Inleiding

Top  Previous  Next

 

 

Waarom een Data Security RI&E?

 

 

Een Data Security Risico Inventarisatie & Evaluatie is hét vertrekpunt wanneer u de Data Security - informatiebeveiliging - in uw organisatie blijvend op niveau wilt houden. Een RI&E maakt namelijk gebruik van een georganiseerde lijst van de meest belangrijke te beheersen maatregelen in uw bedrijf.

 

Voor informatiebeveiliging betekent dit dat uw, via een aantal voorgedefinieerde vragen, kunt werken aan:

 

Garanderen dat uw informatie altijd beschikbaar is. Uw systemen vallen zelden uit en zijn beschermd tegen malware zoals ransomware. Daardoor valt uw bedrijf niet stil en verliest u geen omzet.

 

Garanderen dat uw informatie correct verwerkt wordt en de juiste informatie bevat (integriteit). Hierdoor communiceert u de juiste informatie met relaties én voorkomt u de fouten waardoor u producten en diensten opnieuw moet leveren.

 

Garanderen dat uw informatie vertrouwelijk blijft, waardoor uw klanten kunnen vertrouwen op uw dienstverlening en u voldoet aan het invoeren van redelijke beheersmaatregelen, wat moet op basis van privacywetgeving en de bescherming van persoonsgegevens (Algemene verordening gegevensbescherming, ook wel AVG of GDPR).

 

In deze pagina kunt u algemeen lezen wat de inhoud en het nut is van de Data Security RI&E en doorlinken voor verdiepende informatie.  Wilt u direct aan de slag? Dan kunt u hier lezen hoe u met het programma werkt of direct registreren en inloggen.

 

De kracht van deze Data Security RI&E is dat deze direct gebruik maakt van de beste technieken voor bedrijfskundig management, technische- en organisatorische beheersmaatregelen uit de internationaal erkende ISO 27001 norm. Hierdoor bent u altijd 'op niveau', heeft u geen blinde vlek en hoeft u zelf niet uit te zoeken wélke risico's voor u relevant zijn.

 

U bepaalt wél zelf hoe belangrijk een bepaald risico voor u is, en hoe snel u dit onder controle wilt hebben door een beheersmaatregel door te voeren. Deze RI&E maakt namelijk direct voor een u Plan van Aanpak, waarbij het programma aangeeft welke maatregelen normaal als urgent gezien moeten worden en welke minder dringend zijn. De Data Security RI&E kan deze acties (en vaste taken) koppelen aan medewerkers die u opvoert,

 

Er is geen verplichting dat u alle verbeteracties uit het Plan van Aanpak uitvoert. Wél is het vreemd en zelfs onverantwoord als uw organisatie belangrijke risicofactoren open laat, zoals het bijvoorbeeld niet beveiligen van uw website, het niet actueel houden van uw software (patches en updates), of het niet maken van backups. U bepaalt dus zelf uw niveau en uw acties.

 

Als u de Risico Inventarisatie & Evaluatie geheel uitvoert, dan heeft u gelijk uw risico's bepaald conform de ISO 27001 norm. U hoeft dan 'alleen nog maar' de acties bij elke vraag uit te voeren. Hoeveel werk dat voor uw organisatie is, hangt er vanaf hoe lang uw organisatie al bewust aan informatiebeveiliging werkt. Het wel belangrijk dat u beseft dat uw organisatie verschillende soorten kennis en vaardigheden nodig heeft om Data Security echt te beheersen. U heeft mensen nodig, intern of extern, die op strategisch, tactisch en operationeel niveau kunnen handelen - daarvoor is ook kennis van wetgeving, management, systeembeheer, hardware en software noodzakelijk.

 

Daarnaast dient u op basis van de Algemene verordening gegevensbescherming een aantal zaken te regelen, die u ook binnen de Data Security RI&E kan vastleggen. Zo moet u een register van gegevensverwerkingen opstellen - dit kan binnen dit programma. Verder kunt u uw incidenten bijhouden, zodat u óók een correcte registratie en eventuele melding van een datalek kunt uitvoeren.

 

Het is zelfs mogelijk dat uw organisatie een Data Protection Impact Assessment (DPIA) moet uitvoeren. Veel organisaties zullen dit niet hoeven doen of kunnen verwijzen naar een standaard DPIA. Een DPIA is nodig wanneer uw organisatie structureel met (bijzondere of gevoelige) persoonsgegevens werkt. U kunt de resultaten van uw DPIA(s) vastleggen in de Data Security RI&E.

 

U begrijpt dat wij als ontwikkelaars van dit programma ons inspannen om de informatie in de Data Security RI&E actueel te houden. De ontwikkelingen op het gebied van Data Security gaan echter snel, en ook wetgeving en handhaving hiervan is een relatief nieuwe taak voor de toezichthouder. Als ontwikkelaars kunnen wij ook niet garanderen dat u op basis van gebruik van de Data Security RI&E echt 'veilig' bent - omdat wij niet kunnen zien hoe uw gedrag in de praktijk is. Daarom kunnen aan het gebruik van de Data Security RI&E geen rechten ontleend worden.