Ondanks de snelheid en de groeiende commerciële impact van beveiligingsinbreuken, controleren de meeste instellingen de digitale beveiliging nog steeds op een manier die is ontworpen om de aanvallen van gisteren het hoofd te bieden door belastende beperkingen te gebruiken die innovatie belemmeren.

Toevoegingen

ISO 27001 creëert een raamwerk om de waardevolle informatie van de organisatie – inclusief persoonlijke gegevens – op een veilige en geloofwaardige manier te beschermen. De norm definieert de vereisten voor een informatiebeveiligingsbeheersysteem (ISMS) dat gericht is op bescherming tegen onder meer verwijdering, lekken of verlies van toegang tot gegevens. Tegelijkertijd zorgt het ervoor dat bedrijven voortdurende veiligheidsinspanningen blijven leveren, waarbij risicobeoordeling en afhandeling van gebeurtenissen een hedendaagse bescherming van informatie creëren. Het is in lijn met de gdpr-wetgevingstekst, die organisaties onder meer oproept om passende technische en organisatorische maatregelen te nemen om een beveiligingsniveau te waarborgen dat overeenkomt met het risico. Hieronder staan 5 gebieden waar ISO 27001 direct voldoet aan de GDPR-vereisten:

Eerste documentatie

De overgang naar GDPR betekent dat bedrijven nu hun naleving van de wet moeten kunnen documenteren. Dit is ook een voorwaarde om te voldoen aan de vereisten van ISO 27001 – als het niet kan worden gedocumenteerd, worden de vereisten geacht niet te zijn voldaan. Ergo: Er moet een overzicht zijn van persoonsgegevens, een rapport met betrekking tot risicobeoordeling, een logboek van gebeurtenissen, enz.

2e Overzicht van persoonsgegevens

Een overzicht van de kritieke en gevoelige gegevens van het bedrijf is in ISO 27001 de sleutel tot het aanwijzen van relevante veiligheidsmaatregelen. Dit is ook een vereiste voor persoonlijke gegevens in GDPR om te bepalen waar, hoe en hoe lang gegevens worden opgeslagen, wie er toegang toe heeft, enz.

Derde risicobeoordeling

Gdpr verplicht bedrijven om risicobeoordelingen uit te voeren om risico's te identificeren voor het compromitteren van de persoonlijke gegevens van EU-burgers. Dit geldt ook voor de implementatie van nieuwe systemen of het opzetten van nieuwe bedrijfsprocessen. Evenzo vereist ISO 27001 dat bedrijven een relevante beveiligingsrespons vaststellen door middel van risicobeheer, dwz. de waarschijnlijkheid van verschillende gebeurtenissen te beoordelen en de overeenkomstige gevolgen voor de gegevens van de betrokkenen te identificeren.

4. Pauzes

GDPR verplicht bedrijven om de autoriteiten binnen 72 uur op de hoogte te stellen van een mogelijke datapauze. Het kan ook een kennisgeving aan de betrokkenen omvatten. Op dezelfde manier stelt ISO 27001 eisen aan het omgaan met afwijkingen en stelt het gebeurtenisafhandelingsprocessen voor.

5e Evaluatie en voortdurende verbeteringen

Het is een onderliggend precedent voor naleving van GDPR, dat organisaties een aantal workflows opzetten die zorgen voor voortdurende bescherming van persoonsgegevens, ongeacht het dreigingsbeeld, nieuwe behandelingen of veranderingen in bedrijfsprocessen. Hier biedt de ISO 27001 een toolbox met activiteiten die zorgt voor een adequate bescherming van informatie, zelfs wanneer de context verandert. Evaluatie van beveiligingscontroles, interne audits en managementevaluatie zijn belangrijke componenten voor het handhaven en continu verbeteren van gegevensbescherming.

Waarde

Bedrijven zijn in staat om de strengste verdedigingsmechanismen tegen belangrijke informatiemiddelen in te stellen. We helpen klanten te beslissen wat ze willen beschermen en hoeveel ze nodig hebben door een combinatie van ISO27000 die bedrijven helpt hun bedrijfsrisico's en activa te prioriteren, evenals strategieën en tactische plannen die de risicomogelijkheden van het bedrijf aanpassen.