Informatiebeveiliging en documentmanagement: een interessante combinatie?
dinsdag 20 oktober 2020Veel organisaties zijn ISO 27001-gecertificeerd. Dit is de internationale standaard voor een ‘Information Security Management System’. Met een ISO 27001-certificaat laat je zien hoe je omgaat met informatiebeveiliging en dat je voldoet aan de eisen van het normenkader. Dit moet je ook aantonen tijdens de periodieke audit. Hierbij kan de inzet van een systeem voor document management op een aantal vlakken interessant zijn. Lees verder hoe informatiebeveiliging en document management elkaar kunnen versterken.
Informatiebeveiliging staat de laatste jaren hoog op de agenda in organisaties. Onder meer door de komst van de AVG is er nieuwe aandacht voor informatiebeveiliging ontstaan. Met een ISO 27001-certificaat toon je aan dat je een goed werkend managementsysteem hebt voor informatiebeveiliging én dat je maatregelen neemt om security-incidenten zoveel mogelijk in te perken. Een ISO 27001-certificaat straalt vertrouwen uit en is vaak een vereiste in aanbestedingen en request for proposals.
Een brede praktijk
Informatiebeveiliging is een brede praktijk en ISO 27001 kent tal van normen om aan te voldoen. Daarbij is aantoonbaarheid cruciaal. Hier komt het nut van een documentmanagementsysteem om de hoek kijken. Dit is een cloudoplossing waarmee je (document)processen stroomlijnt, bewaakt en inzichtelijk maakt. Onderstaand drie voorbeelden waarom een digitaal document beheer het overwegen waard is in het kader van informatiebeveiliging.
1. Procedures aantoonbaar vastleggen en beschikbaar stellen
Eén van de normen binnen het ISO 27001-normenkader is dat je procedures aantoonbaar vastlegt en vervolgens beschikbaar stelt aan iedereen voor wie de procedure relevant is. Binnen de ISO 27001 wordt deze eis of norm ook wel ‘documented operating procedures’ genoemd. Immers, het is belangrijk dat medewerkers altijd en overal de vastgestelde procedures kunnen raadplegen.
Met een digitaal document beheer systeem is het mogelijk om te voldoen aan deze eis. In dit systeem stel je procedures eenvoudig beschikbaar aan de juiste personen. Omdat je de procedures aanbiedt in de cloud, kunnen medewerkers deze altijd en overal inzien. Op kantoor, onderweg, thuis of op locatie bij een klant of leverancier.
Via een workflow is het mogelijk om medewerkers de procedure zo nodig correct en volledig uit te laten voeren. Je definieert welke stappen er binnen de procedure doorlopen moeten worden. Medewerkers die hiermee te maken krijgen, kunnen hier dan niet van afwijken.
Het systeem voor document management logt bovendien alle acties en handelingen die plaatsvinden. Wie heeft wat wanneer gedaan? In een audit trail wordt dit vastgelegd. Immers, ‘vertrouwen is goed, controle is beter’. Bovendien bespaart dit een ad hoc zoektocht naar evidence op het moment dat de auditor erom vraagt. Alle informatie staat klaar in het document beheer systeem.
2. Access control management
Een tweede voorbeeld binnen het ISO 27001-normenkader waarbij een systeem voor document management enige ondersteuning kan bieden, is het (aantoonbaar) regelen van access control management. Access control is een zeer belangrijk hoofdstuk binnen ISO 27001 en omvat verschillende, omvangrijke normen. Denk aan een vastgelegd access control-beleid, een access control-registratie en rollenscheiding. Als organisatie dien je simpelweg goed doordacht te hebben wie welke toegang krijgt tot informatie.
Kortom: ongeautoriseerde toegang moet worden voorkomen. Dit geldt voor systemen en netwerken maar natuurlijk ook voor documenten die medewerkers onderling met elkaar delen en opslaan. Die informatie moet veilig opgeslagen zijn en niet iedereen mag hier zomaar toegang tot hebben. Denk bijvoorbeeld aan:
- HR: personeelsdossiers
- Sales: offertes en contracten
- Finance: inkomende facturen en financiële rapportages
Op het vlak van autorisatie kan een systeem voor document management oplossing bieden. Het systeem stelt je namelijk in staat om tot op detailniveau een rechtenstructuur in te richten. Je wilt bijvoorbeeld dat alleen HR-medewerkers en de HR-manager toegang hebben tot personeelsdossiers. Een salesmedewerker heeft hier niets mee van doen. Aan de andere kant wil je dat de afdeling sales toegang heeft tot klantcontracten, terwijl een HR-medewerker hier juist niets te zoeken heeft.
Als je de rechtenstructuur zorgvuldig inricht en dit ook bijhoudt, maak je aantoonbaar welke medewerker toegang heeft gehad tot de informatie en welke actie hij wel of niet heeft ondernomen. Bijkomend voordeel is dat je in een document beheer systeem een bewaartermijn kunt instellen voor documenten, zodat deze worden vernietigd als een eventuele wettelijke bewaartermijn is verstreken. Dit kan van belang zijn voor documenten als cv’s en arbeidscontracten. Zo wordt het opstellen en uitvoeren van een retentiebeleid een stuk eenvoudiger.
Een systeem voor document management kan wat betreft access control management dus het ideale instrument zijn om intern (access control-)beleid ook daadwerkelijk uit te laten voeren.
3. Aantoonbaar awareness creëren
Uiteindelijk valt of staat informatiebeveiliging met de awareness van medewerkers. Je kunt zoveel maatregelen treffen en procedures opstellen als je wilt, als medewerkers deze niet kennen en zich niet bewust zijn van de gevaren, blijft de kans op een security-incident alsnog groot. Medewerkers zijn immers de menselijke firewall rondom je organisatie.
Het is dus cruciaal dat je awareness creëert in alle lagen van de organisatie. Ook hier kan een systeem voor document management helpen. Via dit systeem bied je interne awareness-programma’s aan in de cloud. Denk aan presentaties en e-learnings. Je stelt in dat elke medewerker specifieke trainingen moet doorlopen. Je kunt deze ook periodiek aanbieden, bijvoorbeeld om het halfjaar. Push bijvoorbeeld regelmatig de code of conduct of het beleid voor customer due diligence. Denk ook aan e-learnings over thema’s als integriteit, fraude en privacy.
Door een workflow in te stellen, zorg je ervoor dat medewerkers de awareness-programma’s ook echt (moeten) doorlopen. Je houdt meer grip, want je kunt ook notificaties instellen als een medewerker een training of programma niet (op tijd) volgt. Als organisatie kun je hierop anticiperen en de medewerker herinneren of hierop aanspreken.
Ook hier legt het digitaal document beheer alles vast. Tijdens een audit kun je vervolgens aantonen dat je er alles aan doet om awareness te creëren onder medewerkers, een belangrijke vereiste binnen ISO 27001. Dat niet alleen, je kunt ook de werking van je awareness-programma’s aantonen via rapportages. Hierin is tijdens een audit exact te zien welke medewerkers de trainingen hebben doorlopen.
Omvangrijk normenkader
Gaat het om informatiebeveiliging, dan kan een systeem voor document management op veel vlakken handig zijn. Je maakt hiermee aantoonbaar dat je kunt voldoen aan bepaalde normen. Tegelijkertijd gaat het bijvoorbeeld bij ISO 27001 om een zéér omvangrijk, complex normenkader. Laat je dus altijd goed informeren om de informatiebeveiliging in jouw organisatie op orde te krijgen. Maar in plaats van iedere keer opnieuw het wiel uit te moeten vinden bij zo’n exercitie, is een documentmanagementsysteem een van de vele oplossingen die het je een stuk gemakkelijker kan maken.
Aan de slag: download het stappenplan
Wil je aan de slag met slim documentbeheer? Download het stappenplan waarmee je binnen 90 dagen de documentstromen in jouw organisatie volledig digitaliseert.