden van scope zijn:
- Een organisatie
- Een onderdeel van de organisatie, zoals divisie of afdeling
- Een bedrijfsproces
- Een informatiesysteem
- Een of meerdere systeemcomponenten, zoals servers
Naast het bepalen van de scope is het noodzakelijk om risicocriteria te bepalen. De risicocriteria bepalen allereerst of een eenvoudige risicoanalyse conform een baseline aanpak volstaat. De risicocriteria bepalen daarnaast ook welke restrisico’s acceptabel zijn. De genoemde risicocriteria hebben betrekking op aspecten zoals:
- Omvang van financiële schade
- Omvang van imagoschade
- Omvang van privacyschade
Deze risicocriteria moeten bij voorkeur afgestemd worden op de aard van de bedrijfsvoering van de organisatie. De risicocriteria spelen een rol in het beschrijven van de risicoacceptatie (risicoattitude van een organisatie)
ISO 27001
ISO 27001 is de internationale standaard voor informatiebeveiliging. ISO 27001 is de leidraad voor uw organisatie dat zij de nodige voorzorgsmaatregelen heeft genomen om gevoelige informatie te beschermen tegen ongeautoriseerde toegang en bewerking. De norm staat voor een procesmatige aanpak voor het vaststellen, implementeren, uitvoeren, bewaken, onderhouden en verbeteren van informatiebeveiliging op basis van een Information Security Management System. U geeft met ISO 27001 aan dat u het informatieproces beheerst en gegevens van uw opdrachtgevers goed heeft beveiligd.
De norm ISO 27000 / 27001 is van toepassing op iedere organisatie met uitzondering van organisaties in de zorgsector. Voor de zorgsector is de norm NEN 7510 / NEN 7511 van toepassing.
U wilt een Informatieveiligheidssysteem conform ISO 27001 certificering en zoekt deskundige ondersteuning tot certificering? Nieuwhuis Consult levert u die graag. Hiervoor hanteren wij een praktisch model. In 4 fasen behaalt uw organisatie het ISO 27001 certificaat.
ISO 27001 - Normomschrijving
ISO 27001 certificering is ontstaan uit de Engelse “Code of Practice for Informations Security Management”. Hierin wordt verwezen naar een speciaal management systeem voor informatieveiligheid. Hierin wordt gespecificeerd hoe je security risico’s aantoonbaar kunt beheersen.
De ISO 27001 norm bevat de volgende aspecten met betrekking tot informatiebeveiliging:
Beleidsmatig (management)
Organisatorisch (verantwoordelijkheden)
Bedrijfsmiddelen (infrastructuur, netwerk, systemen en overige bedrijfsmiddelen) Personeel (huisregels, fouten, diefstal, fraude, misbruik)
Fysiek (sloten, brandbeveiliging)
Communicatie en operatie (beheer van systemen, processen en procedures) Toegangscontrole (password, biometrie)
Systeem- en softwareontwikkeling en onderhoud (documentatie, processen) Continuïteit (calamiteitenvoorzieningen)
Regelgeving (Wet Computercriminaliteit, Wet Bescherming Persoonsgegevens)
Hoe gaan wij te werk?
Heel eenvoudig: wij gaan met u een gesprek aan om samen de scope te bepalen. Daarna komen wij met een concreet voorstel hoe de risicoanalyse uit te voeren.
Meer informatie en contact
Voor meer informatie en het bespreken van een vraag of opdracht, neem contact met ons op! Bel 072-58200362 of mail info@businessprotect.nl om vrijblijvend te praten over de mogelijkheden en oplossingen. Of laat uw gegevens door middel van een klik op deze link en wij nemen met alle plezier met u contact op. We kijken er naar uit om met u samen te werken.