De Plan-Do-Check-Act cyclus

Voor een blijvend passend beveiligingsniveau is inbedding van de zogeheten plan­-do­check-­act­ cyclus in de dagelijkse praktijk van de organisatie noodzakelijk. Deze cyclus is ook terug te vinden in de ISO27001 norm. Voor implementatie van een goed functionerend Information Security Management System (ISMS) wordt ook gebruik gemaakt van de Plan-Do-Check-Act cyclus. Deze cyclus komt kort gezegd op het volgende neer:

Beoordeel de risico's

Beoordeel de risico’s die de gegevens en de aard van de verwerking met zich meebrengen voor de betrokkenen en bepaal op basis daarvan het gewenste beveiligingsniveau. Inventariseer vervolgens de dreigingen die kunnen leiden tot een beveiligingsincident, de gevolgen die het beveiligingsincident kan hebben en de kans dat deze gevolgen zich voor zullen doen. Tref op basis daarvan gericht beveiligingsmaatregelen die het gewenste beveiligingsniveau kunnen waarborgen.

Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden

Het vakgebied informatiebeveiliging kent vele beveiligingsmethoden, ­standaarden en ­maatregelen die zijn gebaseerd op ervaringen uit de dagelijkse beveiligingspraktijk. Gebruik bij het nemen van beveiligingsmaatregelen de richtsnoeren in samenhang met de beschikbare beveiligingsstandaarden. Deze standaarden geven houvast bij het daadwerkelijk treffen van passende maatregelen om de beveiligingsrisico’s af te dekken.

Controleer en evalueer regelmatig

Controleer met zekere regelmaat of de beveiligingsmaatregelen daadwerkelijk zijn getroffen en worden nageleefd. Beoordeel periodiek of het beveiligingsniveau nog steeds past bij de risico’s die de verwerking en de aard van de te verwerken gegevens met zich meebrengen en of de beveiligingsmaatregelen nog steeds voldoen. Betrek daarbij ook de stand van de techniek en de nieuwste inzichten binnen het vakgebied informatiebeveiliging.

Zorg voor continu verbetering

Wanneer na de evaluatie blijkt dat het risico is toegenomen of de maatregelen niet correct functioneren, moet men verbeteringen doorvoeren om het risico weer op het gewenste niveau te brengen. Bijvoorbeeld door het treffen van aanvullende maatregelen of het updaten van een firewall wanneer blijkt dat deze niet correct heeft gefunctioneerd.