'ISO 27001 laat zien dat we onze risico’s beheersen'
Een ISO 27001-certificaat is drie jaar geldig onder de voorwaarde dat je jaarlijks een controle-audit laat uitvoeren en de bevindingen opvolgt. De eerste controle-audit bij RINIS heeft inmiddels plaatsgevonden. Aanleiding voor een gesprek met Oscar Varas Roman, Information Security Officer (ISO, rechts op de foto), en Marc Hagemeijer, Chief Information Security Officer (CISO, links op de foto).
Wat betekent het dat RINIS ISO 27001-gecertificeerd is?
‘Het laat zien dat RINIS een managementsysteem heeft voor informatiebeveiliging, een Information Security Management System (ISMS). Daarmee wordt geen softwaresysteem bedoeld, maar een proces om risico’s te beheersen op het gebied van informatiebeveiliging. Het certificaat laat zien dat het management van RINIS inzicht heeft in de belangrijkste risico’s op het gebied van informatiebeveiliging en maatregelen neemt om die risico’s te beheersen of verlagen.’
Waarom is ISO 27001 zo belangrijk?
‘RINIS staat voor gegarandeerd, betrouwbaar en veilig gegevensverkeer. Met dit certificaat tonen we aan dat we de belangrijkste veiligheidsrisico’s beheersen. Het is bovendien een internationaal certificaat. Dat is belangrijk voor het groeiende aantal internationale uitwisselingen dat we verzorgen.’
‘Met het ISO 27001-certificaat tonen we aan dat we bewust en structureel omgaan met informatiebeveiliging. Daarin zijn we binnen de overheid echt een voorloper.’
Onderscheidt RINIS zich daarmee?
‘In het bedrijfsleven is het ISO 27001-certificaat heel gebruikelijk, binnen de overheid nog niet. Met dit certificaat tonen we aan dat we bewust en structureel omgaan met informatiebeveiliging. Daarin zijn we binnen de overheid dus echt een voorloper. Dat is niet zonder reden: we spelen een belangrijke rol in de e-overheid. Het certificaat is een van de manieren waarop we onze deelnemers en afnemers ontzorgen.’
Wat is de relatie met BIO, de Baseline Informatiebeveiliging Overheid?
‘De ISO 27001-norm beschrijft onder andere een verzameling maatregelen die nodig zijn voor een acceptabel beveiligingsniveau. De overheid heeft die maatregelen overgenomen, verder uitgediept en als BIO verplicht gesteld voor overheidsorganisaties. We streven ernaar om in de loop van dit jaar ook BIO-compliant te zijn. Dit gaan we aantonen met een ISAE3000-verklaring’.
Is er ook een certificaat voor de AVG, de Algemene verordening gegevensbescherming?
‘Je kunt je nog niet laten certificeren op dit gebied, maar daar wordt aan gewerkt. Wij wachten dat niet af. Zodra we BIO-compliant zijn, gaan we ons bedrijfsbeleid verrijken met aanvullende eisen die voortvloeien uit de AVG en de ISO27701.’
Hoe zorgen jullie ervoor compliant te zijn, dus aan wet- en regelgeving te voldoen?
‘Als eerste stap hebben we de belangrijkste wet- en regelgeving geïnventariseerd op het gebied van informatiebeveiliging. Die zijn we samen met een jurist volledig aan het doornemen: wat is relevant voor RINIS en wat betekent het concreet? De betekenis van relevante wet- en regelgeving verwerken we vervolgens in één integraal bedrijfsbeleid. Dat maken we SMART en borgen we in de organisatie. We hoeven dus alleen ons bedrijfsbeleid te volgen om te voldoen aan alle relevante wet- en regelgeving voor informatiebeveiliging.’
Hoe zorg je ervoor dat het bedrijfsbeleid wordt opgevolgd?
‘Wij leggen het bedrijfsbeleid vast in ons kennismanagementsysteem Confluence. De verantwoordelijkheid voor de operationele maatregelen binnen het bedrijfsbeleid koppelen we aan rollen. Iedereen weet dus precies welke rol voor welke maatregelen verantwoordelijk is en wat de beoordelingscriteria zijn. In het derde kwartaal van dit jaar gaan we via een interne audit het volwassenheidsniveau van elke maatregel scoren zodat we weten in welke mate we voldoen aan ons eigen bedrijfsbeleid en dus aan relevante wet- en regelgeving.’
En wat gebeurt er bij een wetswijziging?
‘In dat geval brengt de compliance officer eerst in kaart wat de verschillen zijn met de huidige situatie en of dat relevant is voor RINIS. Zo ja, dan gaan we na of het bedrijfsbeleid moet worden aangepast. In dat geval worden alleen de medewerkers geïnformeerd die verantwoordelijk zijn voor gerelateerde maatregelen. Medewerkers hoeven dus bijvoorbeeld niet zelf een nieuwe versie van de AVG door te worstelen en worden maximaal gefaciliteerd om te voldoen aan wet- en regelgeving.’