Mar 23, 2017 Last Updated 9:59 AM, Mar 20, 2017

ISO 27001 - Beveiliging

Inleiding • november 2010

Beveiliging en ISO 20252-gecertificeerde marktonderzoekbureaus

Het onderwerp ‘beveiliging’ komt steeds meer in de belangstelling te staan. Er is een aparte ISO norm voor beveiliging (ISO 27001) en een enkel marktonderzoekbureau beschikt werkt al volgens deze norm. Andere bureaus denken hierover na, en er is een marktonderzoekbureau dat recent een opdracht is misgelopen omdat het bureau niet over ISO 27001 beschikte. Duidelijk is dat vooral bij een aantal grotere opdrachtgevers die bij hun werk over veel te beveiligen data beschikken (zoals sommige financiële instellingen), de behoefte aan ISO 27001 toeneemt. Zodra zij zelf gecertificeerd zijn, zullen zij dit mogelijk ook van hun bureaus gaan verlangen.

Het is ook niet zo vreemd dat databeveiliging steeds meer aandacht krijgt. Internetverbindingen worden sneller, het verzamelen van informatie wordt eenvoudiger en goedkoper en meer en meer diensten doen we via internet.

Ging het tot voor enkele jaren vooral om de vraag hoe je kon vermijden dat een bedrijf ‘plat’ kwam te liggen als elektronische data verloren gingen (bijvoorbeeld door brand of elektriciteitsuitval), tegenwoordig spelen veel meer aspecten een rol, variërend van maatregelen tegen hackers tot het versleutelen van informatie die op USB-sticks staat, sticks die nogal eens verloren raken en in verkeerde handen terecht kunnen komen. Daarnaast gaat het met name bij marktonderzoekbureaus ook om de integriteit van de op te leveren data: kunnen opdrachtgevers er zeker van zijn dat alleen daartoe aangewezen medewerkers van een marktonderzoekbureau toegang tot hun data hebben, waardoor manipulatie van deze data door onbevoegden onmogelijk wordt?

De vraag is wat op dit gebied van ISO 20252-gecertificeerde bureaus verwacht resp. geëist mag worden. 

Beveiligingsaanbeveling  

Om enigszins helder te krijgen wat van een marktonderzoekbureau op het gebied van beveiliging verwacht mag worden (waardoor ook min of meer duidelijk wordt welke wensen van opdrachtgevers als een (te betalen) ‘extra’ beschouwd moeten worden), heeft de KCC in samenwerking met het ISO 20252-gecertificeerde bureau Isiz (dat op dit gebied inmiddels zeer veel expertise heeft opgebouwd) een beveiligingsnotitie opgesteld.

In de ze notitie gaat het om de volgende ‘algemene veiligheidsrisico’s’:

  1. Applicatielijsten
  2. E-mail beleid
  3. Anti-virus beleid
  4. Verantwoord computergebruik
  5. Computer- en netwerk-beveiligingsbeleid
  6. Richtlijnen informatieclassificatie
  7. Incident registratiesysteem
  8. Checklist in- en uitdiensttreding
  9. Toegangsbeleid

KCC Beveiligingsnotitie

De Stichting Toetsingsbureau KCC verstrekt deze notitie aan de door haar gecertificeerde bureaus (en de bureaus die zich in het certificeringsproces bevinden) als een lijst van aandachtspunten.

Niet gecertificeerde bureaus  kunnen deze  notitie bestellen bij Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.
Voor een overzicht van de kosten van deze notitie, verwijzen we u naar de Webwinkel.

Bij haar ISO 20252-toetsingen zal met de bureaus besproken worden op welke wijze zij omgaan met de besproken issues.

Uiteraard zal wel moeten worden voldaan aan de minimale randvoorwaarden die ISO 20252 op het gebied van beveiliging stelt. Daarnaast speelt ook de eigen verantwoordelijkheid van het bureau een rol alsmede de eisen die haar specifieke opdrachtgevers op dit gebied kunnen stellen, gelet op het soort opdrachten dat zij verlenen aan het marktonderzoekbureau.

Voor vragen over deze notitie die betrekking hebben op de ISO-certificering kan men contact opnemen met Ed van Eunen, directeur van de Stichting Toetsingsbureau KCC (Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. of 0653210985).

Klik hier voor een versie van bovenstaand verhaal in PDF.

 

Voor vragen kunt u terecht bij het MOA Team

evelop

T: 020-5810710
E: info@moaweb.nl