SeKuRiGo
  • Home
  • Blog
  • Contactgevens
  • Klanten
  • Privacyverklaring
  • Algemene voorwaarden

ISO 27001 certificaat schept ook verplichtingen

29/10/2012

0 Reacties

 
Van onbewust risico lopen naar bewust risico nemen
De afgelopen maanden zijn op het vlak van informatiebeveiliging de nodige incidenten voorgevallen, ook bij de Rijksoverheid. Steeds meer incidenten zorgen ervoor dat informatiebeveiliging op de agenda’s van CxO’s blijft staan. Gevolg van de incidenten was vooral reputatieschade, waarbij een aantal van de organisaties ook ISO 27001 gecertificeerd was.

Belangrijk om te weten is dat het ISO 27001 certificaat zelf geen garantie biedt over de mate van implementatie van bepaalde beveiligingsmaatregelen. Het zegt iets over het proces. Niet over de effectiviteit van de implementatie. Het proces moet continu getoetst en indien nodig verbeterd worden. In dit laatste aspect zit vaak het probleem. Men gaat er veelal vanuit dat een gegarandeerd beveiligingsniveau geboden wordt door een organisatie met een ISO 27001 certificaat, ondanks dat dit in vele gevallen geen onderdeel is van een contract of SLA.

Risicoanalyses en audits zijn over het algemeen een momentopname, gebaseerd op een op dat moment beeld van het ‘gebruikers – en technisch perspectief’. Zodra dit door een update verandert, kan er door deze verandering een nieuw risico ontstaan en kan een eerdere effectieve maatregel niet meer toereikend zijn of volledig afwezig zijn. Het is dus zaak deze risicobeoordelingen en afwegingen frequent uit te voeren en bij voorkeur onderdeel te laten zijn van het reguliere wijzigingenproces. Hierbij zijn goede wijzigingsprocedures met gedegen impactanalyses en triggers voor het uitvoeren van risicoanalyses, essentieel voor het risicomanagementproces en de selectie van beveiligingsmaatregelen.

Veel CxO’s maken zich op dit moment drukker om de eerstvolgende controle audit. Maar wanneer de organisatie zich bij het risicomanagementproces ook richt op de wijzigingen, is de kans zeer groot dat het wel goed komt met de controle audit en u uw certificaat behoudt en het beveiligingsniveau zelfs verhoogt.

Dit is echter nog geen garantie op het voorkomen van incidenten!

Lees het volledige artikel op http://www.complions.nl/uploadfiles/Nieuwsbrief%202012-3-V1.1.pdf
0 Reacties



Laat een antwoord achter.

    Theo Heinsbroek
    Adviseur informatiebeveiliging / Security manager /
    Risicomanagement ipv - mijding /
    Secure business enabler /
    Pragmatische houding /
    Balans /


    Archives

    November 2018
    April 2016
    Mei 2015
    Februari 2015
    Mei 2014
    April 2014
    Maart 2014
    December 2013
    November 2013
    Oktober 2013
    September 2013
    Augustus 2013
    Juli 2013
    Juni 2013
    April 2013
    Maart 2013
    Februari 2013
    Januari 2013
    December 2012
    Oktober 2012

Aangestuurd door Maak uw eigen unieke website met aanpasbare sjablonen.