Basisbegrippen informatiebeveiliging
Bij informatiebeveiliging gaat het om drie thema’s:
- Beschikbaarheid
- Zegt iets over de beschikbaarheid van data, applicaties en de back-up, op elke plek en 24/7 mogelijk beschikbaar
- Integriteit
- Zegt iets over de betrouwbaarheid van de informatie; is deze informatie correct, recent, getoetst, niet besmet?
- Vertrouwelijkheid
- Dit wil zeggen dat de informatie slechts beschikbaar is voor diegenen die daartoe geautoriseerd zijn, en dus niet voor iedereen.
Hoe je informatiebeveiliging gaat regelen, daar hebben deskundigen een oplossing voor in de vorm van een internationaal vastgestelde norm voor informatiebeveiliging, de ISO27001 en ISO27002. U hoeft het niet zelf uit te vinden!
Voor zorg organisaties geldt de Nederlandse norm NEN7510. Deze is gebaseerd op de ISO27001, maar op een aantal punten aangevuld specifiek voor de zorg. Voor zorg organisaties is deze norm overigens wettelijk verplicht om te implementeren. U bent niet verplicht u te laten certificeren, maar u moet wel aantonen dat u NEN7510 compliant bent.
Zowel de ISO- als de NEN norm voor informatiebeveiliging bestaan uit twee delen:
- Het managementsysteem: dit beschrijft het proces hoe je in de organisatie de beveiligingsmaatregelen controleert en zo nodig aanpast. Dit managementsysteem is afgekort als volgt: ISMS: Information Security Management System.
- De beheersmaatregelen: dit zijn alle organisatorische en technische maatregelen die je als organisatie hebt geïmplementeerd om de ICT-omgeving te beveiligen. Er zijn totaal 150 beheersmaatregelen beschikbaar.
Het kiezen van deze beheersmaatregelen wordt gedaan op basis van een risicoanalyse, die beschrijft wat de mogelijke organisatorische-, menselijke-, technische- en omgevingsrisico’s zijn die kunnen plaatsvinden.
De normen worden regelmatig aangepast en verbeterd, Zo is de ISO27002 in oktober 2022 herzien. De NEN7510 aanpassing wordt verwacht begin 2024.
Hoe organiseer je nu praktisch informatiebeveiliging voor je organisatie? Waar moet je mee beginnen, wat moet je doen? En met wie?
Ik hanteer een stappenplan wat je aan de hand meeneemt en stap voor stap de noodzakelijke maatregelen behandelt om informatiebeveiligings compliancy te bereiken.
Neem gerust contact op om u te laten adviseren over deze aanpak.