ISO Certificeringen, wat zijn het en wat is de toegevoegde waarde?

Sinds 2015 is Shock Media ISO27001:2013 en NEN7510:2011 gecertificeerd. Een zeer waardevolle toevoeging voor Shock Media en haar klanten, maar wat houdt zo’n certificering nou eigenlijk in?

Door de jaren heen zijn er wereldwijd verscheidende normen ontwikkeld voor systemen, producten en werkwijzen. Deze doorgaans verschillende normen, die specifiek per land werden ontwikkeld, hadden als gevolg dat landen verschillende eisen en richtlijnen hanteerden. Dit resulteerde in veel onduidelijkheden bij handel en overleg tussen landen. Om meer uniformiteit en duidelijkheid te creëren zijn ISO normen in het leven geroepen. In een ISO norm worden eisen gesteld waaraan een organisatie met al haar processen en procedures dient te voldoen. Wanneer een organisatie voldoet aan de gestelde eisen komt zij in aanmerking voor een ISO certificering. Echter, moet een organisatie hiervoor een streng certificeringstraject doorlopen wat wordt geleid door een erkende certificatie-instelling.

Kevin Roelofs

Business Consultant

Shock Media gaat vanaf dag één zorgvuldig en vertrouwelijk om met informatie. Daarnaast  zorgt Shock Media altijd voor een optimale beveiliging van informatie en de bijbehorende afgenomen diensten van haar klanten. Om dit ook feitelijk te kunnen aantonen heeft Shock Media besloten om zich te laten certificeren. In 2015 heeft Shock Media het certificeringstraject succesvol doorlopen en voldoet hierdoor met al haar processen, procedures en systemen aan de ISO270001 en de NEN7510 normering.

De certificeringen 

De ISO27001 is de internationale norm voor informatiebeveiliging en omvat een scala aan eisen met betrekking tot het beheer van informatieveiligheidsrisico’s. Deze norm draagt zorg voor een uniform beleid waardoor er op een betrouwbare manier met informatie wordt omgegaan en dat de beschikbaarheid en integriteit van informatie te allen tijde wordt gewaarborgd.

De NEN7510:2011 is de Nederlandse norm voor informatiebeveiliging in de zorg en staat voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die benodigd is om patiënten verantwoordelijke zorg te bieden. Door het behalen van de NEN7510 certificering toont Shock Media aan dat zij voldoet aan de wettelijke bepalingen voor patiëntengegevens en de wettelijke eisen rondom de informatiebeveiliging van het Elektronisch Patiënten Dossier. Doordat Shock Media is gecertificeerd voor deze norm wordt het voor zorginstellingen eenvoudig om ook uitbestede diensten te laten conformeren aan deze standaard.

Waarborging van de normen

Shock Media heeft een Security Officer aangesteld die toezicht houdt op de waarborging van de normen. De normen gaan namelijk veel verder dan alleen het nemen van praktische maatregelen zoals bijvoorbeeld security updates en firewalling. De normen focussen zich met name op de procedures, de organisatie, haar medewerkers en het continu verbeteren. Het gehele managementsysteem van een organisatie moet in lijn zijn met de eisen van de normen. Daarnaast moet het managementsysteem zo worden ingericht dat het op lange termijn effectief en efficiënt is, ook moet het mee kunnen veranderen bij interne en externe veranderingen. Shock Media zet dit managementsysteem ook in voor de continue verbetering van haar gehele dienstverlening.

Het managementsysteem

Om het managementsysteem vorm te geven heeft Shock Media het Plan-Do-Check-Act (PDCA) principe gebruikt, oftewel; plannen, uitvoeren, controleren en bijsturen. Middels deze methode wordt continue verbetering van informatieveiligheid gewaarborgd en verankerd in de gehele organisatie. In de ‘’Plan’’ fase wordt het managementsysteem ingericht. Hierbij worden potentiële risico’s en passend beleid in kaart gebracht. In de ‘’Do’’ fase wordt dit beleid geïmplementeerd en wordt de werking hiervan getoetst. In de ‘’Check’’ fase wordt de efficiency en effectiviteit van het managementsysteem getoetst en geëvalueerd. In de laatste fase, de ‘’Act’’ fase, worden eventuele noodzakelijke wijzigingen doorgevoerd die ervoor moeten zorgen dat het managementsysteem zo optimaal mogelijk functioneert.   

In het verlengde van het PDCA principe worden elk jaar nieuwe informatieveiligheid doelstellingen gesteld, welke worden vormgegeven middels het SMART-principe (Specifiek, Meetbaar, Acceptabel, Realistisch, Tijdsgebonden). Deze doelstellingen worden onder andere bepaald op basis van een risicoanalyse. Door het inventariseren van risico’s met betrekking tot informatieveiligheid worden alle mogelijke risico’s in kaart gebracht. Hierbij wordt ook rekening gehouden met de wet- en regelgeving zoals die op dat moment van toepassing is. Het behalen en behouden van de certificeringen is dan ook geen eenmalig project, maar is een doorlopend proces in een organisatie. Enkele praktische zaken die bij ons voortvloeien uit het managementsysteem zijn:

  • Registratie en classificatie van incidenten;
  • Strenge controle op identiteit en bevoegdheid van klanten bij telefoongesprekken, e-mails en bezoek aan ons kantoor;
  • Vernietiging van data op harde schijven en andere datadragers, ook als deze bijvoorbeeld voor een RMA procedure worden verzonden;
  • Classificatie van documenten en regels zodat vastgelegd is wie inzicht mag hebben in documenten.
  • Door incidentenregistratie, security analyses en structurele overleggen is er beter bekend welke zaken er op security gebied spelen en worden incidenten altijd opgevolgd. Als voortvloeisel hieruit word, indien nodig, het beleid en/of procedures weer verbeterd;
  • Duidelijke procedures voor calamiteiten vastgelegd als onderdeel van Continuity Management;
  • Medewerkers zijn, doormiddel van trainingen en beleid, continu bewust van de implicaties van acties op security gebied. Dit is vaak ook weer een voedingsbron voor overleg en het continu verbeteren van het managementsysteem.

De toegevoegde waarde

Het moge duidelijk zijn dat een certificering enerzijds veel inspanning vergt van een organisatie, maar dat het anderzijds een grote toegevoegde waarde heeft, zowel voor een organisatie zelf als voor haar klanten. Middels de ISO27001 en de NEN7510 certificering kan Shock Media haar klanten namelijk vertrouwelijkheid garanderen, waarbij (online) informatie alleen toegankelijk is voor de betreffende geautoriseerde personen. Daarnaast kan Shock Media garanderen dat de data en de bijbehorende omgeving van haar klanten op adequate wijze worden beveiligd en dat processen continue worden bewaakt en verbeterd.

Terug naar nieuwsoverzicht

Hulp nodig, vragen of opmerkingen?

+31 (0) 546 - 714360

Meer actueel

Fantastische editie Hemelgames 2019!

Ook dit jaar was Shock Media weer hoofdsponsor van het Hemelgames Festival dat voor de vijfde keer georganiseerd werd. Dit jaar alleen geen "games" meer, des te meer tijd voor goede muziek en ontspanning! Natuurlijk waren we met een groep collega’s van de partij. Lees snel verder voor de foto’s die een beeld geven van de zeer geslaagde dag:

Kwetsbaarheden in Intel processoren

Deze week zijn er verschillende, zeer grote, kwetsbaarheden aan het licht gekomen in Intel processoren die met name worden gebruikt in laptops, computers en servers. Onderzoekers vonden deze kwetsbaarheden enkele maanden geleden en meldden deze in het geheim bij Intel. Deze kwetsbaarheden kunnen misbruikt worden middels zogenaamde Microarchitectural Data Sampling (MDS) aanvallen, waaronder de zogenaamde RIDL, Fallout en Zombieload aanvallen. De gevonden kwetsbaarheden kunnen mogelijk een zeer grote impact hebben op de veiligheid van digitale informatie en systemen.

Trotse hoofdsponsor van het Bevrijdingsfestival Gelderland 2019!

Bevrijdingsdag is elk jaar de dag waarop Nederland haar vrijheid viert. Een belangrijk moment om bij stil te staan en iets waar wij als organisatie trots op zijn om dit te kunnen sponsoren. Op het officiële Bevrijdingsfestival Gelderland 2019 waren wij dit jaar dan ook prominent aanwezig. Zie hieronder voor een sfeerimpressie van deze dag!