Ze vliegen je tegenwoordig om de oren: de Baseline Informatiebeveiliging. De BIG, BIR, BIWA, BIO, BIC, ga zo maar door. Maar waarom zijn die Baselines Informatiebeveiliging sinds kort zo in trek? En waar kan de organisatie beter voor kiezen, een baseline of beveiligingsnorm?
Beveiligingsnormen
Organisaties kunnen er voor kiezen zich te laten certificeren met een beveiligingsnorm. Voorbeelden hiervan zijn de ISO 27001 en de NEN 7510. Deze kwaliteitsnormen zijn ontwikkeld om organisaties te helpen de bedrijfsvoering goed te beheren, te leiden en de prestaties continu te evalueren en te optimaliseren. Oftewel: om de Plan, Do, Check, Act te realiseren. Als de organisatie ISO-gecertificeerd is, voldoet het voor de volle 100% aan de beveiligingseisen. Daarnaast toont de organisatie met een ISO-certificaat aan dat ze veel inzicht heeft. Het ISO-certificaat is een bevestiging voor externen dat de organisatie alles goed op orde heeft.
Baseline informatiebeveiliging
Een Baseline Informatiebeveiliging is een branche specifieke vertaling van een ISO norm en geeft handvatten en maatregelen hoe een basisbeveiliging te implementeren is binnen de organisatie. Gezien de diversiteit in onder andere de risico’s en taal binnen branches, worden deze branche specifieke baselines ontworpen. Zo bestaan onder andere de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de Baseline Informatiebeveiliging Corporaties (BIC).
Wanneer een Baseline Informatiebeveiliging goed wordt opgesteld, is het een zeer nuttig instrument. Met deze baseline kan een organisatie een snelle start maken met informatiebeveiliging. Dat is ook waar het voor is bedoeld: de organisatie naar de eerste stap van beveiliging halen. De organisatie moet de Baseline Informatiebeveiliging echter niet klakkeloos kopiëren en uitrollen, want dat geeft alleen schijnzekerheid. Vertaal de baseline naar de eigen organisatie. Bepaal op welke punten de organisatie afwijkt van de standaard en waar behoefte is aan additionele beveiligingsmaatregelen.
Beveiligingsnorm versus Baseline Informatiebeveiliging
Wanneer de organisatie wil starten met het beveiligen van informatie, moet het eerst een risicoanalyse maken op de organisatie. Bepaal met deze analyse welke beveiligingsniveaus gewenst zijn. Wanneer een Baseline Informatiebeveiliging beschikbaar is, kan deze goed dienen als uitgangspunt. Daar waar de wensen van de organisatie afwijken van de baseline, bijvoorbeeld omdat aanvullende maatregelen gewenst zijn, kan de organisatie terugvallen op beveiligingsnormen. Voor alle kaders geldt: gebruik ze niet als invuloefening, maar ga uit van de behoeften van de organisatie.
Bron: Audittrail
Klik hier om de bedrijfsprofielpagina van Audittrail in de CorporatieGids 2016 te bekijken.
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine - November 2024 Inhoud Ferry van der Pal (Wonen Wateringen): Fusie leidt tot betere bijdrage aan de volkshuisvestelijke opgave…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.