ISO 27001 in de bouw

Informatiebeveiliging

Steeds meer van deze organisaties eisen een ISO 27001 certificaat van hun leveranciers, aannemers en onderaannemers. Zo eist Prorail de invoering van informatiebeveiliging (niet direct certificering) voor erkende leveranciers en stellen steeds meer overheden de eis van het overleggen van een ISO 27001 certificaat als basisvoorwaarde voor een aanbesteding.


Gelukkig kan de ISO 27001 in elke organisatie worden geïmplementeerd. Adviseurs 3.0 is daarbij gespecialiseerd in bedrijven in de bouwsector. Niet voor niets zijn wij de Partner van Bouwend Nederland.

De ISO 27001

ISO 27001 is de internationale norm over informatiebeveiliging, ook wel Cyber Security genoemd. De norm richt zich op het opzetten van een informatiebeveiligingsmanagementsysteem, met focus op de goede beveiliging van informatie binnen jouw organisatie. Veel (gevoelige) informatie wordt online of via computersystemen opgeslagen. Echter neemt het actieve aantal hackers aanzienlijk toe, waardoor er datalekken kunnen ontstaan. De risico’s van datalekken kun je aan de hand van de ISO 27001 norm minimaliseren. 

Waarom ISO 27001?

Gezien organisaties onderling steeds meer data met elkaar uitwisselen, wordt het belang van een goede en veilige opslag van deze data steeds belangrijker. Immers willen we als organisatie niet de oorzaak zijn van een datalek waarbij belangrijke of zelfs cruciale data op straat komt te liggen. Door dit belang wordt de vraag voor een ISO 27001 certificering steeds belangrijker, ook buiten IT organisaties en software ontwikkelingsbedrijven.





Daarnaast zijn we mede door de AVG wetgeving ons steeds bewuster geworden van het recht op privacy. Het goed omgaan met privacy gevoelige gegevens is voor iedere organisatie van cruciaal belang geworden. Het voldoen aan wet- en regelgeving is onderdeel van de ISO 27001 norm. Door de implementatie ervan worden maatregelen genomen om op een zo goed mogelijke manier om te gaan met de bescherming van deze gegevens. 
De ISO 27001 biedt concrete handvatten hoe de risico’s op het gebied van informatiebeveiliging kan verkleinen.
De ISO 27001 leidt tot minder risico’s als gevolg van een betere beheersing van ICT-systemen en applicaties.
De ISO 27001 geeft stakeholders vertrouwen in een veilige beheersing van hun data.
De ISO 27001 geeft korting bij aanbestedingen

Risicogebaseerde aanpak

ISO 27001 is bij uitstek een risicogebaseerde norm. Het startpunt is het in kaart brengen van de dreigingen die een organisatie loopt en de risico’s die daarbij horen. Op basis van deze risico’s worden maatregelen geselecteerd welke geïmplementeerd dienen te worden.


De ISO 27001 norm bestaat uit 2 onderdelen, namelijk de algemene High Level Structure gebaseerde ISO 27001 (Vergelijkbaar met ISO 9001 in opzet) en de Annex A welke wordt uitgelegd in ISO 27002. Annex A bestaat uit 114 maatregelen die beoordeeld en geïmplementeerd moeten worden op een wijze passende bij de geconstateerde risico’s van de organisatie. 


De 114 maatregelen zijn verdeeld over 14 hoofdstukken met hun eigen submaatregelen.

Zelfs bij organisaties met weinig risico’s en uitbestede IT processen zien we dat nog altijd ruim 100 van de maatregelen van toepassing zijn.


De maatregelen zijn dan ook lang niet alleen gericht op de technische kant van IT. Veel gaat over gedrag, omgang met data door medewerkers en het leren van incidenten en gebeurtenissen.


De maatregelen zijn verdeeld in:

1. Technische maatregelen: geïmplementeerd op IT niveau en de monitoring van IT


Voorbeelden:

  • Back-up policy
  • Bescherming tegen virussen
  • Onderhouden van servers en PC’s
  • Rechtenbeheer

2. Organisatorische maatregelen: gedragsafspraken, procedures en monitoring hiervan


Voorbeelden:

  • Aanvaardbaar gebruik van bedrijfsmiddelen
  • HR Processen (screening, indiensttreding, uitdiensttreding)
  • Wachtwoordbeleid
  • Clean Desk


3. Fysieke maatregelen: Bescherming van gebouwen en servers.


Voorbeelden:

  • Toegang tot gebouwen en ruimtes
  • Bescherming van bekabeling
  • Bescherming van laptops buiten de deur

 

In totaal bestaat de Annex A van ISO 27001 voor 30% uit technische maatregelen, 60% uit organisatorische maatregelen en 10% uit fysieke maatregelen. Vaak is de grootste uitdaging om voldoende bewustzijn te creëren zodat iedereen de nodige afspraken en gedragsregels ook naleeft. 

De ISO 27001 in 10 stappen:

1. Breng dreigingen in kaart

2. Breng de risico’s in kaart horende bij de dreigingen

3. Bepaal de maatregelen uit de ISO 27001 Annex A / ISO 27002

4. Implementeer ISO 27001 (vaak integratie met ISO 9001!)

5. Implementeer technische maatregelen

6. Implementeer organisatorische maatregelen

7. Implementeer fysieke maatregelen

8. Geef awareness trainingen intern

9. Voer security checks, interne audits en directiebeoordeling uit

10. Externe audit tijd!

Kosteloos ISO 27001 webinar

Op 21 september organiseren wij een kosteloos webinar over de ISO 27001.

Tijdens dit webinar gaan we het hebben over:


  • Wanneer de ISO 27001 verplicht wordt voor jouw organisatie;
  • Hoe je daar nu het beste op in kunt spelen;
  • Veelgemaakte vergissingen bij data opslag;
  • De negatieve gevolgen van een datalek;
  • Hoe om te gaan met de AVG en de recht op privacy;
  • Hoe je de bescherming van persoonsgegevens een cruciaal onderdeel maakt van je organisatie;
  • Een stappenplan om te voldoen aan wet- en regelgeving;
  • Waarom de ISO 27001 certificering steeds belangrijker wordt, ook buiten IT organisaties en softwarebedrijven.

Vraag: Wanneer is een Security Officer verplicht?

Organisaties die het ISO 27001 managementsysteem hebben geïmplementeerd en eventueel hebben gecertificeerd zijn verplicht om een Security Officer te hebben. 


Een Security Officer draagt zorg over de data van de organisatie. De Security Officer zorgt voor technische en organisatorische maatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie te garanderen. Daarbij kijkt hij ook naar zaken als de risico’s, de manier waarop de organisatie werkt en houdt hij rekening met wettelijke regels en kaders.


Bij veel bedrijven is de functie van Security Officer geen fulltime functie. De functie wordt veelal als taak bij een medewerker neergelegd of extern uitbesteed.

Vraag: Wat is het verschil tussen de ISO 27001 en de NEN 7510

Zowel de ISO 27001 als de NEN 7510 zijn toegespitst op het thema informatiebeveiliging. Het verschil tussen beide normen is dat de NEN 7510 is toegespitst op informatiebeveiliging in de zorg. De ISO 27001 is op iedere organisatie van toepassing.

Vraag: Wat is het verschil tussen de ISO 27001 en de AVG

De AVG (Algemene Verordening Gegevensbescherming) is een Europese wet waar bedrijven sinds 25 mei 2018 aan moeten voldoen. Deze wetgeving is in het leven geroepen om de bescherming van persoonsgegevens te kunnen garanderen binnen de Europese Unie.


De AVG eist dat persoonsgegevens worden beschermd met passende technische en organisatorische maatregelen. Dit betekent dat alleen noodzakelijke persoonsgegevens op een zorgvuldige manier mogen worden opgeslagen en verwerkt. Organisaties die dit niet doen zijn in overtreding. Zij riskeren een boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.


Veel van de onderwerpen uit de AVG kunnen worden geborgd in het ISO 27001 managementsysteem. Het is geen verplichting om het ISO 27001 certificaat te behalen maar het is wel een goed middel om invulling te geven aan de AVG. De ISO 27001 is daarmee wel een stuk breder en omvat meer aspecten dan de AVG.

Een greep uit onze tevreden klanten

Start met de Quickscan

Direct aan de slag met de ISO 27001? Begin dan met de Quickscan. Hiermee wordt direct inzichtelijk waar de organisatie staat en wat het nog moet doen om het ISO 27001 certificaat te behalen.

  • Bestaande processen worden in kaart gebracht
  • Alle informatie die voorhanden is wordt gescreend
  • Direct inzicht in de nog te nemen acties

Het resultaat

Een concreet en praktisch overzicht waarin staat omschreven hoe de organisatie er voor staat en welke stappen de organisatie nog dient te nemen voor de certificering.


Het vervolg

De organisatie kan zelf met het rapport en de voorgeschreven stappen aan de slag, of één van onze adviseurs kan ondersteuning bieden.

Kunnen we helpen?

Neem vrijblijvend contact met ons op of vraag vrijblijvend een offerte aan.