Government & Public Sector

  • Share

Een ISO27001-certificaat voor het Riziv

Het Rijksinstituut voor Ziekte- en Invaliditeitsverzekering (Riziv) wil tegen eind 2012 de internationale norm voor informatiebeveiliging, ISO27001, halen. Het doet daarvoor een beroep op EY, dat al verschillende ISO27001-projecten begeleid heeft en volledig onafhankelijk van software- en hardwareleveranciers werkt.

Het Riziv speelt een centrale rol in de Belgische ziekte- en invaliditeitsverzekering, de controle van zorgverstrekkers en zorginstellingen en de financiering van de zorgsector. De certificering van het informatiebeveiligingssysteem van het Riziv past in een groter project van modernisering, dat werd vastgelegd in de bestuursovereenkomst van de organisatie en in haar strategische en operationele planning. Het project is om verschillende redenen van belang. Zo bewaart het Riziv onder andere een grote hoeveelheid persoonlijke en medische gegevens. Klanten verwachten dat deze privacygevoelige informatie in een beschermde omgeving wordt behandeld.

De ISO27001-norm
De ISO27001-norm, voluit ISO/IEC 27001:2005 Information Security Management Systems Requirements, is een standaard voor informatiebeveiliging. Deze internationale norm is van toepassing op alle typen organisaties. In het kader van de algemene beheersrisico’s voor de organisatie specificeert ze eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS). Een ISMS moet zorgen voor adequate en proportionele maatregelen die de informatie beschermen en moet vertrouwen bieden aan belanghebbenden.

Het Implementatiemodel van EY
EY hanteert een sterk implementatiemodel voor ISO27001 dat zijn kracht in de praktijk heeft bewezen. Om te komen tot certificatie wordt het ISMS niet alleen gedefinieerd, geïmplementeerd en beheerd maar ook doorlopend beoordeeld en waar nodig verbeterd. Deze activiteiten worden uitgevoerd in het kader van een totale, geïntegreerde aanpak die bestaat uit 10 stappen. Het 10-stappenplan wordt ondersteund door drie continue processen: Veranderingsbeheer, Kwaliteitsbewaking en Project Management. Cruciale elementen in deze aanpak zijn:

  • het ten gronde begrijpen van de informatiebeveiligingsbehoeften van het Riziv
  • het opstellen van een beleid met objectieven voor informatiebeveiliging
  • het invoeren en gebruiken van controles om informatiebeveiligingsrisico’s te beheren in de ruimere context van algemene bedrijfsrisico’s
  • het bewaken en herzien van de effectieve werking van het ISMS
  • het continu bijstellen van het ISMS op basis van objectieve metingen.

Pre-certificatieaudit
De doelstelling om tegen 2012 de ISO27001-certificatie te halen wordt mede gerealiseerd via een pre-certificatieaudit die in de aanpak is voorzien. De audit wordt uitgevoerd door EY CertifyPoint, dat geaccrediteerd is om de ISO27001-certificatie uit te voeren. Binnen EY is alle kennis en ervaring aanwezig om tot uiteindelijke certificatie te komen. Deze kennis wordt vanzelfsprekend volledig aangewend om het Riziv te ondersteunen bij de implementatie van het ISMS. De medewerkers van EY hebben niet alleen ervaring met de implementatie van de ISO27001-norm, maar ook met de certificatie ervan. Deze combinatie is erg interessant voor het Riziv omdat het resultaat van de pre-certificatieaudit goed laat zien in welke mate het Riziv klaar is voor de uiteindelijke ISO27001-certificatie.

Informatieveiligheid: een kwestie van mensen
Informatiebeveiliging is niet alleen een technologische aangelegenheid. Veel veiligheidsrisico’s hebben te maken met de menselijke factor. Technische hulpmiddelen zijn niets waard als ze niet of op een verkeerde wijze worden gebruikt. Goede informatiebeveiliging is dan ook vooral een kwestie van bewustmaking van medewerkers, zowel op de werkvloer als op managementniveau.

Connect with us

Stay connected with us through social media, email alerts or webcasts. Or download our EY Insights app for mobile devices.

 

Click here to view some of our recent presentations on slideshare.


Seminars

Click here to see the list of seminars and enroll online!