ISO-keurmerk voor informatiebeveiliging CBS

/ Auteur: Miriam van der Sangen
Het CBS heeft zijn managementsystemen voor informatiebeveiliging goed op orde. Dat constateerde het internationaal opererende certificeringsbedrijf Kiwa tijdens een onlangs uitgevoerde audit. Directeur-Generaal Tjark Tjin-A-Tsoi ontving daarom op 18 oktober 2017 het ISO 27001-certificaat uit handen van CEO Paul Hesselink van Kiwa Nederland. Met dit certificaat behoort het CBS tot de voorhoede van overheidsorganisaties die hun informatiebeveiliging door een onafhankelijke externe partij laten toetsen.

Voldoen aan alle eisen

Bert Kroese, plaatsvervangend Directeur-Generaal van het CBS en CIO (Chief Information Officer), benadrukt het belang van het ISO 27001-certificaat: ‘Het CBS beschikt als dataknooppunt over meer dan 150 overheidsregistraties, data van veel onderzoeken, big data, etc. De samenleving vertrouwt er op dat we op een zorgvuldige en goede manier met deze data omgaan. Daarom is het erg belangrijk dat de informatiebeveiliging goed geregeld is. Door een externe instantie onze werkwijze te laten certificeren, weten we intern precies waar we staan en kunnen we ook aan de buitenwereld laten zien dat onze informatiebeveiliging op orde is en aan alle gestelde eisen voldoet.’

Privacycertificaat

Het CBS neemt de informatiebeveiliging rond de vele data die het in huis heeft zeer serieus. ‘Data worden steeds belangrijker. Maar ook de ontwikkelingen in de maatschappij gaan steeds sneller. Denk aan nieuwe technologieën en nieuwe soorten data. Daarnaast heeft het CBS geïnvesteerd in samenwerking met andere overheden op het gebied van data via onder meer Urban Data Centers. Dat vereist structurele aandacht voor informatiebeveiliging’, aldus Kroese. Aanvullend heeft het CBS eerder door PricewaterhouseCoopers (PwC) onderzoek laten doen in hoeverre de verwerking van privacygevoelige persoonsgegevens aan alle eisen voldoet. PwC stelde vast dat het CBS zeer zorgvuldig omgaat met persoonsgegevens. Kortom, zowel privacybescherming als informatiebeveiliging zijn onderwerpen die permanent hoog op de agenda van het CBS staan.

Zowel privacybescherming als informatiebeveiliging zijn onderwerpen die permanent hoog op de agenda van het CBS staan   

Voortdurende aandacht

Ian Schets is werkzaam bij de hoofddirectie Bedrijfsvoering, IT en Methodologie als teamcoördinator van de systeembeheerders bij het CBS. Hij had de taak in de afgelopen 3 maanden aan de Kiwa-auditors te laten zien hoe het CBS omgaat met informatiebeveiliging. ‘We hebben de auditors bijvoorbeeld laten zien hoe we de mappenstructuur van bestanden hebben geregeld en hoe we back-ups van bestanden maken. Daarnaast heeft Kiwa diverse gesprekken met mij en de systeembeheerders gevoerd om meer achtergrondinformatie te verkrijgen. Ook hebben we met hen het Rekencentrum van het CBS bezocht. Dat is een goed afgeschermde ruimte met strenge beveiliging. Alleen met speciale toestemming mogen personen die ruimte bezoeken.’

Steeds complexer

Ook Schets is van mening dat informatiebeveiliging om voortdurende aandacht vraagt: ‘Je bent op dat gebied nooit klaar en het wordt ook steeds complexer, met name omdat het CBS met steeds meer partijen samenwerkt en ook steeds meer verschillende databronnen combineert. Daarnaast komen er nieuwe databronnen, bijvoorbeeld informatie van internet.’ Volgens Schets heeft het CBS in de afgelopen jaren op een aantal fronten extra maatregelen genomen op het gebied van informatiebeveiliging. ‘We hebben bijvoorbeeld een strenger wachtwoordbeleid geïntroduceerd en een systeem aangeschaft waarmee alle logboekinformatie van computersystemen wordt verzameld. Het inrichten van een dergelijk systeem is een éénmalige inspanning, maar het technisch en functioneel beheren ervan kost structureel mankracht. Daarvoor is aanvullende capaciteit voor de komende jaren gereserveerd.’

Relevante links