Diagnose

U beheerst informatiebeveiliging pas als u weet wat u te doen staat. Hiervoor bieden wij u ondersteuning door middel van diverse Diagnoses. U kunt elke diagnose zelf uitvoeren of gebruik maken van een instructiebezoek, begeleiding op afstand of locatie, of totale uitbesteding aan ons.

De Diagnoses hebben drie verschillende invalshoeken. Samen dekken ze alle punten die u helpen tot effectieve informatiebeveiliging te komen. Met onze diagnoses kunt u direct een plan van aanpak definiëren. 

Juridische Analyse (alle wetgeving)

Met deze analyse geeft u aan hoe u aan alle relevante wetten voldoet (op basis van ons overzicht). Daarna worden de verplichtingen van de Wet Bescherming Persoonsgegevens (WBP) en Algemene Verordening Gegevensbescherming (AVG / GDPR) doorgenomen en het verplichte register van bewerkingen vastgelegd.

  • Vastlegging van het verplichte register
  • Weloverwogen vastlegging van specifieke beleidspunten / overwegingen van de wet
  • Ondersteund met een praktische algemene procedure voor de overige verplichtingen in de wet
  • Naadloze integratie met díe technische en organisatorische die u moet invoeren om informatiebeveiliging écht te beheersen: de Security Risico Analyse en door u gekozen eventuele vervolgstappen.

Security Risico Analyse

De Security Risico Analyse (SRA) gaat in op alle 14 aandachtsgebieden uit de internationaal – ook door de toezichthouders -  erkende ISO 27002 norm. De SRA is dan ook uitstekend (her)bruikbaar als interne auditlijst. De aandacht gaat vooral uit naar specifieke maatregelen en instructies op praktijkniveau. U past deze Diagnose toe als u wilt weten welke praktische beheersmaatregelen u door moet voeren om uw informatiebeveiliging direct te verbeteren. Enkele voorbeelden:

  • Hebben uw medewerkers en leveranciers een geheimhoudingsverklaring getekend?
  • Zijn uw overzichten van hard- en software (denk ook aan licenties!) actueel, ook ten behoeve van verzekeringen?
  • Hoe staat het met de mogelijkheid van vreemden om in uw organisatie te komen?
  • Hoe staat het met het gebruik van smartphones en laptops via onbeveiligde netwerken wanneer uw mensen op pad zijn?
  • Zijn taken, rechten en rollen voldoende gescheiden om onbedoelde wijzigingen van informatie te voorkomen?
  • Hebben wij onze systemen voldoende betrouwbaar uitgevoerd (redundancy) en hoe snel kunnen wij weer operationeel zijn bij een incident?

Diagnose Risicobeoordeling (BIV) en classificatie

Deze diagnose is onderdeel van de bouwfase van ISO 27001. U brengt (verder) in kaart welke informatie er is in uw organisatie, op het niveau van afdelingen en computersystemen. Gegevens van uw eigen organisatie (personeelsdossiers, financiële gegevens, intellectueel eigendom) én gegevens van uw klanten.

Op basis daarvan kan bepaald worden welke eisen er gelden aan de informatiesystemen waar deze informatie in aanwezig is. Die eisen betreffen:

  • Beschikbaarheid: binnen welke termijn moeten gegevens beschikbaar kunnen zijn, en hoe erg is het als gegevens onherroepelijk verloren gaan? Dit is bepalend voor eigen beheersmaatregelen (bijvoorbeeld een betrouwbare stroomvoorziening) én prestatiecontracten met uw leveranciers (bijvoorbeeld responstijd, backups).
  • Integriteit: hoe belangrijk is het dat de gegevens juist en volledig zijn, en dat wijzigingen alleen door competente en geautoriseerde personen uitgevoerd worden? Dit kan bepalen welke controles, rollen en rechten, en registratie van wijzigingen nodig zijn.
  • Vertrouwelijkheid: hoe belangrijk is het dat alleen geautoriseerde personen toegang hebben tot de informatie? Dit kan bepalen zijn voor bewustzijn tijdens het werken, authenticatie, of wettelijke verplichtingen.
  • U gebruikt deze diagnose om de verantwoordelijken voor die informatie aan te wijzen, beheersmaatregelen in te richten, respons op incidenten vorm te geven én de juiste (contractuele) afspraken rondom soorten informatie met uw klanten en leveranciers te maken.

Meer informatie?

Maak gebruik van het contact-formulier om meer informatie te vragen.