Data speelt in steeds meer producten en diensten een cruciale rol. Professionele informatiebeveiliging wordt daarom steeds belangrijker. Over het belang van informatiebeveiliging gingen Rob de Leur en Bernadette van Pampus met elkaar in gesprek. Zou ISO 27001 de veel bekendere ISO 9001-norm voor kwaliteitsmanagement kunnen vervangen?
Met een 27001 certificaat krijgt een organisatie de mogelijkheid vertrouwen te geven aan klanten en partners dat de organisatie van de informatiebeveiliging op orde is. Rob de Leur is business partner van QVOX en senior-adviseur informatiebeveiliging en privacy. Bernadette is strategisch adviseur kwaliteitsmanagement. Beiden brengen een berg aan ervaring mee op het gebied van de ISO-managementsysteemnormen.
Essentie van de ISO 27001-norm
Bernadette: ‘Sinds de invoering van de AVG zijn de eisen die gesteld worden aan informatiebeveiliging aangescherpt. Dat heeft als gevolg gehad dat de vraag naar het ISO 27001 certificaat is toegenomen en inmiddels wereldwijd enorm in trek is. De indruk bestaat dat het een complexe norm is. Er wordt vaak gedacht dat het om een technisch verhaal gaat waarbij gekeken wordt of organisaties hun informatiebeveiliging op orde hebben’.
Rob: ‘Het is een misverstand dat het bij de ISO 27001 norm puur om een technisch verhaal gaat.’
Rob: ‘Het is een complexe norm die eisen stelt aan de informatiebeveiliging, om security incidenten of datalekken te voorkomen en om ongewenste toegang tot informatie te minimaliseren. Denk aan persoonsgegevens, intellectueel eigendom, bedrijfsgevoelige informatie of informatie van klanten. Het is een misverstand dat het bij de ISO 27001-norm puur om een technisch verhaal gaat. Het is een samenspel van organisatorische aspecten (zoals HR, leveranciersmanagement, continuïteit) en typische ICT-aspecten. Dit is eigenlijk ook heel logisch omdat het ICT-systeem van je organisatie, de apparatuur die je hebt aangeschaft, alles al regelt’.
Bernadette: ‘Zowel de ISO 9001-norm als de ISO 27001-norm zijn beide managementsysteemnormen. Ze hebben dus een High Level Structure, een basisindeling die voor iedere managementsysteemnorm geldt. Je zou ze in elkaar kunnen pluggen. Waar zit de overlap tussen deze twee?’
Rob: ‘Er is behoorlijk veel overlap en die zit inderdaad in de High Level Structure. Beide hebben dezelfde lijn: wat is het beleid, waar zitten de risico’s en hoe hou je grip op de risico’s, interne audits en directiebeoordelingen?’
Rob: ‘Je levert er niet per definitie betere IT door, maar je houdt wel grip op de risico’s, beheersing en continu verbeteren – en dat is de essentie.’
‘Daarnaast heeft de ISO 27001-norm een appendix met 114 beheersmaatregelen die je moet doorvoeren, voor zover van toepassing uiteraard. Je levert er niet per definitie betere IT door, maar je houdt wel grip op de risico’s, beheersing en continue verbeteren – en dat is de essentie. Het is puur een organisatorische norm om de informatiebeveiliging op managementniveau in te richten. Dat vraagt om een visie, dat je nadenkt over wat er zou kunnen gebeuren als maatregelen het laten afweten, wat je eraan kan doen om risico’s te minimaliseren. Dit zijn juist de managementvraagstukken waar je aandacht aan moet besteden’.
Bernadette: ‘Dus net zoals bij de ISO 9001-norm: wat is je beleid, waar zitten de risico’s en hoe hou je grip op de risico’s? Beide zijn managementsysteemnormen en dus is het management verantwoordelijk en zijn de kwaliteitsmanager en de security officer adviseurs. Kwaliteit en informatiebeveiliging is onderdeel van het werk op de werkvloer. Medewerkers geven input’.
Medewerkers moeten alert zijn
Rob: ‘En dus dienen medewerkers continu alert te zijn op zaken rondom security. Immers zij zijn degene die de persoonsgegevens daadwerkelijk verwerken. Zij signaleren eventuele datalekken, zij zijn het die zich realiseren dat een nieuwe activiteit wellicht het verwerken van nieuwe persoonsgegevens met zich meebrengt, zij melden incidenten etc. En daar is kennis en begrip voor nodig.’
Bernadette: ‘De hele organisatie moet doordrongen zijn van het en nut en de noodzaak van kwaliteit’.
Bernadette: ‘De hele organisatie moet doordrongen zijn van het nut en de noodzaak van kwaliteit wil de kwaliteitsmanager zijn werk goed kunnen doen. Hetzelfde geldt voor informatiebeveiliging. De security officer krijgt met veel aspecten van informatiebeveiliging te maken. Hij speelt een sleutelrol door het informatiebeveiligingsbeleid vanuit de directie te vertalen naar operationele processen en afspraken’.
Rob: ‘Kwaliteitsmanagement en informatiebeveiliging hebben alles te maken met kennis van de processen. De kennis ligt op de werkvloer en niet bij het management. Medewerkers kunnen aanwijzen waar het niet goed loopt in de processen’.
Internet of things
Rob: ‘Als de organisatie zich niet integraal met informatiebeveiliging bezighoudt, ontstaan er zwakke schakels die een risico vormen. Alle apparatuur die met internet is verbonden hangt met elkaar samen en dan hebben we het over internet of things. Wanneer één aspect niet veilig is, is dat een entree voor hackers naar alle apparatuur. De ISO 27001 norm tackelt niet dat soort ontwikkelingen, maar kan er wel voor zorgen dat je grip houdt op risico’s.’
Bernadette: ‘En dus bepaalt de zwakste schakel het niveau van volwassenheid van het kwaliteitsmanagementsysteem. Het beheren van klantgegevens en het verzamelen van gegevens om te kunnen analyseren is essentieel in kwaliteitsmanagement. Het gebruik van een veilig informatiemanagementsysteem is een belangrijke randvoorwaarde om met je kwaliteitsmanagementsysteem in control te zijn.’
Rob: ‘Nog steeds worden organisaties gemotiveerd door factoren van buitenaf om een ISO certificaat te behalen. De norm wordt erbij gepakt en de eisen worden nagelopen. Dan wordt niet uitgegaan van motivatie die van henzelf vandaan komt, de intrinsieke motivatie.’
Bernadette: ‘Het behalen van het certificaat wordt doel op zich. De essentie van een managementsysteem wordt dan gemist. Namelijk dat de normen erom vragen dat je kan laten zien dat je met het managementsysteem in-control bent.’
Motivatie
Rob: ‘Je moet altijd eerst kijken naar de context waarbinnen de organisatie opereert, wat de stakeholders verwachten, waar de mogelijke risico’s zitten en de beheersmaatregelen vaststellen. Pas in een later stadium pak je een ISO-norm erbij. Vaak wordt uitgegaan van hoe de certificeerder er tegenaan kijkt. Ik vraag altijd aan het management waar ze wakker van liggen. Als je dat weet, kan je kijken wat je te doen staat. Dan komt de motivatie van binnenuit en is het een organisch proces in plaats van een model.’
Bernadette: ‘Beide zijn managementsysteemnormen met overlap. Ik kan me voorstellen dat organisaties een keuze maken tussen de ISO 9001 norm of de ISO 27001 norm. Tenslotte brengen twee certificaten meer kosten met zich mee dan één. Zou het kunnen gebeuren dat de ISO 27001 steeds meer interesse krijgt dan de ISO 9001 norm?’
Data-gedreven
Rob: ‘IT & data wordt steeds belangrijker omdat bijna iedere organisatie data gedreven is. Organisaties ontkomen er niet aan om ervoor te zorgen dat de organisatie van informatiebeveiliging op orde is. Sommige organisaties stoppen met het ISO 9001 certificaat. Zij hebben een ISO 27001 certificaat en kunnen aantonen dat bij de klanten naar hun tevredenheid wordt gevraagd. Organisaties doen er in zo’n geval verstandig aan om naar de buitenwereld duidelijk te maken waarom ze afscheid nemen van het ISO 9001 certificaat zodat niet de indruk bestaat dat ze niet in staat zijn het ISO 9001 certificaat te behouden.
Het gaat erom dat je het 27001 certificaat ziet als mogelijkheid om je te vergewissen van wat er kan gebeuren en hoe je daarop in kan springen. Als je het op die manier benadert voegt het waarde toe. En als je het goed hebt aangepakt heb je het in ieder geval organisatorisch geborgd.’
5 tips
Rob en Bernadette geven je vijf tips om ervoor te zorgen dat klant vertrouwen heeft in jouw managementsysteem:
1. Het gaat het erom dat de organisatie van de informatiebeveiliging op orde is.
2. Neem de context als uitgangspunt, definieer je risico’s, bepaal maatregelen.
3. Zorg dat de auditplanning aansluit bij de risico’s en maatregelen.
4. Haal input van de werkvloer en zorg voor bewustzijn van hoog tot laag.
5. Communiceer naar de buitenwereld over de keuze voor welk certificaat.
Wij zijn benieuwd naar jullie mening. Wil je met Rob en Bernadette in gesprek over dit onderwerp? Neem dan contact met ons op of laat je reactie achter.
Er is een nieuwe versie van de ISO 27001 norm op komst. Informatie daarover tref je aan op www.nen.nl. Hier zijn de ISO-managementsysteemnormen verkrijgbaar.
Ook op de hoogte blijven van nieuwe trends in kwaliteitsmanagement? Meld je aan voor onze nieuwsbrief, dan ontvang je onze nieuwste artikelen en blijf je op de hoogte van onze activiteiten.
0 reacties