THEMA

ISO CERTIFICERINGEN VOOR INFORMATIEBEVEILIGING

ISO/IEC

De Nextens-software draait in de Microsoft Azure Cloud. De cloud-omgeving is ISO/IEC 27001:2005-gecertificeerd. Deze certificering is een informatie veiligheidsstandaard gepubliceerd door International Organization for Standardization (ISO) en International Electrotechnical Commission (IEC). IEC is met 110 jaar de oudste organisatie van de twee. IEC richt zich voornamelijk op alle internationale normen voor alle elektrische, elektronische en aanverwante technologieën. ISO daarentegen richt zich op normen voor kwaliteitsmanagementsystemen, product- , materiaal en constructie normeringen als ook methodieken om efficiency en transparantie in bedrijfsprocessen te creëren. ISO is officieel begonnen in 1947, maar de ontwikkeling begon al een jaar daarvoor. Afgevaardigden uit 25 landen ontmoetten elkaar op het Institute of Civil Engineers in Londen en besloten om een nieuwe internationale organisatie te creëren 'om de internationale coördinatie en de eenmaking van de industriële normen te vergemakkelijken'. En dat is wat ISO nu nog doet, samen met IEC en ITU. ITU staat voor International Telecommunication Union. Zij zijn gespecialiseerd in informatie- en communicatietechnologie. Deze drie wereldwijde organisaties ontwikkelen internationale normen om de grote hoeveelheid specifiek landelijke normen terug te dringen waardoor wereldwijd uniformiteit en duidelijkheid ontstaat.

Ontwikkeling van standaarden

Hoe komen die certificeringen tot stand? ISO bepaalt zelf niet wanneer er een nieuwe standaard wordt gemaakt. De verzoeken komen vanuit de industrie en andere belanghebbenden zoals consumentenorganisaties. Doorgaans communiceert een bedrijfstak eerst met één van de nationale leden van ISO over de inhoud en de eisen van de nieuwe norm. In Nederland is dat met het NEN (Nederlandse Norm). Zij overleggen daarop volgend met de deskundigheidscommissies van ISO. Vervolgens wordt onderzocht of wereldwijd behoefte is aan de nieuwe norm. Als dat zo is, dan wordt de inhoud ontwikkeld. Voor de invoering ervan moet tenminste 75% van de deelnemende landen akkoord gaan. ISO werkt met 162 landen samen.

Certificering behalen

Om een ISO certificaat te behalen, moet een organisatie aan ISO normen voldoen. Voor het behalen van een certificaat moet het bedrijf zijn bestaande managementsystemen kritisch beoordelen en, indien nodig, bestaande processen en procedures aanpassen. Zodra een organisatie denkt dat zij aan alle eisen voldoen, wordt dit beoordeeld door een certificatie instelling. Met betrekking tot de betreffende ISO norm voeren zij controles bij bedrijven uit en geven een onafhankelijk oordeel over de werking ervan. Voor welke ISO kwaliteitsnorm het bedrijf ook gaat, het gebeurt overal op dezelfde manier. Een certificatie instelling wordt geaccrediteerd en gecontroleerd door een accreditatie instelling. In Nederland wordt dat gedaan door de Raad voor Accreditatie. Accreditatie is het certificeren van de certificatie instelling op basis van een onafhankelijk onderzoek.

27001:2005

Alle standaarden opgesteld door ISO, hebben een nummer. We nemen nogmaals het voorbeeld van de certificatie van Microsoft Azure, de ISO/IEC 27001:2005. De reeks 2700X gaat op hooflijnen in op het kwaliteitsmanagementsysteem voor informatiebeveiliging. De keuze om dit soort normen op hoofdlijnen te formuleren, heeft te maken met het feit dat ze toegepast kunnen worden op alle soorten organisaties. Bijvoorbeeld op commerciële ondernemingen, overheidsinstanties of non-profit organisaties. De norm van de certificering beschrijft de eisen voor het vaststellen, implementeren, gebruiken, monitoren, evalueren, onderhouden en verbeteren van een gedocumenteerd veiligheidssysteem afgestemd op de algemene bedrijfsrisico's van de organisatie. De 27001 norm gaat in op het beleid omtrent informatiebeveiliging. De norm is gericht op de beveiliging van bedrijfsgegevens en de vertrouwelijke gegevens van de klanten van het bedrijf. De ISO 27002 norm is daar de praktische vertaling van en beschrijft ‘best practices’ die richting geven aan de implementatie van maatregelen. De normen geven richting, maar de organisatie bepaalt zelf hoe zij de normen ‘vertaalt’ naar concrete maatregelen en werkwijzen, passend bij de business van de betreffende organisatie en de risico’s die worden gezien.

Met certificering ISO/IEC 27001:2005 toont Microsoft Azure aan dat zij aan de internationale veiligheidseisen voldoen. En dat wij, Nextens, de cloudoplossing op een veilige plek hebben staan.

Lees meer over het online werken, certificeringen en de veiligheid in onze FAQ.

Het Privacy en datalekken diner

Op 19 mei organiseert Elsevier Nextens het Privacy en datalekken diner. Tijdens dit speciale diner-seminar gaan we in op de privacywetgeving met onder andere:

  • Nieuwe privacyregelgeving in vogelvlucht uitgelegd, speciaal voor uw sector.
  • Beheren, bewaren en waarborgen van administratie en persoonsgegevens.
  • Uitleg over de meldplicht datalekken: Binnen 72 uur melden is verplicht, maar hoe doet u dit? Voorkom boetes van de autoriteit persoonsgegevens (tot € 820.000) en claims van klanten.
  • Werkt u in de cloud? Weet waar de cloud staat (binnen de EU?). Zorg voor duidelijkheid over informatieveiligheid en voorzie in contracten met uw softwarepartners.
  • Adviseer uw klanten tijdig over privacyregels en de nieuwe meldplicht datalekken.