Op 25 september 2013 is er een nieuwe versie van de ISO 27001-norm voor informatiebeveiliging gepubliceerd: ISO 27001:2013. Dit betekent dat alle bedrijven die in het bezit zijn van de oude ISO-27001:2005-normering de komende jaren moeten voldoen aan deze nieuwe standaard. De afgelopen maanden heeft True er alles aan gedaan om de nieuwe norm binnen de organisatie te implementeren. Om die reden hebben we onlangs bezoek gekregen van de auditors van Lloyd’s Register Quality Assurance (LRQA). En met goed gevolg. True is als een van de eerste partijen in Nederland gecertificeerd voor ISO 27001:2013.
Bekijk ook ISO 9001 en ISO 27001 hosting
Continu beleid informatiebeveiliging
Met ISO 27001 geeft een bedrijf aan alle risico’s op het gebied van informatiebeveiliging in kaart te hebben gebracht. Daarnaast geeft het aan dat er over de risico’s is nagedacht en dat er passende maatregelen zijn getroffen. Klanten weten daardoor dat er een garantie is dat data op adequate wijze wordt beveiligd en dat er een continu beleid over de beveiliging van informatie wordt gevoerd. Tijdens de afgelopen audit is er een aantal kleine tekortkomingen bij ons geconstateerd en hebben de auditors meerdere aanvullende aanbevelingen gedaan die we de komende maanden gaan inregelen.
Verschillen in normering
In 2013 werd bekend dat de tot nu toe bestaande normering voor informatiebeveiliging, ISO 27001:2005, niet meer toereikend was en er een aangepaste versie zou komen. De belangrijkste verschillen tussen de oude (2005) en nieuwe norm (2013) staan hieronder:
- De High Level Structure (hoofdstukindeling) is gewijzigd, zodat het in de toekomst beter aansluit bij de vernieuwde normeringen van ISO 9001, ISO 14001 en ISO 20000. Het uiteindelijke doel is om 1 managementsysteem te handhaven dat voldoet aan verschillende normeringen.
- De opzet van de risicoanalyse is niet langer asset-based, maar risk-based. Hiermee ligt de nadruk niet meer op: ‘heb je dit bedrijfsmiddel voldoende beschermd?’, maar meer op ‘ben je op de hoogte van deze risico’s en heb je hiervoor voldoende maatregelen genomen?’ Risicobeheer wordt naar alle waarschijnlijkheid eveneens een integraal onderdeel van de vernieuwde ISO 9001-norm.
- De appendix van de norm, ‘Annex A’, is ingrijpend gewijzigd. Er zijn nu 3 onderwerpen toegevoegd en 19 maatregelen verwijderd. In totaal zijn er nu 114 maatregelen vastgesteld, waarvan True er 113 heeft geïmplementeerd. Alleen de maatregel: ‘uitbestede ontwikkeling van software’ hebben we niet doorgevoerd, omdat we zelf onze eigen software ontwikkelen.
- Een onderwerp dat nadrukkelijk in Annex A naar voren komt, is ‘Leveranciersmanagement’. Het is nu een apart hoofdstuk waarin meer maatregelen worden beschreven dan in de vorige versies.
- Voorafgaand aan de risicoanalyse moeten de voornaamste interne en externe issues, alsook relevante belanghebbenden in kaart worden gebracht.
- Risico’s dienen formeel te worden geaccepteerd door de risico-eigenaren.
Lees ook: Wat is de impact van de Brexit op zakelijke ICT?
Informatiebeveiligingswaarborg zorg, NEN 7510:2011
Tijdens de audit voor ISO 27001:2013 is er tevens gekeken naar onze NEN 7510:2011-certificering. Sinds december 2013 is True officieel in het bezit van deze informatiebeveiligingswaarborg voor de zorg. De uitkomst van de audit is in dat geval ook gunstig: we mogen het NEN-certificaat behouden. Dit certificaat stelt True in staat om bedrijven binnen de zorgsector te assisteren bij de implementatie van de NEN-norm. Met het NEN 7510:2011-certificaat draagt True bij aan het waarborgen van de beschikbaarheid, integratie en vertrouwelijkheid van alle informatie die benodigd is om patiënten verantwoordelijke zorg te bieden.