Kwaliteit
Bij ISIZ staat kwaliteit hoog in het vaandel, daarom heeft ISIZ ervoor gekozen een aantal ISO certificeringen te behalen. Hierover leest u hieronder meer.
ISO 20252:2006
Met het behalen van de ISO 20252:2006 committeert ISIZ zich aan
de officiële norm voor markt-, opinie- en maatschappelijk onderzoek
en is bewezen dat er wordt gewerkt volgens consistente en
inzichtelijke procedures. Hiermee positioneert ISIZ zich als unieke
samenwerkingspartner voor marktonderzoeksbureaus die ook volgens de
ISO 20252:2006 kwaliteitsrichtlijnen werken.
Voor meer informatie over deze certificering en andere klik hier.
ISO 27001
(Markt)onderzoek is een van de meest informatie - intensieve sectoren die er zijn. De "grondstoffen" (data) waarmee de onderzoeker zijn product (rapportage, advies) maakt zijn bijna zonder uitzondering niet van de onderzoeker zelf. Met andermans spullen dien je voorzichtig om te gaan.
Dit inzicht heeft ISIZ doen besluiten om na het behalen van de ISO 20252 certificering, de kwaliteitsstandaard voor marktonderzoek, de ISO 27001 certificering hier aan toe te voegen. De ISO 27001 is een ISO standaard voor informatiebeveiliging.
Wat betekent ISO 27001 voor ISIZ?
Voor ISIZ betekent ISO 27001 dat er actief omgegaan wordt
met het inventariseren van potentiële bedreigingen.
Globaal gezien gebeurt dit op twee manieren:
Proactieve inventarisatie van bedreigingen:
Door kritisch naar processen te kijken zijn er een aantal
potentiële bedreigingen in kaart gebracht.
Per bedreiging wordt vervolgens bepaald hoe groot het risico
hierop is. Daarnaast wordt gekeken wat de impact zou zijn als de
bedreiging zich daadwerkelijk voordoet. Is er sprake van
reputatieschade, financiële schade of een ander soort schade?
Uiteindelijk wordt per bedreiging een maatregel bedacht
die deze afdekt.
Registreren en beoordelen van incidenten:
Onder incidenten wordt alles verstaan wat met de veiligheid
van de gegevens te maken heeft of met de continuïteit van de
processen. Alle incidenten die plaatsvinden en impact hebben op de
processen of de veiligheid van gegevens worden in een Incidenten
Registratie Systeem ingevoerd.
Per incident wordt de grootte van impact en het risico op de gebeurtenis bepaald. Vervolgens wordt er een maatregel bedacht om te zorgen dat deze gebeurtenis zich niet nog een keer kan voordoen.
Wat betekent ISO 27001 voor u?
Medewerkers bij ISIZ denken actief na over de veiligheid
van uw data. Dit kan bijvoorbeeld betekenen dat een surveybeheerder
aanbiedt om de resultaten in een versleuteld bestand te versturen.
Dergelijke maatregelen worden in overleg met u gemaakt.
7 tips:
Tijdens het traject kwam ook de vraag naar boven hoe het stond met
de informatiebeveiliging binnen de marktonderzoekbranche. Een
aantal eenvoudige maatregelen die ISIZ heeft genomen, blijkt ook
goed toepasbaar voor andere partijen.
Tip 1: Bewustzijn binnen de organisatie
Het begint bij het bewustzijn van de consequenties die
onzorgvuldig handelen kan hebben. Het is belangrijk dat dit
bewustzijn binnen alle lagen van de organisatie aanwezig is. Zowel
bij onderzoekers die met de data bezig zijn als bij het management
dat uiteindelijk verantwoordelijk is voor het beleid.
Zorg er voor dat nieuwe medewerkers een gesprek krijgen over hoe ze om moeten gaan met data en maak ze direct bewust van de risico's.
Tip 2: In- en uitdiensttreding checklist
Deze tip is heel eenvoudig te realiseren. Op de checklist
staan alle systemen waar de persoon toegang tot zou moeten krijgen
en alle middelen die hij voor het uitvoeren van zijn taken tot zijn
beschikking krijgt. Naast dat de medewerker de juiste privileges
krijgt, kan deze direct aan de slag omdat alles klaar staat bij
indiensttreding.
Hetzelfde geldt voor als de medewerker vertrekt. Door de checklist na te lopen verzekert een bedrijf zich ervan dat er geen systemen meer zijn waar de medewerker nog toegang tot heeft en dat alle apparatuur weer in bezit is van de organisatie.
Tip 3: Backup
Tijdens de inventarisatie viel op dat bedrijven doorgaans
wel een backup maakten maar dat deze niet altijd buiten het
kantoorpand werd bewaard. Daarnaast werd in de meeste gevallen de
data die op het backup medium staat niet versleuteld.
Zorg er voor dat er ten minste wekelijks (liefst dagelijks) een offsite backup wordt gemaakt en dat de data versleuteld op een mediadrager staat (tape, harddisk, DVD etc). Ga er vanuit dat de persoon die de data mee naar huis neemt, ten minste één keer per jaar de drager verliest.
Tip 4: Incident registratie
Breng consequent in kaart wat er allemaal mis gaat.
Alleen op deze manier kan de hele organisatie leren van de fouten
die worden gemaakt. Indien dit niet geregistreerd wordt kunnen
dezelfde soort fouten meerdere keren voorkomen.
Bespreek de incidenten met de verantwoordelijken en medewerkers van het proces. Niet op het moment dat het fout gaat, maar op vaste evaluatie momenten. Op dat moment kunnen de incidenten ook beter geclassificeerd worden.
Tip 5: Versleutelen van data
De meeste email- clients zijn heel hulpvaardig om het
email adres wat u invoert af te maken. Helaas kan het hierdoor
ook gebeuren dat u te snel een e-mailadres selecteert van
iemand waar het mailtje niet naar toe moet. Ook heeft u geen
invloed op hoe de ontvanger zijn mail bewaart en door wie en waar
deze gelezen wordt.
Indien u data wilt mailen kunt u dat het beste doen in een versleuteld bestand. Een eenvoudige manier hiervoor is om de dataset of respondentenlijst in een zip- bestand op te slaan en daar een wachtwoord op te zetten. Wanneer het mailtje nu bij de verkeerde persoon terecht komt, kan deze persoon er niets mee.
Tip 6: Applicatie inventarisatie
De meeste bedrijven hebben zonder dat ze het door hebben
veel applicaties in gebruik. Sommige staan op hun eigen server,
andere worden door een provider via internet aangeboden.
Het is verstandig om een inventarisatie te maken van alle applicaties die kritisch zijn voor het proces of die kritische data opslaan. Welke personen hebben toegang tot deze applicaties, hebben alle gebruikers een eigen wachtwoord of is het wachtwoord gedeeld? Wat gebeurt er als een medewerker uit de organisatie verdwijnt? Krijgt deze persoon de opdracht om het gezamenlijke wachtwoord te vergeten?
Tip 7: Verantwoord computergebruik
De laatste tip is erg breed op te vatten. Onder
verantwoord computergebruik valt bijvoorbeeld:
- afspraken over complexiteit van wachtwoorden en de geldigheid daarvan
- het gebruiken van anti-virus
- het gebruik van USB sticks (voor beveiligen klik hier)
- het classificeren van informatie
- het "locken" of vergrendelen van de PC.
Ook alle maatregelen die toegepast worden voor verantwoord computergebruik zijn maatregelen op risico's die daar aan vooraf gingen. Afhankelijk van de organisatie is een strikter beleid noodzakelijk of losser beleid acceptabel.
