SecVision helpt veel organisaties met het voldoen aan de eisen van normenkaders. Van een eerste nulmeting tot het begeleiden naar een certificering. We hebben veel ervaring met de belangrijkste normenkaders op het gebied van informatiebeveiliging en privacy.
ISO27001
De IEC/ISO27001 is een internationale norm op het gebied van informatiebeveiliging. De norm beschrijft een “Information Security Management System” (ISMS). Dit ISMS helpt een organisatie de informatiebeveiliging aantoonbaar onder controle te krijgen en te houden. De basis hiervan is de bekende plan-do-check-act-cyclus.
SecVision helpt met het in kaart brengen waar u staat ten opzichte van deze norm en vervolgens met het implementeren van de juiste maatregelen.
NEN7510 en BIO
De NEN7510 voor de zorgbranche en de BIO (Baseline Informatiebeveiliging Overheid) zijn beide afgeleid van de ISO27001. SecVision heeft veel ervaring met beide normenkaders en het implementeren hiervan binnen uw zorginstelling, overheidsinstelling of toeleverancier.
AVG / GDPR
Sinds 25 mei 2018 is iedere organisatie verplicht te voldoen aan de Europese privacyverordening: de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). De AVG zorgt ervoor dat de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt) wordt verstevigd. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. De AVG stelt verder dat organisaties onder andere passende technische en organisatorische maatregelen moet nemen om verwerkte persoonsgegevens te beschermen. De toezichthoudende partij in Nederland is de Autoriteit Persoonsgegevens. Deze organisatie handhaaft namens de Nederlandse overheid en is bevoegd boetes uit te delen.
SecVision heeft inmiddels veel privacyvraagstukken op een pragmatische manier beantwoord en ingevuld.
NIS2
De Network and Information Security Directive (NIS2-richtlijn), is eind 2022 vastgesteld door de Europese Unie, en moet bijdragen aan de beveiliging van netwerk- en informatiesystemen). De NIS2 is de opvolger van de eerste NIS-richtlijn, ook wel bekend als de NIB, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). NIS2 is een initiatief van de Europese Unie om een hoog gemeenschappelijk niveau van cybersecurity te waarborgen. De NIS2-richtlijn breidt de reikwijdte van de NIS/NIB uit, introduceert strengere beveiligingseisen en verhoogt de meldplicht voor incidenten. De precieze implementatie zal verschillen per EU-lidstaat, omdat de richtlijn in iedere lidstaat naar lokale wetgeving vertaald moet worden. Maar er zijn enkele kernacties, processen en procedures die overal van toepassing zullen zijn, evenals bewijsstukken die organisaties moeten verzamelen en bewaren om aan de vereisten te voldoen. Niet iedere organisatie in Nederland hoeft aan de NIS2 te voldoen, het hangt af van een aantal factoren, waaronder de bedrijfsactiviteiten en de bedrijfsgrootte.
CIS Controls
De CIS Controls (voorheen bekend als de SANS Critical Security Controls) is een lijst met 18 maatregelen, verdeeld over een drietal groepen: basic, foundational en organizational. De gedachte is dat wanneer een organisatie deze basishygiëne op orde heeft, het grootste gedeelte van alle cyber-ellende voorkomen kan worden. In tegenstelling tot de ISO27001 zijn de CIS Controls meer technisch van insteek. Ook bevat de CIS Controls geen richtlijnen voor een plan-do-check-act cyclus en vormen daarmee een best practice. De twee kaders mogen dus eigenlijk niet met elkaar worden vergeleken.
Hoewel de CIS Controls niet automatisch de eerste keus zijn als normenkader is het voor sommige organisaties enorm waardevol om met de CIS Controls aan de slag te gaan. Of naast, of in plaats van ISO27001.
Diensten
Voor de verschillende normenkaders kan SecVision helpen met de volgende diensten:
- Nulmeting;
- Verbeterplan;
- Risicomanagement;
- Inrichten ISMS;
- Audits.
In alle gevallen worden de relevante risico’s ten aanzien van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie in relatie tot de bedrijfsvoering in kaart heeft gebracht. Deze risico’s worden beperkt tot een acceptabel niveau door het inregelen van een stelsel van maatregelen.
De maatregelen worden vastgelegd in het ISMS en zorgen samen voor het gewenste niveau van beveiliging. Door middel van continue verbetering (plan-do-check-act) wordt het niveau van informatiebeveiliging steeds passender voor uw organisatie en bent u in staat om in te spelen op nieuw ontstane risico’s.