CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011

Transcriptie

1 CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011 Henk Swaters Wim Olijslager LISA - DSM

2 AANLEIDING CERTIFICERING De UT vindt het belangrijk om aan te tonen dat wij zorgvuldig omgaan met gegevens van betrokkenen Samenwerking met medisch specialisten en mensgebonden onderzoek vereist NEN7510 gecertificeerde opslag voor het verwerken van medische data AVG vereist passende organisatorische en beveiligingsmaatregelen en dat moet aantoonbaar zijn Verwachting dat certificering in toenemende mate een vereiste wordt bij het verkrijgen van derde geldstromen en samenwerking met derde partijen

3 WAAROM ISO/IEC 27001:2013 EN NEN 7510:2011 ISO is een bekende internationale standaard De nieuwe NEN7510:2017 is nagenoeg gelijk aan ISO27001:2013 NEN 7510 is een vereiste vanuit de zorgsector en is makkelijk te integreren in de ISO norm

4 STORAGEDIENSTEN DIE ONDER DE CERTIFICERING VALLEN Storage infrastructuur en het beheer ervan Persoonlijke dataopslag Dataopslag voor eenheden (zoals leerstoelen) Dataopslag voor projecten Maatwerk (bijvoorbeeld een server met storage) Sharepoint Dus geen USB, NAS, dropbox, google drive, Onedrive etc

5 RESULTAAT CERTIFICERING Beter inzicht in beveiligingsrisico s Helpt bij het prioriteren van de maatregelen om risico's te verminderen Minder Incidenten We kunnen aantonen dat we zorgvuldig omgaan met gegevens en dat geeft vertrouwen bij gebruikers en externen Het helpt tevens bij de zichtbaarheid van de security omdat er regelmatig over gecommuniceerd wordt Vraag uit de organisatie om lokale NAS onder te brengen bij de gecertificeerde storage Aanschaf en inrichting van een GRC tool Pentest is uitgevoerd en de resultaten daarvan ook direct zijn opgepakt

6 BELANGRIJKSTE BEVINDINGEN Geen voorziening voor vernietigen van harddisks in datacenter. Is direct opgelost. Er is integraal veel aandacht voor de inrichting van beleid en governance rondom privacy en security De Dienst Lisa, onderdeel IT-Storage, heeft haar processen op orde door een volgens de norm ingerichte ISMS.

7 DOORLOOPTIJD Doorlooptijd was ca 7 maanden Scope bepalen intro gesprekken met beheerorganisatie en onderzoekers. Afstemmen en overtuigen van de interne organisatie kost tijd Bepalen aanpak Inventariseren wat er reeds is aan beleid, processen, procedures en interne controle Risicoanalyse uitvoeren en maatregelen selecteren ISMS complementeren met ontbrekende documenten

8 INZET Interne Auditor: 7 maanden * 3 dagen per week * 80% directe uren = 500 uren Beheerorganisatie: risicoanalyse, overleg, evidence verzamelen, certificerende audit: totaal 200 uur

9 OUT OF POCKET KOSTEN Advies 10k Audit 6k Hercertificering 2,5k per/jaar

10 AANPAK CERTIFICERING Doelstelling en Scope Verzamelen aanwezige strategische en tactische documenten Gap Analyse Risico Analyse (MAPGOOD) Selecteren van maatregelen PDCA Directiebeoordeling (Intern) Aanbevelingen implementeren Certificerende Audit (extern) Certificaat Behouden en optimaliseren Wim Olijslager

11 GAP ANALYSE Zoveel mogelijk uitgegaan wat er reeds is. Ontbrekende items uit het ISMS aanvullen en implementeren.

12 RISICOANALYSE; MAPGOOD Methodiek: MAPGOOD Algemeen aanvaarde methodiek voor informatiebeveiliging en ISO/IEC omgevingsrisico s Twee sessies Mensen: Medewerkers, Inhuurkrachten, Apparatuur: Servers, PC s, laptops, mobile Programmatuur: Klant en kennissystemen Gegevens: Klantgegevens, objectgegevens Organisatie: De organisatie Omgeving: De fysieke ligging Diensten: Energie, telefoon, gas, ICT Gebruikers ICT-ers verantwoordelijk voor producten uit de scope

13 CERTIFICATEN Certificaat Nr.: AIS-NLD-UKAS Initiële certificatie datum: 08 november 2017 Geldig: 08 november november 2020 Certificaat Nr.: OTH-NLD-DNV Initiële certificatie datum: 04 december 2017 Geldig: 0 4 december december 2018 Dit is ter bevestiging dat het management systeem van Universiteit Twente, Dienst LISA Drienerlolaan 5, 7522 NB Enschede, Nederland Dit is ter bevestiging dat het management systeem van Universiteit Twente, Dienst LISA Drienerlolaan 5, 7522 NB Enschede, Nederland voldoet aan de eisen gesteld in de Informatie Beveiliging Management Systeem norm: ISO/IEC 27001:2013 voldoet aan de eisen gesteld in de Management Systeem norm: NEN 7510:2011 Dit certificaat is geldig voor de volgende scope: Het beschikbaar stellen, leveren en verwijderen, beheren, monitoren en configureren door de dienst LISA van de Universiteit Twente van beschikbare, betrouwbare en vertrouwelijke dataopslag voor UT-medewerkers en met UT-medewerkers overige samenwerkende natuurlijke personen. Dit in overeenstemming met de verklaring van toepasselijkheid versie 2.0 d.d. 6 september Dit certificaat is geldig voor de volgende scope: Het beschikbaar stellen, leveren en verwijderen, beheren, monitoren en configureren door de dienst LISA van de Universiteit Twente van beschikbare, betrouwbare en vertrouwelijke dataopslag voor UT-medewerkers en met UT medewerkers overige samenwerkende natuurlijke personen. Dit in overeenstemming met de verklaring van toepasselijkheid versie 2.0 d.d. 6 september Plaats en datum: London, 09 november 2017 Voor het kantoor van afgifte: DNV GL Business Assurance United Kingdom, 4th Floor, Vivo Building, 30 Stamf ord Street, London, SE1 9LQ, United Kingdom D.P. Koek Management Representative Plaats en datum: Barendrecht, 04 december 2017 Voor het kantoor van afgifte: DNV GL - Business Assurance Zwolseweg 1, 2994 LB Barendrecht, Nederland Henk de Gooijer Management Representative Het niet nakomen van de in de certificatie-overeenkomst gestelde condities kan leiden tot het ongeldig verklaren van dit certificaat. GEACCREDITEERDE ORGANISATIE: DNV GL Business Assurance UK Limited, 4th Floor, Vivo Building, 30 Stamford Street, London, SE1 9LQ, United Kingdom. TEL:+44(0) assurance.dnvgl.com Het niet nakomen van de in de certificatie-overeenkomst gestelde condities kan leiden tot het ongeldig verklaren van dit certificaat. DNV GL Business Assurance B.V., ZWOLSEWEG 1, 2994 LB BARENDRECHT, NEDERLAND. TEL:

14 VRAGEN?