informatiebeveiliging ISO 27001 basisprincipes

Informatiebeveiliging ISO 27001 basisprincipes: het fundament begrijpen

Voordat je in cybersecurity met tools, firewalls of encryptie aan de slag gaat, moet je eerst snappen waarom je iets beveiligt en wat je precies wilt beschermen. Informatiebeveiliging draait om het bewust omgaan met risico’s die de betrouwbaarheid van informatie aantasten. ISO 27001 beschrijft dit op basis van drie kernbegrippen: vertrouwelijkheid, integriteit en beschikbaarheid. Samen vormen ze het fundament van elk beveiligingsbeleid. In deze blogpost leg ik deze begrippen uit en verwerk ik praktijkvoorbeelden en inzichten uit les 2 van mijn opleiding ‘Cybersecurity voor Beginners’.

Meer informatie over ISO 27001 vind je hier.

De CIA-triad: vertrouwelijkheid, integriteit en beschikbaarheid

Informatiebeveiliging is gebaseerd op drie pijlers, vaak samengevat als de CIA-triad: vertrouwelijkheid, integriteit en beschikbaarheid. Deze pijlers vormen de kern van de informatiebeveiliging ISO 27001 basisprincipes.

Vertrouwelijkheid betekent dat alleen geautoriseerde personen toegang hebben tot informatie. Denk aan klantgegevens die alleen door bevoegde medewerkers ingezien mogen worden.

Integriteit betekent dat informatie correct en volledig is en niet ongemerkt gewijzigd kan worden.

Beschikbaarheid houdt in dat informatie toegankelijk is op het moment dat het nodig is.

Deze drie begrippen werken samen. Als bijvoorbeeld een document open en onbeschermd op een printer blijft liggen, kan zowel de vertrouwelijkheid als de integriteit in gevaar komen. Ook al is het technisch beschikbaar, het is dan niet per se veilig.

Dreiging, kwetsbaarheid en risico binnen ISO 27001

Een dreiging is een potentiële gebeurtenis die schade kan veroorzaken.

Een kwetsbaarheid is een zwakke plek in een systeem, proces of gedrag die misbruikt kan worden door een dreiging.

Een risico ontstaat uit de combinatie van een dreiging en een kwetsbaarheid, vermenigvuldigd met de kans dat het gebeurt en de impact ervan.

De waarde van informatie speelt hierin een sleutelrol.

Om risico’s beheersbaar te maken, zijn er vier risicobeheersmaatregelen:

  • Risicovermijdend
  • Risicobeperkend (mitigerend)
  • Risico-overdragend
  • Risicoaccepterend

Data versus informatie: betekenis binnen beveiliging

Data zijn ruwe feiten zoals cijfers of tijdstippen. Informatie ontstaat pas wanneer deze data in een context worden geplaatst.

Beveiliging richt zich dus op de betekenisvolle toepassing van gegevens, niet alleen op de cijfers.

Informatiebeheer als fundament binnen ISO 27001 basisprincipes

Informatiebeheer draait om het veilig beheren van informatie zodat bedrijfsprocessen kunnen doorgaan, ook bij verstoringen.

Het doel van informatiemanagement is duidelijk: ervoor zorgen dat bedrijfsactiviteiten en -processen ononderbroken kunnen doorgaan.

Samenvattende inzichten uit mijn huiswerkopdrachten

  • Printjes die blijven liggen raken vertrouwelijkheid en integriteit.
  • Menselijk gedrag is bepalend voor beveiliging.
  • Beveiliging = techniek + beleid + gedrag.
  • Risicobehandeling vereist bewuste keuzes.
  • Dreiging + kwetsbaarheid = risico.
  • Data zonder context is waardeloos.

Lees ook mijn eerdere blog over mijn overstap naar cybersecurity.

Conclusie

Informatiebeveiliging is een strategisch proces waarin je nadenkt over wat je beschermt, waarom je dat doet, en tegen welke risico’s. Begrippen als vertrouwelijkheid, integriteit, beschikbaarheid, dreiging, kwetsbaarheid en risico vormen de basis. Deze concepten zijn essentieel voor iedereen die zich bezighoudt met cybersecurity.

Volgende blogpost: Wat is informatieclassificatie en waarom is het cruciaal voor ISO 27001? (Les 3)

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Get A Quote
Get A Quote