Wat is ISO 27001?
ISO 27001 is dé internationale norm voor informatiebeveiliging en staat voor een effectief managementsysteem (ISMS). Het verkrijgen van het certificaat bevestigt dat aan alle beveiligingseisen is voldaan en dat bedrijfsprocessen adequaat zijn ingericht.
In tegenstelling tot andere ISO-standaarden, zoals ISO 9001 en ISO 14001, volgt de standaard de High Level Structure (HLS). De Annex A van de standaard beschrijft managementdoelstellingen en beheersmaatregelen die in de risicoanalyse dienen te worden opgenomen.
ISO 27001 betreft alle bedrijfsaspecten. Hierbij valt te denken aan een heldere beschrijving van bedrijfsmiddelen, applicaties, governance, gegevensclassificatie, beschrijving van bedrijfsmiddelen en een risicoanalyse. Daarnaast is een lijst van 114 informatiebeveiligingsmaatregelen opgesteld, afhankelijk van de context en risicobereidheid van uw organisatie.
Om dit effectief in te richten en goed te kunnen onderhouden, dienen verbanden te worden gelegd tussen de context, het informatiebeveiligingsbeleid, de risicoanalyse en de onderwerpen uit Annex A. Belangrijke thema’s zijn onder andere bewustzijn van beveiliging, beheer van beveiligingsincidenten, meting van ISO-beheersprestaties en implementatie van een jaarlijkse verbetercyclus (PDCA).
Voor wie is de ISO 27001?
- Het vergroten van de volwassenheid van bestaande processen.
- Het beter inrichten van beveiligingsmaatregelen, waardoor het risico op cyberdreigingen zoals gijzeling van software wordt verkleind.
- Het kunnen aantonen aan partners en klanten dat informatiebeveiliging en privacy goed belegd zijn binnen de organisatie.
- Voldoen aan de steeds vaker gestelde randvoorwaarde van klanten en relaties voor compliance (of certificering) aan ISO 27001 voor levering.
- Het verbeteren van de continuïteit van de bedrijfsvoering.
- Het verhogen van het vertrouwen van stakeholders in de organisatie.
- Het verminderen van de kans op reputatieschade.
- Het stimuleren van bewustwording en betrokkenheid van medewerkers bij informatiebeveiliging.
- Het bieden van een gestructureerde en systematische aanpak voor informatiebeveiliging, die op maat kan worden gemaakt voor de organisatie.
- Het voldoen aan wettelijke en contractuele vereisten op het gebied van informatiebeveiliging.