ISO-normen afbreken om uw toeleveringsketen veiliger te maken

door | Jan 22, 2024 | E-invoicing

We gaan ons richten op het veiligheidsaspect van producten en diensten, maar het is nuttig om te weten dat ISO-normen ook ideeën en oplossingen, goede praktijken en knowhow delen voor andere gebieden, variërend van papier tot voedingsmiddelen of zelfs normen voor creditcard afmetingen.

ISO, de internationale normenorganisatie

Deze non-profitorganisatie heeft 167 leden die vrijwel alle landen vertegenwoordigen. Het doel is om internationale normen op te stellen en hoopt antwoorden te geven op wereldwijde problemen.

Om dit artikel beter te begrijpen, moeten we bepalen wat een “internationale standaard” is?:

“Een internationale norm is een document dat concrete informatie en best practices biedt. Het beschrijft vaak een overeengekomen manier om dingen te doen of een oplossing voor een wereldwijd probleem”.

ISO 27000 , beheer van informatiebeveiliging

Van alle ISO-normen is degene die ons vandaag interesseert de 27000-familie: deze zorgt voor de beveiliging van gevoelige informatie in organisaties. Naleving en implementatie van de ISO 27000-familie normen maakt het eenvoudiger om met name financiële gegevens te beveiligen, maar ook documenten met betrekking tot intellectueel eigendom, informatie die aan derden is toevertrouwd, enz.

ISO 27001, de bekendste norm

ISO 27001 is waarschijnlijk de bekendste ISO-norm. Het regelt het beheer van informatiebeveiliging. Met andere woorden, het biedt bedrijven een leidraad voor het beschermen van de gegevens die ze bezitten of verwerken.

Om aan deze norm te voldoen, moeten bedrijven een “Plan-Do-Check-Act”-model volgen en een uitgebreide strategie implementeren om de beveiliging van de gegevens die ze verwerken te garanderen. Het moet ook een beleid volgen met procedures en controles die zijn afgestemd op de organisatie, bekend als een “Information Security Management System” of “Systèmes de Management de la Sécurité de l’Information”. Dit is een wereldwijde aanpak die niet alleen beperkt is tot cyberbeveiliging.

In het algemeen moet het bedrijf zijn goodwill aantonen en de acties die het onderneemt om gevoelige gegevens te beschermen in overeenstemming met de 3 principes van ISO 27001:

  • Vertrouwelijkheid,
  • Integriteit (van informatie),
  • Beschikbaarheid (van gegevens).

Om precies te zijn is ISO 27001 een norm: het definieert de specifieke kaders en praktische richtlijnen die bedrijven moeten implementeren om gecertificeerd te worden. Certificering wordt toegekend na een audit door een onafhankelijke instantie. Een bedrijf kan besluiten het certificeringsproces niet te doorlopen.

Deze standaarden worden regelmatig bijgewerkt om gelijke tred te houden met steeds geavanceerdere cyberaanvallen.

ISO 27017 en ISO 27018, beveiliging in de cloud 

Het afgelopen decennium heeft veel veranderingen teweeggebracht op het gebied van gegevensopslag en -doorvoer, en de komst van de cloud staat niet meer ter discussie. Deze ontwikkelingen, die hebben geleid tot de opkomst van cloud computing, brengen echter nieuwe beveiligingsregels met zich mee.

In het geval van ISO-normen 27017 en 27018 heeft beveiliging voornamelijk betrekking op persoonlijk identificeerbare informatie (PII) in cloud computing.

ISO 27017: Informatie beschermen in de cloud

Naarmate de cloud meer verspreid raakt, eisen gebruikers garanties over de veiligheid van gegevensopslag en -verwerking in de cloud. De markt voor clouddiensten wordt gekenmerkt door de verspreiding van leveranciers over de hele wereld en door de regelmatige overdracht van gegevens van het ene land naar het andere. Het is daarom essentieel om te kunnen vertrouwen op internationale richtlijnen.

Volgens Satoru Yamasaki, een van de redacteuren die aan de norm heeft gewerkt, “zal ISO/IEC 27017 serviceproviders helpen om met hun klanten tot overeenstemming te komen over de geschiktheid van beveiligingscontroles en hun implementatieaanbevelingen. Deze internationale norm voor beveiligingscontroles voor de cloud zal de ontwikkeling en uitbreiding van veiligere cloudcomputingsystemen vergemakkelijken.

ISO 27018: Persoonlijke gegevens beschermen in de cloud 

De ISO 27018 norm is van toepassing op elk type entiteit, publiek of privaat, vanaf het moment dat het informatieverwerkingsdiensten via cloud computing op contractbasis aanbiedt aan andere organisaties.

ISO/IEC 27018, gepubliceerd in 2014, is de eerste internationale norm die zich richt op de bescherming van persoonlijke gegevens in de cloud.

ISO/IEC 27018, een baanbrekende norm voor de bescherming van persoonlijke gegevens in de cloud, heeft een aantal doelstellingen:

  • Aanbieders van clouddiensten die persoonsgegevens verwerken helpen om te voldoen aan toepasselijke wettelijke verplichtingen en aan de verwachtingen van klanten
  • Zorgen voor transparantie, zodat klanten goed beheerde clouddiensten kunnen kiezen
  • Het eenvoudiger maken om contracten op te stellen voor clouddiensten
  • Cloudklanten een mechanisme bieden om ervoor te zorgen dat cloudaanbieders voldoen aan wettelijke en andere eisen

Kortom, ISO/IEC 27018 biedt een concrete referentie voor het creëren van vertrouwen in deze markt. Tegelijkertijd geeft het de publieke cloudsector een duidelijke richting voor het aanpakken van een aantal zorgen van klanten op het gebied van wet- en regelgeving.

Faustine Tournay
Latest posts by Faustine Tournay (see all)