VMM-datacenters ISO 27001-gecertificeerd voor informatiebeveiliging
Wat houdt de ISO 27001-certificering in?
Gegevenslekken en cyberdreigingen nemen overal toe, dus informatiebeveiliging cruciaal. Deze certificering bevestigt dat de VMM effectieve maatregelen heeft geïmplementeerd om haar datacenters te beschermen tegen een breed scala aan risico’s, waaronder verstoringen in de beschikbaarheid, integriteitsinbreuken, vertrouwelijkheidsissues, financiële gevolgen en potentiële imagoschade.
Wat betekent de certificering voor de VMM?
De ISO 27001-certificering is een belangrijke stap om VMM-breed veilig, integer en betrouwbaar met informatie om te gaan. Het versterkt ook onze rol als betrouwbare partner, zowel naar onze interne als onze externe belanghebbenden.
Onze datacenters herbergen niet alleen grote hoeveelheden VMM-data, maar ook andere entiteiten van de Vlaamse Overheid maken gebruik van onze datacenterfaciliteiten.
Wat brengt de toekomst?
Intussen werd een Europese richtlijn ingevoerd: de NIS2 (Network and Information Security). Die stelt ons voor nieuwe uitdagingen én kansen op vlak van cyberbeveiliging en digitale weerbaarheid. Met onze ISO-certificering hebben we al een eerste cruciale stap gezet om een systeem te implementeren voor het beheer van informatieveiligheid binnen de VMM.
De EU NIS2 Directieve richt zich op het versterken van de cybersecurity in de EU door beveiligingsvoorschriften voor essentiële en belangrijke entiteiten in verschillende sectoren uit te breiden en te versterken.
Er wordt ervanuit gegaan dat er vroeg of laat een incident zal optreden en dat je er je moet op voorbereiden om de impact te minimaliseren.
Daarbij zijn er 5 belangrijke pijlers waar wordt op ingezet:
- Betrokkenheid van management: Het management wordt verantwoordelijk gesteld voor de opvolging en om het nodige te doen voor informatieveiligheid (Is een element bij de ISO 27001).
- Rapportering: Entiteiten van bepaalde sectoren hebben meldingsplicht en er moet relevante informatie kunnen voorgelegd worden. Daarvoor heb je een goed managementsysteem voor nodig (ISO 27001 biedt zo’n kader)
- Incident, crisis en continuïteit: Garanderen van bedrijfscontinuïteit en als dat nodig is herstellen bij een incident. (zit ook vervat in de ISO 27001)
- Toeleveringsketen: Niet alleen de eigen organisatie kan gevaar lopen, ook leveranciers. Een incident kan ook voorvallen via een leverancier. Om onszelf als entiteit en onze klanten beter te beschermen, moet je ook het aspect van leveranciers voldoende aanpakken. (Deze topic zit ook verwerkt in de ISOI 27001)
- ‘All-hazard’ risicogebaseerd: Je kan je niet tegen alles beschermen en gaat ook niet alles even goed beschermen. Dat kost onnodig veel moeite en middelen. Daarom verplicht de wetgeving om op basis van de risico’s prioriteiten te stellen om de (meestal schaarse) middelen optimaal te benutten. Je voorziet de nodige maatregelen op maat van de grootte van het risico. Dit ga over uiteenlopende zaken van organisatie, personeel ,fysieke en technologische aspecten.