Klantcase: Kiwa certificeert informatiebeveiliging CBS

‘Informatiebeveiliging is veel meer dan een papieren proces’

Het CBS is in ons land dé instantie als het gaat om het verzamelen, bewerken en publiceren van onder meer demografische en economische statistieken. Voor overheid, wetenschap en bedrijfsleven zijn de cijfers van het CBS belangrijk: ze baseren er beleid en doelstellingen op. ‘Het CBS verzamelt hiervoor gegevens over bedrijven, groepen mensen en hun omgeving, vertelt Schepens. ‘Bijvoorbeeld criminaliteit, werkloosheid of het aantal baby’s dat geboren wordt. Om ons werkt goed te kunnen blijven doen, moet de samenleving erop kunnen vertrouwen dat we zorgvuldig met deze data omgaan en dat onze databeveiliging goed geregeld is.’

Voldoen aan de normen

Volgens Schepens neemt het CBS informatiebeveiliging daarom erg serieus. De organisatie werkt op dit gebied nauw samen met andere overheidsorganisaties en liet eerder al onderzoeken of de verwerking van privacygevoelige informatie aan alle eisen voldoet. ‘In aanvulling daarop wilden we door een externe organisatie laten toetsen of onze werkprocessen rondom informatiebeveiliging voldoen aan de hiervoor geldende normen en standaarden. Hierdoor weten we waar we staan en waar eventuele verbeterpunten zijn. Ook laten we met een certificaat aan de buitenwereld zien dat onze informatiebeveiliging voldoet aan alle gestelde eisen.’

Certificeringstraject

En dus stapten het CBS en Kiwa samen in een drie maanden durend certificeringstraject. ‘Dat begon met een vooronderzoek, een “nulmeting”. Daarbij werden onze manier van werken tegen het licht gehouden en hebben we de auditoren van Kiwa laten zien hoe we binnen het CBS omgaan met informatiebeveiliging. Ze hebben daarbij heel concreet gekeken naar hoe we bijvoorbeeld onze bestandsopslag hebben gestructureerd, hoe we back-ups maken en hoe ons Rekencentrum is beveiligd. Kiwa heeft tijdens het traject gesproken met ICT’ers en andere CBS-medewerkers die te maken hebben informatiebeveiliging.’

Structureel aandachtspunt

Het Centraal Bureau voor de Statistiek mag zich sinds oktober 2017 ISO 27001-gecertificeerd noemen. ‘Maar dat wil natuurlijk niet zeggen dat het daarmee ophoudt’, zegt Erik Schepens. ‘Sowieso moeten we ons volgens de norm regelmatig hercertificeren, maar bovendien is informatiebeveiliging een structureel aandachtspunt, geen papieren proces. We hebben alles nu goed op orde. Ons Information Security Management System (ISMS, red.) staat en de organisatie is zich bewust van het belang van zorgvuldig omgaan met data. Maar we blijven continu evalueren en zo nodig verbeteren. De technologische ontwikkelingen rondom data staan immers niet stil en dus de ontwikkelingen rondom de beveiliging daarvan ook niet.’