Kennisbank informatiebeveiliging
De meestgestelde vragen over informatiebeveiliging
Informatiebeveiliging
Informatiebeveiliging is het proces waarin je zorgt dat je als organisatie op een verantwoorde manier omgaat met jouw bedrijfsinformatie. Dit doe je aan de hand van maatregelen die richten zich op preventie, detectie en correctie. Daarnaast richt het zich op de processen die de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie garanderen. Zo waarborg je de continuïteit van de informatie en de voorziening. Zorg ervoor dat de risico’s ofwel worden beperkt, ofwel tot een acceptabel niveau worden gebracht.
Informatie wordt veelal digitaal uitgewisseld, waardoor er grote hoeveelheden informatie in een keer kunnen worden gedeeld of verstuurd. Je hebt als organisatie een wettelijke verplichting vanuit de AVG om te zorgen dat je op de juiste wijze omgaat met persoonsgegevens. Naast het wettelijke kader dien je als organisatie vertrouwelijk en veilig met (klant)data om te gaan en deze beschermd, zodat je de integriteit en vertrouwelijkheid kunt garanderen.
Een informatiebeveiligingsbeleid beschrijft hoe informatie in een organisatie wordt verwerkt en beschermd. Een ISMS (Information Security Management System) is een werkwijze voor het beveiligen van alle vertrouwelijke informatie binnen jouw organisatie. Het ISMS bestaat uit gedocumenteerde informatie en geïmplementeerde maatregelen, het dwingt jouw organisatie om een gestructureerde manier informatiebeveiliging aan te pakken en erover na te denken.
ISO/IEC 27001 is de internationale norm voor informatiebeveiliging. Deze certificering is er om aan te tonen dat elk type organisatie op een verantwoorde en vertrouwelijk wijze omgaat met informatie en zorgt voor afdoende geïmplementeerde beveiligingsmaatregelen. Wanneer je verdieping wenst op de beheersmaatregelen, kan ISO 27001 kiezen voor ISO/IEC 27002 hierbij ondersteunen. Deze norm beschrijft de praktische richtlijnen van de controls uit de Annex A. Het is niet mogelijk om je te laten certificeren voor ISO 27002.
In de zorg spreek je over NEN 7510 deze is specifiek gericht op informatiebeveiliging in de gezondheidszorg en richt zich op het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie ten behoeve van verantwoorde zorg voor patiënten.
De code voor informatiebeveiliging is een internationale standaard voor informatiebeveiliging in organisaties. Deze bestaat uit twee delen de NEN ISO 27001 norm voor Informatiebeveiliging en de zogenaamde praktijkrichtlijn ofwel ‘code of practice’ NEN ISO 27002 waarin beschreven wordt hoe je invulling kunt geven aan de beheersmaatregelen.
Wanneer je als organisatie inzicht wil krijgen in de risico’s ten aanzien van informatiebeveiliging in jouw organisatie, kun je een risicoanalyse uitvoeren. De risicoanalyse maak deel uit van de ISO 27001 certificering. In de PCT breng je de in- en externe risico’s in kaart die je voor jouw organisatie hebt geïdentificeerd.
Informatiebeveiliging richt je erop dat organisaties op een verantwoorde manier omgaan met bedrijfsinformatie en deze beschermt. Privacy richt zich specifiek op personen en de gegevens van deze personen. De AVG (Algemene Verordening Gegevensbescherming) is een Europese verordening die stelt dat je als organisatie en overheidsinstantie overzicht moet hebben hoe persoonsgegevens worden geregistreerd, zodat te herleiden is waar en wat er van een persoon is geregistreerd. Daarnaast heeft een persoon recht op vergetelheid.
