Beveiliging en ISO-gecertificeerde marktonderzoekbureaus: een checklist

Beveiliging en ISO 20252-gecertificeerde marktonderzoekbureaus

November 2010

Het onderwerp ‘beveiliging’ komt steeds meer in de belangstelling te staan. Er is een aparte ISO norm voor beveiliging (ISO 27001) en een enkel marktonderzoekbureau beschikt werkt al volgens deze norm. Andere bureaus denken hierover na, en er is een marktonderzoekbureau dat recent een opdracht is misgelopen omdat het bureau niet over ISO 27001 beschikte. Duidelijk is dat vooral bij een aantal grotere opdrachtgevers die bij hun werk over veel te beveiligen data beschikken (zoals sommige financiële instellingen), de behoefte aan ISO 27001 toeneemt. Zodra zij zelf gecertificeerd zijn, zullen zij dit mogelijk ook van hun bureaus gaan verlangen.

Het is ook niet zo vreemd dat databeveiliging steeds meer aandacht krijgt. Internetverbindingen worden sneller, het verzamelen van informatie wordt eenvoudiger en goedkoper en meer en meer diensten doen we via internet.

Ging het tot voor enkele jaren vooral om de vraag hoe je kon vermijden dat een bedrijf ‘plat’ kwam te liggen als elektronische data verloren gingen (bijvoorbeeld door brand of elektriciteitsuitval), tegenwoordig spelen veel meer aspecten een rol, variërend van maatregelen tegen hackers tot het versleutelen van informatie die op USB-sticks staat, sticks die nogal eens verloren raken en in verkeerde handen terecht kunnen komen. Daarnaast gaat het met name bij marktonderzoekbureaus ook om de integriteit van de op te leveren data: kunnen opdrachtgevers er zeker van zijn dat alleen daartoe aangewezen medewerkers van een marktonderzoekbureau toegang tot hun data hebben, waardoor manipulatie van deze data door onbevoegden onmogelijk wordt?

De vraag is wat op dit gebied van ISO 20252-gecertificeerde bureaus verwacht resp. geëist mag worden. 

Op dit moment lijkt het te ver te gaan om ISO-gecerticieerde marktonderzoekbureaus te verplichten deze norm te behalen. Ook internationaal is in ISO 20252-verband afgesproken dat voor een goede uitvoering van de ISO 20252-eisen het –vooralsnog- niet nodig is dat een ISO 20252 gecertificeerd marktonderzoekbureau over ISO 27001 beschikt.

De gereviseerde ISO 20252 norm

Elke vijf jaar dienen ISO-normen tegen het licht te worden gehouden en kunnen revisies plaatsvinden. ISO 20252 is in 2011 aan de beurt, het overleg over de revisie vindt al sinds begin 2009 plaats. De Stichting Toetsingsbureau KCC speelt in dat overleg een belangrijke rol, gelet op haar ervaringen met het toetsen van ISO 20252 in de afgelopen jaren.

In de te reviseren ISO 20252 norm komt inzake beveiliging niet zoveel meer te staan dan nu reeds het geval is. Het onderwerp ‘beveiliging’ betreft met name de artikelen 4.7.2, 4.9.3 en 4.9.4. Inhoudelijk gaat het daarbij vooral om het vermijden van ongeautoriseerde toegang van bestanden.

In de nieuwe ISO 20252 versie zal komen te staan dat het bureau dit onderwerp met de opdrachtgever kan bespreken (op initiatief van het bureau dan wel de opdrachtgever) en dat de opdrachtgever eventuele meerkosten van geëiste extra beveiliging dient te betalen. Het zal uiteraard altijd een moeilijke discussie blijven wat ‘extra beveiliging’ is: een opdrachtgever zou kunnen stellen dat hij beveiliging op het niveau van ISO 27001 al heel normaal vindt en voor dat beveiligingsniveau niet extra wil betalen.

Beveiligingsaanbeveling  

Om enigszins helder te krijgen wat van een marktonderzoekbureau op het gebied van beveiliging verwacht mag worden (waardoor ook min of meer duidelijk wordt welke wensen van opdrachtgevers als een (te betalen) ‘extra’ beschouwd moeten worden), heeft de KCC in samenwerking met het ISO 20252-gecertificeerde bureau Isiz (dat op dit gebied inmiddels zeer veel expertise heeft opgebouwd) bijgaande beveiligingsnotitie opgesteld.

In de ze notitie gaat het om de volgende ‘algemene veiligheidsrisico’s’:

• 1-Applicatielijsten
• 2-E-mail beleid
• 3-Anti-virus beleid
• 4-Verantwoord computergebruik
• 5-Computer- en netwerk-beveiligingsbeleid
• 6-Richtlijnen informatieclassificatie
• 7-Incident registratiesysteem
• 8-Checklist in- en uitdiensttreding
• 9-Toegangsbeleid

KCC Beveiligingsnotitie

De Stichting Toetsingsbureau KCC verstrekt deze notitie aan de door haar gecertificeerde bureaus (en de bureaus die zich in het certificeringsproces bevinden) als een lijst van aandachtspunten.

Niet gecertificeerde bureaus  kunnen deze  notitie bestellen bij info@moaweb.nl.
Voor een overzicht van de kosten van deze notitie, verwijzen we u naar de Webwinkel.

Bij haar ISO 20252-toetsingen zal met de bureaus besproken worden op welke wijze zij omgaan met de besproken issues.

Uiteraard zal wel moeten worden voldaan aan de minimale randvoorwaarden die ISO 20252 op het gebied van beveiliging stelt en zal gaan stellen. Daarnaast speelt ook de eigen verantwoordelijkheid van het bureau een rol alsmede de eisen die haar specifieke opdrachtgevers op dit gebied kunnen stellen, gelet op het soort opdrachten dat zij verlenen aan het marktonderzoekbureau.

Voor vragen over deze notitie die betrekking hebben op de ISO-certificering kan men contact opnemen met Ed van Eunen, directeur van de Stichting Toetsingsbureau KCC (kcc@vaneunen.nl of 035-6231947).

Voor inhoudelijke vragen over de technische kanten van deze notitie kan contact worden opgenomen met Wiggert de Haan van Isiz (Wiggert@isiz.nl  of 020-5304325).

Klik hier voor een versie van bovenstaand verhaal in PDF.