2 KiB
In de afgelopen 2 maanden hebben we belangrijke stappen gezet in het verbeteren van de informatieveiligheid voor DAK Kindercentra, door het uitvoeren van een risico inventarisatie, een business impact analyse, en het opstellen van een incident respons plan. We staan op het punt een pentest te laten uitvoeren om de kwaliteit van de bescherming tegen externe dreigingen te toetsen.
Uit de risico inventarisatie is onder andere naar voren gekomen, dat het bij DAK ontbreekt aan beleid voor informatiebeveiliging, iets dat ook al is gesignaleerd in de due dilligence- en accountantsrapportage.
Het hebben van een informatiebeveiligingsbeleid is van groot belang om de continuïteit van de onderneming te waarborgen en adequaat beschermen te bieden tegen reputatieschade en aansprakelijkheidstelling door datalekken. Wetgevers, toezichthouders en verzekeraars zetten dit daarom hoog op de agenda.
De risico inventarisatie laat zien dat 3 gebieden in het bijzonder aandacht behoeven: het managen van toegangs- en beheersrechten, het managen van leveranciers, en het sturen op informatieveiligheid met een PDCA cyclus voor risicomanagement.
Met deze notitie doe ik een voorstel voor het opstellen en borgen van beleid op de gebieden die op dit moment de meeste aandacht nodig hebben.
Bronnen voor deze notitie
- Dataclassificatie volgens TLP
- Selectie en implementatie van Technologie bij Humankind maar niet alle details
- management overzicht ISO 27001 / NIS 2
- Gebruik NIS 2 Directive and ISO 27001-2022, dit bevat een mooie gebiedsindeling en link naar de ISO
- Maatregelen Excel met groen gemarkeerde artikelnummers