Informatiebeveiliging, waar gaat het over?

Informatiebeveiliging, waar gaat het over?

 

Drie pijlers Informatieveiligheid

Drie pijlers Informatieveiligheid

Informatieveiligheid.

Een belangrijk onderwerp dat in tegenstelling tot bijvoorbeeld in de zorgsector, nog niet voldoende aandacht krijgt in de bibliotheekbranche. Toch liggen er zware verplichtingen aan bibliotheken als verwerkers van persoonsgegevens, om daar – aantoonbaar – zeer zorgvuldig mee om te gaan. Een van de belangrijkste verplichtingen hiertoe wordt genoemd in artikel 13 in de Wet bescherming persoonsgegevens. Een belangrijke norm in dit kader is de internationale ISO 27000 norm, waarin ruim 130 maatregelen worden beschreven die een organisatie kan treffen om informatieveiligheid te waarborgen. Voor zorginstellingen is de NEN 7510 hier rechtstreeks van afgeleid.
Het beste zou zijn dat bibliotheken kunnen aantonen dat zij onafhankelijke audits laten verrichten, waarin wordt getoetst in hoeverre zij voldoen aan de eisen op het gebied van informatiebeveiliging.
Informatieveiligheid wordt vaak in de hoek van ICT geplaatst. En inderdaad wordt het onderwerp urgenter naarmate meer (klant-) gegevens digitaal in eigen systemen of “in the cloud” worden bewaard. Daarmee is het echter nog steeds een aangelegenheid die de gehele organisatie betreft, zoals nevenstaande afbeelding aangeeft.
Informatieveiligheid begint met geformuleerd beleid, classificatie van systemen en gegevens en een risicoanalyse. Daarvan afgeleid kunnen procedures, richtlijnen en handleidingen worden opgesteld (“Papier”). Daar moet naar worden gehandeld door de medewerkers (“Mensen”) en de ICT-infrastructuur erop te dient er op te zijn ingericht (“Techniek”).

Verandering!
Er dient beleid te zijn geformuleerd, procedures, richtlijnen en handleidingen te zijn opgesteld (“Papier”). Daar moet naar worden gehandeld door de medewerkers (“Mensen”) en ten slotte dient de ICT-infrastructuur erop te zijn ingericht (“Techniek”). Verbeterplannen dienen dan ook op al deze drie gebieden te zijn gericht. Waarbij uiteraard de borging van de verbeteringen niet mag ontbreken!

Hiervoor hebben wij een Quick Scan ontwikkeld waarin zowel organisatie als ICT (techniek) tegen het licht worden gehouden. Op basis van drie korte interviews en een aantal dagen scannen van het ICT-netwerk wordt een heldere en concrete rapportage opgeleverd met aanbevelingen.

Grafiek status Informatieveiligheid

Grafiek status Informatieveiligheid

Hiervoor gebruiken wij een softwareoplossing waarmee alle resultaten niet alleen beheerd, maar ook uitstekend zichtbaar gemaakt kunnen worden voor het hoogste management tot en met de ICT-beheerafdeling. De status van de organisatie met betrekking tot compliancy wordt op het hoogste niveau in 1 grafiek gepresenteerd.