'Update van beveiligingsnorm ISO/IEC 27001 is noodzakelijk'

BSI Group kondigt de herziening van de norm voor informatiebeveiliging, ISO/IEC 27001, aan en onderstreept het belang hiervan tijdens het Congres Informatiebeveiliging op 26 september. In 2005 is de norm voor het laatst gepubliceerd. Sindsdien zijn er veel ontwikkelingen geweest in de digitale wereld en neemt het belang van informatie en de beveiliging ervan sterk toe. Daarom is deze norm herzien en wordt de ISO/IEC 27001:2013 eind dit jaar gepubliceerd.

Het belang voor bedrijven om informatiebeveiliging procesmatig in te richten groeit met de dag, aldus BSI. Het ISO/IEC 27001 certificaat is een norm voor het beheren en beveiligen van waardevolle bedrijfsgegevens. De belangrijkste aanpassingen ten opzichte van de oude norm gaan voornamelijk over het voorkomen van schade aan en verlies van data en integriteit. Ook ligt er meer nadruk op het outsourcen van IT activiteiten aan derden. Een goed voorbeeld van hoe outsourcing mis kan gaan is de DigiNotar-affaire. Met het toenemende aantal meldingen van hackers en digitale (bedrijfs)spionage, zijn deze onderwerpen actueler dan ooit.

Auditor Ernst Oud haalt KPN aan als praktijkvoorbeeld van een bedrijf dat de beheersmaatregelen op het gebied van informatiebeveiliging goed op orde heeft: “In januari 2012 is KPN gehackt. Ze hebben direct een groot projectteam samengesteld om maatregelen te nemen en de risico’s te beperken, met als gevolg dat ze een dag later miljoenen emailadressen hebben geblokkeerd om de schade van de aanval zo veel mogelijk te beperken. Een data aanval kan tenslotte niet altijd voorkomen worden, maar de risico’s kunnen wel sterk gereduceerd worden wanneer bedrijven preventief hebben nagedacht welke acties er moeten worden ondernomen.”

BSI Group organiseert op 26 september een congres over de revisie van de ISO/IEC 27001 met en voor het bedrijfsleven.