Training Informatieveiligheid NEN-ISO/IEC 27001

De gemeente Den Haag vindt informatieveiligheid en privacy van haar inwoners een zeer belangrijk onderwerp. Daarom is besloten dat alle medewerkers die te maken hebben met informatievoorziening twee trainingen moeten volgen: een basistraining over de ISO 27001 norm en een functiespecifieke opleiding. Dit artikel is een samenvatting van de basistraining van het informativeiligheidsmanagementsysteem NEN-ISO/IEC 27001 bij FoxIT, door trainer Ferry van der Kaars. Het doel van deze basistraining is de bewustwording van de informatieveiligheid.

Introductie

Informatieveiligheid is een onderschat onderwerp; gegevens zijn één van de belangrijkste bezittingen van een bedrijf. De impact van incidenten is hoog en om het risico hierop te verkleinen is het informativeiligheidsmanagementsysteem (IVMS) van ISO 27001 opgesteld.

Onderwerpen van de training:

  • Introductie van het informativeiligheidsmanagementsysteem (IVMS) en de doelstellingen;
  • Informatieveiligheid en algemene bewustwording;
  • Kennis van de norm;
  • Managementsysteem documentatie;
  • Risicomanagement;
  • Veiligheidsincidenten;
  • Onderhouden van het systeem;
  • Examen.

ISO 27001 en de doelstellingen

Het raamwerk is een norm en geeft handvatten voor toepassing op de eigen situatie. De norm wordt nog wel eens als gebruikt als dwingende regelgeving, maar zo moet het niet worden toegepast: de bedrijfsactiviteiten zijn leidend. Het moet worden toegepast zoals juristen het wetboek gebruiken; je hoeft het niet uit je hoofd te kennen.

Een informatieveiligheids managementsysteem is een instrument:

  • voor het vaststellen, implementeren, bijhouden en continu verbeteren;
  • binnen de organisatie om op de juiste manier om te gaan met bedreigingen, risico’s en incidenten;
  • gebaseerd op de internationale norm ISO/IEC 27001:2013.

Het verhogen van bewustwording over informatieveiligheid gebeurt volgens onderstaande pijlers:

  • Kennis, vaardigheden en instelling – het veranderen van de houding van medewerkers;
  • Continu bewustzijn van veiligheid – gevaren zijn er immers altijd;
  • Belang van risico’s en beheersmaatregelen – incidenten niet negeren;
  • Business continuity – net als voor bedrijfshulpverlening (BHV), evacuatieplan ook een continuiteitsplan voor informatie. Dit plan moet je regelmatig toetsen, net als de brandoefeningen die regelmatig worden gedaan.

Risicoanalyse

Door gegevens te classificeren kan het beveiligingsniveau van gegevens worden bepaald in de risicoanalyse. Kernpunten of kenmerken van informatie (ook de BIV-classificatie genoemd, in het Engels staat deze – in een andere volgorde – bekend als de CIA triad) zijn:

  • Beschikbaarheid (avaliability) en continuiteit – of men de gegevens kan gebruiken wanneer dat nodig is;
  • Integriteit (integrity) – in hoeverre de gegevens betrouwbaar zijn;
  • Vertrouwelijkheid (confidentiality) – de mate van exclusiviteit van de gegevens.

Maak gebruik van de Deming cirkel:

  1. Plan – missie, visie en strategie van de organisatie;
  2. Do – uitvoeren van de informatieveiligheidsactiviteiten;
  3. Check – (laten) controleren van de activiteiten;
  4. Act – uitvoeren van de aanbevelingen van de controles.

Opbouw van de norm

De norm is opgebouwd uit de volgende hoofdstukken:

  • Achtergrond van de organisatie – beschrijft beleid, processen en de gevaren analyse;
  • Leiderschap – ;
  • Planning – welke werkzaamheden op welk moment worden uitgevoerd;
  • Ondersteuning – de COPAFIJTH/PIOFACH factoren;
  • Bedrijfsactiviteiten – uniek voor elke organisatie;
  • Evaluatie van prestaties – evalueren van processen en mensen;
  • Verbetering.

De laatste twee worden vaak onderschat.

Belangrijke systeemelementen van de norm:

  • Beleidshandboek (informatieveiligheidsbeleid), vastgesteld door de top van de organisatie. Bestaande uit de onderwerpen:
    • Normeisen;
    • Eisen van de organisatie;
    • Wet- en regelgeving;
    • Klanteisen;
    • Risicomanagement;
    • Continue verbeteringen.
  • Gevaren- of risicoanalyse en beheersmaatregelen;
  • Statement of applicability (STOA) – een verklaring waarin staat welke onderdelen van de norm niet van toepassing zijn en waarom niet;
  • Procedures;
  • Interne audit;
  • Management review (directiebeoordeling);
  • Corrigerende maatregelen.

Incidenten

Hoe om te gaan met informatieveilgheidsincidenten (na elke fase terugkoppeling naar belanghebbenden):

  1. bewustwording;
  2. Identificatie/vaststelling;
  3. Rapportage/oorzaak analyse;
  4. Beoordeling;
  5. Actieplan;
  6. Evaluatie/geleerde lessen – zorgen dat het hoogst onwaarschijnlijk is dat het nogmaals gebeurt.

Onderhouden van het systeem, geredeneerd vanuit de behoefte van de belanghebbenden:

  • Taken uitvoeren volgens procedures en werkinstructies;
  • Voldoen aan de eisen zoals gesteld in de norm;
  • Voldoen aan de klant- en producteisen;
  • Voldoen aan wet- en regelgeving;

Audits

Kenmerken van audits zijn:

  • hebben een positieve insteek: verbeteren waar nodig, niet bestraffen van wat fout is.
  • Zijn gericht op doeltreffendheid en continue verbetering;
  • Dienen vast te stellen of doelstellingen bereikt zijn;
  • Gedreven door klanttevredenheid (van zowel interne als externe klanten).

Er bestaan verschillende typen audits:

  • Intern – door collega’s onderling, professionele toetsing;
  • Inspecties – intern door bijvoorbeeld controllers of interne accountantsdienst;
  • Certificering – door externe autoriteit.

Een auditeur beoordeelt op vijf aspecten:

  1. Systeem
  2. Proces;
  3. Risicomanagement;
  4. Incidentmanagement;
  5. Business continuity.