Sinds de invoering van de AVG zijn organisaties en bedrijven zich meer bewust van het risico op datalekken. Maar vaak wordt de AVG (ten onrechte) in één adem genoemd met de ISO 27001-norm; alsof beide elkaar afdekken. De AVG beslaat echter slechts 1 á 2 procent van de gehele ISO 27001-norm, die beschrijft hoe je procesmatig dient om te gaan met het beveiligen van informatie binnen jouw bedrijf of organisatie.
ISO 27001 en aanbestedingen
Grote opdrachtgevers in de bouw en de zakelijke dienstverlening vragen bij aanbestedingen dan ook om ISO 27001. Zo eist ProRail dat elk van zijn leveranciers en onderaannemers vóór 1 juli 2021 een informatiebeveiligingsmanagementsysteem heeft ingevoerd, dat geheel voldoet aan ISO 27001. Hierin staat de spoorinfrastructuurbeheerder zeker niet alleen. Ook waterbedrijven en bijvoorbeeld Vodafone/Ziggo willen dat bedrijven die met hun data in aanraking komen, voldoen aan ISO 27001. Deze eis geldt zelfs voor bedrijfstakken waar je dat niet direct verwacht, zoals vertaalbureaus. Immers, zij vertalen gegevens (dus data!) die in voorkomende gevallen uitermate gevoelig kunnen zijn.
De AVG alleen is dus niet voldoende. De informatiebeveiliging volgens ISO 27001 gaat veel verder, zelfs tot en met de laptop van elke medewerker aan toe. Hoe dient elke medewerker met zijn hardware om te gaan? En wat móét op zijn of haar laptop staan en wat mag bijvoorbeeld absoluut níét op een mobiel apparaat staan?
Wanneer je start met ISO 27001, is de eerste stap: denken vanuit risico’s. Met een mooi woord spreken we dan van een ‘dreigingsanalyse’. Je brengt gedetailleerd in kaart welke informatierisico’s jouw bedrijf loopt tijdens het ondernemen én welke maatregelen je dient te treffen om deze risico’s tot een minimum te beperken. Stel, je hebt werknemers die onderweg zijn met hun laptop en smartphone van de zaak. Wat nu als al die hardware niet goed beveiligd is en gestolen wordt? Dan heeft de dief mogelijk toegang tot (mogelijk gevoelige) bedrijfsdata.
ISO 27001 en ISO 9001
Aan het minimaliseren van al die dreigingen stelt ISO 27001 bepaalde eisen. Dat zie je terug in het feit dat deze norm uit twee delen bestaat. Allereerst de algemene ISO 27001, die overigens heel erg lijkt op ISO 9001. Zo’n 85 procent van de tekst is hetzelfde, waarbij (kort door de bocht gezegd) enkel het woord ‘kwaliteit’ vervangen is door het woord ‘informatiebeveiliging’. Verder bevat ISO 27001 vier toegevoegde paragrafen. In een daarvan wordt verwezen naar bijlage A van de ISO 27001-norm. In die bijlage staan 114 veiligheidsmaatregelen die mogelijk op jouw bedrijf of organisatie van toepassing zijn. Elke maatregel die dat ook daadwerkelijk is, dien je te implementeren. Je mag zelf bepalen hoever je hierin wilt gaan. Belangrijk om te weten, is dat het allerminst de bedoeling is dat je ‘overbeveiligt’. Stel dat de data die je wilt beschermen, nauwelijks gevoelig zijn (laat staan van groot belang), dan mogen de veiligheidsmaatregelen die je treft ook minder uitgebreid te zijn. Voor voorbeelden kun je terecht in de onderliggende norm ISO 27002. Deze bevat een flink aantal best practices.
ISO 27001 en de HLS-structuur
HLS (High Level Structure) refereert aan het initiatief van ISO om een ‘structuur op hoofdlijnen’ voor managementsysteemnormen te ontwikkelen. Bij informatiebeveiliging is namelijk ook sprake van een risico-inventarisatie, maar dan van je IT-omgeving en de data waarmee wordt gewerkt. Vaak denkt men ten onrechte dat informatiebeveiliging alleen maar gaat over het beveiligen van data; die mogen niet in vreemde handen vallen! Maar ISO 27001 gaat veel verder. Daarbij staan drie begrippen centraal:
- Beschikbaarheid: data dienen (indien nodig) altijd beschikbaar te zijn.
- Integriteit: data moeten kloppen.
- Vertrouwelijkheid: data moeten zó beveiligd zijn, dat ze niet in vreemde handen kunnen vallen.
Risicomanagement speelt binnen ISO 27001 ook een grote rol. Stel dat data wél lekken; hoe dien je daar dan op te reageren? Dit wordt behandeld in het hoofdstuk over incidentenmanagement. Zo dien je (net als bij een Arbo-ongeval) alle incidenten te registreren, mogelijke oorzaken te analyseren, maatregelen te treffen om een dergelijk incident in de toekomst te voorkomen en – indien nodig – mensen te informeren. Hetzelfde geldt voor de business continuity van jouw bedrijf of organisatie: Wat nu als het internet uitvalt? Hoe zorg je ervoor dat het systeem bereikbaar is en blijft? Wat heb je daartoe van tevoren al ingericht? Allemaal zaken om over na te denken wanneer je ISO 27001 wilt implementeren.
Hoeveel tijd kost ISO 27001?
Veel bedrijven worstelen met de ISO 27001-norm, simpelweg vanwege de enorme tijdsinvestering. De 114 maatregelen (waar we het eerder over hadden) zijn behoorlijk ‘breed’. Ze gaan bijvoorbeeld over de vraag óf, en zo ja welke, werknemers een geheimhoudingverklaring moeten tekenen of een VOG (Verklaring Omtrent Gedrag) dienen te overleggen. Bewustwording van je werknemers komt ook uitgebreid aan bod. Hoe behoren ze om te gaan met wachtwoorden? En mag er onderweg ingelogd worden op openbare netwerken?
Sommige van de 114 maatregelen zullen niet op jouw bedrijf of organisatie van toepassing zijn. Wanneer je bijvoorbeeld niet aan softwareontwikkeling doet, kun je al een aantal maatregelen uitsluiten. Maar over het algemeen kun je stellen dat je met ongeveer honderd van de 114 maatregelen aan de slag zult moeten.
Hoeveel tijd het behalen van de ISO 27001-norm kost, hangt ook af van de vraag hoe jouw IT-omgeving is ingericht. Heb je alle data bij externe partijen in de cloud opgeslagen of ‘on-premises’, op je eigen servers? Rennen je werknemers nog met usb-sticks rond? Maakt een van hen elke dag nog een back-up die hij op de fiets mee naar huis neemt? Met andere woorden: hoever is jouw organisatie al gevorderd wanneer het gaat om informatiebeveiliging?
Tot slot is de tijdsinvestering ook afhankelijk van de grootte en de aard van jouw bedrijf of organisatie. Zo kent de utiliteitsbouw heel andere datarisico’s dan een bedrijf dat aansluitingen voor internet verzorgt – en dus dagelijks toegang heeft tot lijsten met privéadressen en tal van andere persoonsgegevens. Over het algemeen kun je stellen dat – door de complexiteit en grootte van ISO 27001 – bedrijven driekwart tot een jaar nodig hebben om alle eisen voor deze norm te implementeren. Waarbij echt grote bedrijven rekening moeten houden met een implementatietijd van circa anderhalf jaar. Vooral voor bouwondernemingen, die qua IT vaak nog wat ‘traditioneel’ zijn, zal het behalen van ISO 27001 een behoorlijke kluif zijn.
Je informatiebeveiliging móét op orde zijn
Je weet inmiddels dat ProRail als deadline 1 juli 2021 hanteert, dus je zult aan de bak moeten! Temeer omdat veel bedrijven nog druk aan het worstelen zijn met de ‘normale’ managementsystemen. Of ze zijn net op adem gekomen van ISO 9001 en ISO 14001 (vernieuwd in 2015). Daar komt ISO 27001 dus nog eens bovenop. En eerlijk is eerlijk: bedrijven hebben het sowieso al druk.
Bedenk hoe dan ook: je informatiebeveiliging móét op orde zijn. Zo’n beetje alle bedrijven en organisaties maken namelijk deel uit van een keten. En die keten is net zo sterk als de zwakste schakel. Als jij alles goed geregeld hebt en je deelt je data met een onderaannemer die zijn IT-beveiliging niet op orde heeft, dan loop je nog steeds een behoorlijk risico. De kans dat jouw data verkeerd terechtkomen, blijft dan onverminderd groot, ondanks al jouw eigen inspanningen.
Audits en ISO 27001
Het eerste jaar dien je zelf alle genomen veiligheidsmaatregelen te toetsen. Vanaf het tweede jaar (met de controle audit) worden er steekproeven gehouden. Dit betekent dat in het eerste jaar jouw audittijden veel hoger zullen zijn dan je gewend bent (bijvoorbeeld bij ISO 9001 en 14001).
Om je een indicatie te geven: een bedrijf met 5 of 6 medewerkers moet het eerste jaar rekenen op een audit van 6 werkdagen. Dat aantal loopt bij bedrijven met circa vijfhonderd werknemers op tot 15 á 16 dagen. Een bouw/infra-bedrijf met honderd man personeel mag rekenen op 9 á 10 werkdagen per audit.
Vaak selecteren bedrijven twee auditoren om de impact iets te verkleinen; dus dan ben je er met zijn tweeën een volle werkweek zoet mee. En dat komt dus allemaal bovenop de eisen die alle overige certificeringen stellen!
Daarbij komt: in de zakelijke dienstverlening is meestal sprake van 1 of 2 gecertificeerde normen, maar in de bouw/infra is het vrij normaal om er 8 tot 10 te hebben, tot zelfs 20 of 28(!) certificeringen aan toe. Daar zijn werknemers dus sowieso al fulltime met audits bezig. En daaraan worden de eisen van ISO 27001 dan nog eens toegevoegd.
Tot slot
Nog een laatste opmerking over ProRail. Het bedrijf wil dat je aan alle eisen van ISO 27001 voldoet, maar… je hoeft de certificering als zodanig nog niet te hebben. Daarmee win je dus wat tijd in de aanloop naar 1 juli 2021. Al is de verwachting wel dat deze ‘coulance’ van overheden tijdelijk is. Dat kan ook niet anders. Stel, je bent een bedrijf dat installatiewerkzaamheden doet voor een ministerie. Dan heb je toegang tot het pand en waarschijnlijk ook tekeningen van het pand én van beveiligingsinstallaties. Tja, dan willen overheden uiteindelijk toch zwart op wit de zekerheid dat alles goed geborgd is en gegevens niet op straat kunnen belanden. Geef ze eens ongelijk!
Vergeet ook het expertinterview ISO 27001, dat je hier kunt vinden, niet te bekijken.
