Begeleiding naar succesvolle ISO certificatie

 

Korte verhalen of tips gerelateerd aan het vak.

2019-05-21

ISO enzo – Deel 6 Informatiebeveiliging

ISO enzo – Deel 6 Informatiebeveiliging

In deze blog zullen een aantal specifieke, en belangrijke, aspecten worden benoemd die boven op de eerder beschreven aspecten komen kijken als men een systeem voor het beheren van informatiebeveiliging wil inrichten dat de toets tegen de betreffende norm (ISO 27001 / NEN 7510) kan doorstaan. Overigens is het belangrijk hier te benadrukken dat informatie­beveiliging niet uitsluitend een IT-zaak is doch de héle organisatie aangaat:

Het aannamebeleid voor kritische functies (bijv. IT beheer of super users) moet rekening houden met de vertrouwelijkheid van de informatie welke de organisatie beheert. Notarissen, ziekenhuizen en verzekeraars, om maar enkele groepen te noemen, zullen regels moeten opstellen en hanteren om zeker te stellen dat in dienst genomen personeel te vertrouwen is, voor zover dit redelijkerwijs voorzien kan worden.
Er dient een zg. verklaring van toepasselijkheid te worden opgesteld, die één voor één alle maatregelen noemt uit de bijlage A bij de norm. Per maatregel dient te worden benoemd of die van toepassing is of niet, en waarom dat zo is. Deze exercitie is tijdrovend doch belangrijk en moet zorgvuldig gedaan worden. Een aantal criteria voor toepassing kunnen zijn: wordt gevraagd vanuit wet- en regelgeving, wordt verlangd in contracten met klanten, komt voort uit goed vakmanschap (bijv. beheer van IT middelen), of komt voort uit risico-analyse. Overigens wordt het uitvoeren van risico-analyses alsmede aantoonbare opvolging van onderkende risico’s, door auditoren op het gebied van informatiebeveiliging nog strenger onderzocht dan voor bijv. kwaliteit.

De organisatie hoort maatregelen te nemen om de toegang te beperken voor hen die deze niet nodig hebben. Dit geldt zowel voor fysieke toegang tot gebouwen en apparatuur als voor logische toegang tot informatiesystemen. Laad- en los-zones mogen geen toegang bieden tot vertrouwelijke informatie (elektronisch of op papier). Kantooromgevingen dienen afgeschermd te zijn voor onbevoegden en toegang tot IT server-ruimtes mag alleen verleend worden voor hen die daarvoor apart gemachtigd zijn. Logische toegang tot IT systemen en gegevens moet een deugdelijk wachtwoord vereisen. Recente onderzoeken wijzen uit dat de lengte van wachtwoorden belangrijker is dan complexiteit. Van daaruit kan worden geadviseerd om een minimale wachtwoordlengte van 10 posities te hanteren. Verstrekte toegangsrechten dienen door de informatie-eigenaren regelmatig te worden gevalideerd.
Verder moeten onder andere deze zaken geregeld zijn:
> Een beleid voor mobiele apparatuur en telewerken
> Een beleid voor verwijderbare media
> Het classificeren en labelen van informatie
> Veilige gegevensoverdracht (met externe partijen maar ook inter-company)
> Een “Clear desk / clean screen” beleid
> Backups van gegevens (niet alleen maken volgens plan maar ook testen of het werkt!)
> Een proces voor het behandelen van informatiebeveiligingsincidenten (hier heb je een link met de AVG: data-lekken zijn per definitie incidenten, doch niet elk incident hoeft een data-lek te zijn)
> Overeenkomsten met leveranciers moeten clausules bevatten aangaande informatiebeveiliging. Tijdens audits blijkt, dat dit structureel een zwak gebied is en worden hier dikwijls afwijkingen genoteerd. Voorkom dat, door periodiek je contracten met leveranciers te scannen en indien nodig, aan te passen. Een aantal relevante aandachtspunten in deze zijn:
. Een beschrijving van de informatie die verstrekt cq. verkregen wordt
. Wettelijke en regulatorische vereisten
. De verplichting van de leverancier om maatregelen in te richten aangaande toegangsbeheer en monitoring
. Afspraken aangaande beveiligingsincidenten
. Regels voor eventuele onderaannemers
. Het recht om de leverancier te (laten) auditen
 
De auteur is consultant en auditor op de gebieden kwaliteit en informatiebeveiliging. Desgewenst kunt u van zijn expertise gebruik maken. Hij komt graag vrijblijvend naar u toe om een kop koffie te halen en uw specifieke problemen te bespreken. Hij is bereikbaar via het contactformulier op deze website.

HOS - 21:12 @ ISO, Informatiebeveiliging


Eventuele reacties gaarne via het contactformulier.