Beveiliging onderzoeksdata NEN-EN-ISO 27001

Het onderwerp ‘beveiliging’ komt steeds meer in de belangstelling te staan. Er is een aparte ISO norm voor beveiliging (ISO 27001) Steeds meer onderzoek verloopt via internetverbindingen. Het verzamelen van de informatie wordt eenvoudiger en goedkoper en meer en meer mensen hebben een uitgebreide kennis van software. Tegenwoordig spelen daarom vooral aspecten als “maatregelen tegen hackers” , “het versleutelen van informatie op USB-sticks” en de integriteit van de op te leveren data. Wat dit laatste betreft moeten opdrachtgevers er zeker van kunnen zijn dat alleen daartoe aangewezen medewerkers van het onderzoeksbureau toegang tot (persoons) gegevens hebben.

Om enigszins helder te krijgen wat een onderzoeker op het gebied van beveiliging kan/moet doen geeft de KCC in samenwerking met Isiz informatie over “algemene beveiligingsrisico’s” . Ik heb daar onderstaand checklistje van gemaakt. Het kan geen kwaad als je als onderzoeker af en toe eens nadenkt over onderstaande zaken:

1. Applicatielijsten: Welke applicaties worden gebruikt?

2. E-mail beleid: Wie ontvangt Wat? Wie kan bij de emailadresen?

3. Anti-virus beleid : Hoe ‘ veilig’ is de data voor aanvallen van buiten?

4. Verantwoord computergebruik: Wie werken er op de systemen en hoe zijn de wachtwoorden geregeld?

5. Computer- en netwerk-beveiligingsbeleid: Waar staan de servers?

6. Richtlijnen informatieclassificatie : Wie mag er bij de data komen? Wat mag men zien?

7. Incident registratiesysteem : Wordt er aan jou gemeldt(!)) als er incidenten zijn? (bijv. hackers)

8. Checklist in- en uitdiensttreding : Wie zijn er vertrokken die toegang hadden tot je data?

9. Toegangsbeleid. Denk ook algemeen: Toegang tot gebouwen/kamers.

INFO: Research-IT. http://onderzoekscoaching.nl/cms/ Marcel Ponjee