Security Verified: standaard voor informatiebeveiliging
| Sieuwert van Otterloo |
Security
Security Verified is een nieuwe standaard voor informatiebeveiliging, die eenvoudiger, praktischer en transparanter is dan bestaande standaarden zoals ISO 27001. Met name voor organisaties met minder dan 100 werknemers biedt deze standaard voordelen.
Waarom is certificatie belangrijk
Door steeds strengere wetgeving is er steeds meer aandacht voor datalekken, privacy en informatiebeveiliging. Organisaties krijgen hierdoor vaker vragen over hun informatie-beveiligingsbeleid. Klanten, aandeelhouders en andere betrokkenen willen weten of en hoe dit onderwerp is geregeld. Het is dus van belang voor organisaties om helder en duidelijk beleid te hebben en in ieder geval een aantal basisstappen te zetten op het gebied van informatiebeveiliging. Als men met persoonsgegevens werkt is dit zelfs verplicht.
Een praktisch probleem is het aantonen dat beveiliging goed geregeld is: organisaties willen eenvoudig aantonen dat dit goed geregeld is, zonder alle details met iedereen te hoeven delen. In theorie is een onafhankelijke review met een certificaat hiervoor een goede oplossing: het certificaat toont aan dat het beleid aan een standaard voldoet en dat dit onafhankelijk is gecontroleerd. In de praktijk is dit echter nog niet eenvoudig. Er is één standaard, ISO 27001, waarvoor een certificatie-programma bestaat. Deze standaard is echter niet gratis verkrijgbaar, vereist veel papierwerk en het kost meestal meer dan anderhalf jaar voor organisaties om aan de certificatie-eisen te voldoen. Voor grotere en tragere organisaties is dit geen probleem, maar voor kleinere meer dynamische organisaties wel. Veel van deze organisaties hebben de inhoud van informatiebeveiliging wel op orde maar moeten lang wachten en veel investeren voor een certificaat. Voor deze organisaties is Security Verified ontworpen: een standaard voor informatiebeveiliging gebaseerd op dezelfde principes, maar met minder bureaucratie en overhead.
Hoe is Security Verified ontstaan?
De standaard is ontwikkeld door drie IT-experts werkzaam bij ICT Institute en Kennisnet: Axel Eissens, Joost Schalken-Pinkster en Sieuwert van Otterloo. De standaard is opgebouwd volgens de basisprincipes voor een Information Security Management System (ISMS) die ook gebruikt zijn bij ISO27001. Vervolgens is er gekeken naar de belangrijkste aanbevolen maatregelen uit verschillende beveiliging-standaarden zoals ISO 27002, SANS en PCI-DSS. De maatregelen die in Nederland wettelijk verplicht zijn, zoals voor bescherming persoonsgegevens, zijn ook in de standaard opgenomen.
Om de standaard open en controleerbaar te maken, zijn de criteria voor Security Verified openbaar gemaakt. Ook is er een openbaar register waar men kan zien welke organisaties door ICT Institute (het bedrijf achter SoftwareZaken) zijn gereviewd. In november 2016 waren dit twee organisaties.
Hoe te beginnen?
De belangrijkste stap om te beginnen met informatiebeveiliging is betrokkenheid van management, en het instellen van een permanent securityteam. Dit team moet uit minimaal twee mensen bestaan en minimaal 1 dag per maand de tijd nemen voor informatiebeveiliging (in het begin vaak meer tijd). Dit team aan de slag om continu te verbeteren. Meestal wordt hiervoor de Plan-Do-Check-Act methode gebruikt. Binnen deze methode worden telkens risico’s in kaart gebracht, en worden vervolgens maatregelen (Engels: controls) ingevoerd die het hoogste risico verminderen.
Zodra men de eerste slagen gemaakt heeft en een aantal basismaatregelen heeft ingevoerd, kan men zich laten reviewen volgens de Security Verify standaard. Wie minimaal een jaar bezig is en ook een aantal interne reviews heeft gedaan, kan ook een ISO 27001 audit aanvragen.
Voor wie aan de slag is en meer wil weten over de meldplicht datalekken, de vewerkersovereenkomst en andere aspecten van de wet bescherming persoonsgegevens zoals de functionaris gegevensbescherming, bieden we hier op SoftwareZaken meer informatie.
Bron afbeelding: unsplash
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van ISO 27001, NEN 7510, software-kwaliteit, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.