GDPR versus ISO 27001
GDPR verplicht u correct om te gaan met persoonsgegevens. Maar als organisatie beschikt u over veel meer essentiële informatie. ISO 27001 houdt ook daar rekening mee.
- GDPR (General Data Protection Regulation) is Europese wetgeving met als doel persoonsgegevens correct en met toestemming van de persoon te gebruiken. Het is een wet en dus een verplichting.
- ISO 27001 is een internationale norm voor een managementsysteem dat u een systematiek aanreikt om de beschikbaarheid, integriteit en vertrouwelijkheid te waarborgen van alle informatie die essentieel is voor uw organisatie. Het is een norm en certificatie volgens die norm is niet verplicht.
Welke informatie viseert ISO 27001?
ISO 27001 viseert alle informatie, zowel digitaal als op papier, die beschermd moet worden tegen verkeerd gebruik, diefstal of verlies, gebrekkige beveiliging, nonchalance…
Denk onder meer aan:
- Inhoudelijke informatie rond uw core business zoals documentatie, projectinformatie, klantengegevens, financiële gegevens, unieke kennis…
- Essentiële software
- Informatie over externe organisaties of personen
- Personeelsgegevens
Controle en vertrouwen
Een managementsysteem zoals ISO 27001 helpt uw informatiebeheer en -beveiliging onder controle te houden en garandeert u volledigheid en systematiek. U kiest zelf of u zo’n managementsysteem invoert in uw organisatie. Maar een certificaat volgens de norm, verleend door een geaccrediteerd certificatiebureau, creeërt wel vertrouwen bij uw stakeholders over de manier waarop u met informatie omgaat.
Wat zijn de voordelen van ISO 27001?
Risico-evaluatie
Hacking, phishing, ongecontroleerde software, nonchalante toegangscontrole, niet-afgeschermde printers… Bedreigingen komen van overal. ISO 27001 brengt alle risico’s systematisch in kaart en kwantificeert ze. Het resultaat is een ‘meting van de beveiliging’ van uw organisatie.
Beleid rond informatieveiligheid
ISO 27001 geeft aan wat u in uw beleidsrichtlijnen of policies moet opnemen zodat uw medewerkers weten hoe ze met informatie moeten omgaan. Denk aan toegangscontrole tot gebouwen of serverruimtes, structuur en aanpasfrequentie van paswoorden, gebruik van mobiele apparaten en internet, nieuwe software, maatregelen bij aanwerving of vertrek…
Systeembeheer
Met ISO 27001 zet u een systeem op om uw informatiebeveiliging te beheren. U moet dat systeem onderhouden en voor elk actie die er moet gebeuren een verantwoordelijke aanduiden.
- Definitie en controle van informatietoegangsbevoegheden
- Beheer infrastructuur, hardware en software
- Vastleggen van een methode, frequentie en verantwoordelijke voor het informeren en sensibiliseren van uw medewerkers over informatiebeveiliging
- Veranderingen gecontroleerd uitvoeren, zodat geen nieuwe risico’s ontstaan
- Beheer van incidenten rond informatiebeveiliging
Continue verbetering
ISO 27001 zorgt ervoor dat uw manier van werken constant in vraag gesteld wordt en u elke kans om verbeteringen aan te brengen systematisch benut. Dat gebeurt door:
- Een jaarlijks update van de risico-evaluatie
- Continue opvolging van het beleid en de doelstellingen
- Regelmatige interne audits
- Jaarlijkse directiebeoordeling over het managementsysteem
Doe de check
Hoe kwetsbaar is uw organisatie als het gaat over informatiebeveiliging? Het loont de moeite daar even bij stil te staan. Laat gerust een screening uitvoeren tegenover ISO 27001. Zo weet u meteen waar u staat. We helpen u daar graag mee. Aarzel niet om contact op te nemen.