Inrichten informatiebeveiliging en implementatie AVG

Door een van de marktleiders in zakelijke mobiliteit is Ventus gevraagd voor het beschrijven, opzetten en in werking stellen van het Informatie Beveiligingsbeleid (IB), de Cyber Securityprocessen en de bijbehorende beheerprocessen en -procedures.

Situatieschets

Het doel van de opdracht was het opstellen van een IB-beleid op basis van ISO 27001/27002. Daarbij diende rekening gehouden te worden met de wet- en regelgeving geldend voor privacy- en informatiebeveiliging zoals de Algemene Verordening Gegevensbescherming (AVG) welke per 25 mei 2018 van toepassing is.

Methode

Naast het opzetten en uitvoeren van een risicoanalyse en IB-assessment, was Ventus verantwoordelijk voor kennisdeling binnen de organisatie. Dit had met name betrekking op de identificatie van informatiebeveiligingsrisico’s bij het opstarten en uitvoeren van projecten. Ventus was in staat om op basis van ITIL de diverse processen aan te passen aan het informatiebeveiligingsbeleid, waaronder de processen die door externe partijen worden uitgevoerd.

Resultaat

Het project heeft een ‘self assessment tool’ opgeleverd waarin een baseline is gedefinieerd. Dit stelt de organisatie in staat om te monitoren waar ze staat met het invoeren van het IB-beleid en te toetsen of ze voldoen aan de ISO 27001 en ISO 27002 norm. Uit deze toets kunnen de bijbehorende maatregelen worden bepaald om de volgende stappen en acties te bepalen. Op deze manier kan de organisatie zelf haar IB-beleid uitvoeren en daar waar nodig acties bij in- en externe beheerpartijen uit te zetten.

Conclusie

Door voor een organisatie een ‘self assessment tool’ te ontwikkelen en te implementeren kan het bedrijf zelf werkzaamheden m.b.t. het IB-beleid uitvoeren om zodoende aan wet- en regelgeving te voldoen. De organisatie is nu zelf in control als het gaat om de invoering van het IB-beleid. Er is gevraagd of Ventus twee maal per jaar een audit wil uitvoeren om “de puntjes op de i” te behouden. De hoeveelheid en diepte van de eisen was groot. De methodische aanpak en begeleiding bleek een zogeheten ‘eye opener’.