Als ICT-dienstverlener sta je dagelijks stil bij de noden en wensen van je klanten. Maar dat is niet altijd zo eenvoudig. Voor de ene organisatie is een bepaald item van het allergrootste belang en moet dat absoluut in de overeenkomst worden opgenomen. Voor het andere bedrijf is dat niet eens een overweging waard. Toch zijn alle klanten het volmondig eens over één zaak: ze willen hun vertrouwelijke gegevens in veilige handen zien. Beveiliging van persoonlijke gegevens is een absolute noodzaak. En dat is meteen de hoofdreden waarom ISO 27001 voor ICT-dienstverleners een must is.
Dit managementsysteem voor informatiebeveiliging biedt enorme voordelen voor de ICT-dienstverlener. En de klant? Die kan er zeker van zijn dat zijn processen niet verstoord worden door diensten die hij heeft uitbesteed. Een duidelijke win-win dus en basis van vertrouwen.
Wat houdt ISO 27001 in voor ICT-dienstverleners?
ISO 27001 is de ISO-standaard voor informatiebeveiligingsmanagementsystemen, meer specifiek dé norm voor informatiebeveiliging. Deze standaard mag je echter niet zien als een handleiding om een dergelijk managementsysteem op te bouwen. Je bekijkt die beter als een gestructureerde set van richtlijnen die beschrijven waaraan je managementsysteem moet voldoen.
Zo brengt het een aantal belangrijke aspecten van informatiebeveiliging onder de aandacht. Bovendien krijg je de zekerheid dat een correcte implementatie het systeem voortdurend verbetert.
Opzet van ISO 27001 voor ICT-dienstverleners
Om beter te begrijpen hoe ISO 27001 werkt, kan je vertrekken van de volgende vraag: “Heb ik alle informatiebeveiligingsrisico’s onder controle?” Daarbij is het belangrijk om vast te stellen dat de risico’s zich op alle vlakken kunnen manifesteren.
Denk aan de wettelijke en contractuele bepalingen. Op het eerste gezicht lijkt het gemakkelijk om daaraan te voldoen. Ze worden immers geacht duidelijk te omschrijven wat het toepassingsgebied is en welke de gevolgen zijn wanneer ze niet of onvoldoende worden nageleefd.
Maar is dat wel zo?
-
Is van alle klanten eenduidig gedefinieerd welke gegevens ze hun dienstverlener toevertrouwen? En aan welke bijkomende voorschriften de dienstverlener moet voldoen?
-
Soms is de klant zelf niet goed op de hoogte aan welke eisen hij moet voldoen op het gebied van informatiebeveiliging. Wat moet hij doen als hij gegevens uit handen geeft? Maar dat verandert uiteraard niets aan de aansprakelijkheid van de dienstverlener, die moet altijd kwaliteit bieden.
-
Is er met elke klant die over persoonsgegevens kan beschikken een verwerkingsovereenkomst afgesloten? Elke handeling die de levenscyclus van informatie beïnvloedt moet je inderdaad als verwerking beschouwen. Ga je ervan uit dat de eigen gegevens als dienstverlener niet belangrijk genoeg zijn voor een hacker, dan vergis je je schromelijk. En ga je ervan uit dat je klanten te klein zijn om een interessant doelwit te vormen, dan vergis je je even sterk.
Elke onderneming kan al dan niet bewust het slachtoffer worden van hackers. Gelukkig beschermt een informatiebeveiligingsmanagementsysteem zoals ISO 27001 voor ICT-dienstverleners tegen veel meer dan alleen maar hackers.
Weet je wat de belangrijkste bron van gegevensverlies bij ondernemingen is? Dat zijn de eigen medewerkers die onvoldoende bewust zijn van de risico’s en de noodzaak om de procedures perfect te volgen. Phishing berichten worden steeds vernuftiger opgesteld waardoor mensen vatbaar blijven om er toch op te reageren zonder zich bewust te zijn van de risico's.
Stakeholder management onder ISO 27001
Naast de klanten en het eigen personeel houdt ISO 27001 ook rekening met andere stakeholders. Dat zijn alle groepen die door de onderneming als dusdanig geïdentificeerd worden. Dat is trouwens één van de pijlers van het zelfverbeterende karakter van een ISO 27001 managementsysteem voor ICT-dienstverleners.
Door regelmatig de verwachtingen van je stakeholders te evalueren – met inbegrip van wijzigingen in de strategie van concurrenten – kan je vroegtijdig reageren op veranderingen die het potentieel hebben om het bedrijfsresultaat positief te beïnvloeden.
Zo komt het steeds vaker voor dat afnemers van diensten van hun leveranciers eisen dat ze aan bepaalde minimumnormen voldoen. Op het vlak van informatiebeveiliging is een ISO 27001-certificaat één van de eerste vereisten die opgelegd worden.
Wie hier als ondernemer vroegtijdig op inspeelt heeft in de beginfase een groot concurrentieel voordeel. In een latere fase kan hij aantonen dat er brede ervaring aanwezig is in het beveiligen van informatie. Ook dat is een grote meerwaarde in de dienstverlening.
Toekomst van ISO 27001
Misschien heb je al gehoord dat de ISO 27001-standaard aan vernieuwing toe is? Er bestaat inderdaad een nieuwe versie van de begeleidende ISO 27002-standaard. Je kan als ondernemer dus overwegen om certificatie uit te stellen om later niet de lasten van een verouderd managementsysteem te moeten dragen.
Het gaat hier evenwel vooral om evolutionaire veranderingen. Het ingebouwde systeem van continue verbetering moet in staat zijn om het leeuwendeel van de aanpassingen zonder grote inspanningen door te voeren.
Bovendien hoeft de transitie niet in één keer te gebeuren, en dat kan meteen de oplossing zijn voor kleine en grote bedrijven. Je kan de nodige aanpassingen geleidelijk aan invoeren in de loop van een driejarige cyclus, de duur van de certificatieperiode. Je kan dit in de planning van de jaarlijkse controle-audits opnemen met als belangrijkste vereiste dat het managementsysteem ISO 27001 voor ICT-dienstverleners operationeel blijft en niet afgebouwd wordt.
ISO 27001-certificatie is een noodzakelijkheid voor elke ICT-dienstverlener
Het bovenstaande biedt een beperkt overzicht van redenen waarom ISO 27001-certificatie hoog op de lijst van doelstellingen moet staan van elke ICT-dienstverlener. Een goed opgebouwd managementsysteem voor informatiebeveiliging zoals ISO 27001 biedt ICT-dienstverleners niet alleen meer zekerheid over de eigen competenties op het vlak van informatiebeveiliging. Het heeft ook het potentieel om de klantentevredenheid te verhogen.
Een klant die weet dat zijn ICT-dienstverlener goed voorbereid is op incidenten en in staat is om daar snel en adequaat op te reageren zal vanzelfsprekend meer vertrouwen hebben in de competenties van de partner die zijn digitale gegevens beheert.
Meer informatie over ISO 27001 voor ICT-dienstverleners?
Heb je vragen over ISO 27001 en de certificatie ervan? Blijf er niet mee zitten maar stel ze ons gerust.
Neem contact op met TÜV NORD Integra.
Of mail naar Guy Buysse (gbuysse@tuv-nord.com).
