Onlangs ontving Beeld & Geluid de ISO 27001-certificering voor informatiebeveiliging. Deze internationale standaard toetst een veilige omgang met alle bedrijfsgegevens en geldt voor allerlei organisaties, ook voor AV-erfgoedinstellingen. Marjolein Steeman is Information Officer Preservering bij Beeld & Geluid en betrokken bij het traject. Ze legt uit waarom dit kwaliteitskeurmerk zo belangrijk is en wat er bij de certificering komt kijken.
“Voor AV-erfgoedinstellingen is, zoals voor alle informatie gedreven organisaties, informatiebeveiliging steeds belangrijker geworden. Voortdurend verschijnen berichten in de media over (overheids)instellingen of bedrijven die slachtoffer zijn van inbreuk op hun systemen. Met ernstige gevolgen. We moeten leren hoe we ons daar beter tegen kunnen wapenen. De ISO-norm helpt in de eerste plaats bij de bewustwording van wat er allemaal bij komt kijken. En vervolgens te verbeteren wat nodig is.“
Flinke stap verder
“Ook partners die overwegen hun materiaal bij ons onder te brengen vinden het belangrijk dat we aan de ISO-norm voldoen. Beeld & Geluid heeft natuurlijk het CTS-certificaat (Core Trust Seal) dat toetst of wij een duurzaam archief zijn. Dit ISO-certificaat voegt daaraan toe dat wij specifiek op het gebied van informatiebeveiliging onze processen op orde hebben. CTS toetst weliswaar of wij als archief risicomanagement toepassen, maar ISO 27001 gaat daar een flinke stap verder in en stelt eisen aan de inrichting van interne periodieke controles (audits), verbeterplannen, borging in de top van het management, enzovoort. Een flinke reeks aan beheersmaatregelen wordt bekend verondersteld en getoetst of ze ook echt werken. Bijvoorbeeld beveiliging van netwerken, omgang met informatie en apparatuur door medewerkers, en fysieke toegang tot locaties. Maar bijvoorbeeld ook of we voldoende voorbereid zijn op een ernstige inbreuk van buitenaf.
Omdat informatiebeveiliging veel facetten van onze organisatie raakt, hebben we een speciale commissie opgericht met expertise van IT, privacy, preservering, personeel en facilitair. Deze commissie is verantwoordelijk voor het organiseren van de interne audits en het bewaken van het verbeteren van onze beheersmaatregelen.“
Jaarlijkse toetsing
“De certificering is drie jaar geldig en nu begint het eigenlijk pas echt. We moeten bijvoorbeeld zorgen dat alle aspecten van de audit binnen drie jaar onderwerp zijn geweest van een interne audit. Daarvoor hebben we een planning gemaakt. De eerstvolgende audit zal nog dit jaar plaatsvinden. Ook wordt Beeld & Geluid vanaf nu jaarlijks getoetst door een externe auditor. Dan worden alle verbeterpunten doorgenomen en krijgen we ook nieuwe suggesties en adviezen. Bij deze externe audit zal de lat steeds hoger gaan liggen.”