Naleven van beheersmaatregelen uit raamwerken zoals CobiT of ISO 27002
Situatie
Toezichthouders zoals De Nederlandsche Bank, de Autoriteit Persoonsgegevens en de Nederlandse Zorgautoriteit zien er op toe dat organisaties aantoonbaar voldoen aan de geldende wet- en regelgeving.
Daarnaast schrijft de Wet beveiliging netwerk- en informatiesystemen (Wbni) voor dat aan aanbieders van essentiële diensten en digitale dienstverleners passende en evenredige technische en organisatorische maatregelen moeten nemen op het gebied van informatiebeveiliging. Op dit laatste zien uit oogpunt van goed huisvaderschap het Agentschap Telecom en de Inspectie voor de Leefomgeving en Transport toe.
Accountants beoordelen op hun beurt de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking, waarbij logische toegangsbeveiliging en het doorvoeren van wijzigingen op programmatuur een belangrijke rol speelt.
Hiervoor zijn diverse raamwerken voorhanden, zoals CobiT, het handboek zorgverzekeraars informatie Zorgverzekeringswet, ISO 27001 en ISO 27002, NOREA Privacy Control Framework, ISO 27701 en NEN 7510.
Werkzaamheden
HODARI helpt organisaties die beheermaatregelen implementeren, die nodig zijn voor die betreffende wet- en regelgeving. Daarna ondersteunen wij organisaties bij het toetsen in welke mate deze beheermaatregelen worden nageleefd en het vastleggen in een dossier ten behoeve van audits. Afhankelijk van de toezichthouder en de wet- en regelgeving worden bepaalde gradaties gehanteerd: dit kan opzet, bestaan en werking zijn of een volwassenheidsniveau. Afhankelijk van risico's en de risk appetite van de organisatie kan er voor worden gekozen aanvullende maatregelen te implementeren. Wij raden aan een cyclus (bijvoorbeeld PDCA of ISMS) te hanteren, waarbij de geïmplementeerde maatregelen niet alleen worden getoetst maar ook op basis van de uitkomsten worden aangepast.
