Wat is ISO 27001?
ISO27001 is de internationale norm voor een managementsysteem voor informatiebeveiliging (ISMS). De toekenning van het certificaat toont aan dat u aan alle beveiligingsvereisten hebt voldaan en dat uw bedrijfsprocessen naar behoren zijn ingericht.
De standaard is opgezet conform de High Level Structure (HLS) die overeenkomet met andere ISO standaarden waaronder ISO9001 en ISO14001. Een essentieel onderscheid met andere ISO normen is echter dat er in de Appendix A van de standaard een aantal managementdoelstellingen en beheersmaatregelen worden beschreven die u in de risico-analyse dient op te nemen.
ISO27001 heeft betrekking op alle aspecten van de bedrijfsvoering. Denk hierbij aan een eenduidige beschrijving van bedrijfsmiddelen, applicaties, beschrijving van governance, gegevensclassificatie, beschrijving van bedrijfsmiddelen en een risico-analyse. Verder omvat het een opsomming van 114 informatie beveiligingsmaatregelen die genomen moeten worden, afhankelijk van de context en risk appetite van uw organisatie.
Om dit effectief in te richten en goed te kunnen onderhouden leggen we verbanden tussen de context, het informatiebeveiligingsbeleid, de risicoanalyses en de onderwerpen uit de Annex A. Verder zijn security bewustzijn, security incident management, het meten van ISO-beheersprestaties en het inrichten van een jaarlijkse verbetercyclus (PDCA) belangrijke thema’s.
Voor wie is de ISO 27001?
ISO27001 is ontwikkeld voor alle bedrijven die hun informatiebeveiliging op structurele wijze willen borgen en de cyber dreigingen bedrijfsrisico’s beheersbaar willen maken. Daarnaast zien we steeds vaker dat klanten en relaties compliance (of certificering) aan de ISO27001 als randvoorwaarde voor levering stellen.
Onder de bedrijven die ISO27001 toepassen bevinden zich organisaties die data verwerken die onder de Algemene Verordening Gegevensbescherming valt, zoals datacenters, ontwikkelaars van web- / software, dienstverleners en verzekeringsmaatschappijen. Maar ook financiële instanties, energiemaatschappijen, installateurs en andere partijen met persoonsgebonden gegevens hebben raakvlakken met ISO 27001.