Standaard voor informatiebeveliging Security Verified is vernieuwd
| Sieuwert van Otterloo |
Security
“Security Verified’, een alternatief voor ISO 27001, is vernieuwd: Versie 2024 is zojuist verschenen in het Nederlands en Engels. De nieuwste versie is zo ontwikkeld dat deze aansluit bij ISO 27001, de BIO en NEN 7510.
Security Verified als alternatief voor ISO 27001
Veel organisaties die werken met persoonsgegeven of gevoelige gegevens, moeten aantonen aan hun opdrachtgevers dat de informatiebeveiliging goed geregeld is. Hier bestaan verschillende standaarden voor, maar voor veel standaarden is geen erkende certificatie (AVG, BIO, ABDO, aanbestedingseisen) of de standaard is niet open (ISO 27001) en een volledige implementatie is gelijk een grote stap. Om meer opties te bieden is daarom ooit in 2016 de standaard Security Verified ontworpen. Dit is een open standaard die door iedereen gebruikt mag worden. De standaard is gebaseerd op dezelfde principes als ISO 27001, maar biedt iets meer keuzevrijheid hoe maatregelen worden ingevoerd, is op sommige punten concrete en duidelijker, en is eenvoudiger toetsbaar. Met name voor kleinere organisaties een mooi alternatief om snel de informatiebeveiliging te verbeteren en aan te tonen.
Open standaard
Security Verified is een open standaard: de standaard is vrij verkrijgbaar. Er is een Nederlandse versie en een Engelse versie. Iedereen mag de standaard vrij gebruiken, en er zijn ook templates die helpen met de implementatie. Wie wil certiferen, kan dat laten doen door ICT Institute, en ontvangt dan een certificaat en komt ook in het register van gecertificeerde organisaties. Certificering is optioneel en in principe mogen andere auditors ook de controle doen. In de afgelopen jaren zijn er 30 organisaties ge-audit, en hebben hiermee kunnen aantonen dat zij passende maatregelen voor informatiebeveiliging hebben genomen. Voor ongeveer de helft van de organisaties was het een tussenstap op weg naar ISO 27001 certificering. Voor andere organisaties was het hebben van Security Verified een voldoende beveiligingsniveau. Vanuit ICT Institute vinden we allebei een mooi resultaat.
Update 2024
De standaard wordt elke 3-4 jaar gereviewd en waar mogelijk verbeterd. Zo zijn er in 2021 eisen vanuit de AVG toegevoegd: organisaties zijn immers verplicht om aan de AVG te voldoen, en daarom worden de belangrijkste punten gecheckt. De 2024-update is minder groot: met name de volgorde van de eisen is veranderd. De indeling en volgorde komen nu overeen met de volgorde van ISO 27001: 2022. Ook zijn een aantal eisen herschreven zodat ze duidelijker zijn. De nieuwste versie blijft in ieder geval van 2024-2027 gelden. Eind 2027 zal deze versie weer worden gereviewd.
Vragen over de standaard
Op de Engelse pagina van Security Verified staat meer uitleg over de standaard. Hier is ook meer geschreven over het reviewproces. ICT Institute biedt ook trainingen aan voor informatiebeveiliging en privacy, en kan ook ondersteuning op maat leveren.
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van ISO 27001, NEN 7510, software-kwaliteit, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.