ISO 27001 certificering

Bij de implementatie van de informatie beveiligingsnorm ISO 27001 is het heel goed mogelijk dat u vastloopt. Het in kaart brengen van (bedrijfs)risico’s, middelen en processen is niet altijd even eenvoudig en de norm lijkt maar al te vaak op verschillende manieren uitlegbaar. Informatiebeveiliging lijkt een soort labyrint waarin het mogelijk is dat u bij elke stap verder verdwaalt. Hier beschrijven wij een bewezen succesvolle implementatie aanpak om de ISO 27001 certificering te behalen. Mocht u wél willen voldoen aan de norm maar (nog) niet daadwerkelijk willen certificeren dan is de zesde stap in deze aanpak overbodig.

Neem vrijblijvend contact op

In 6 stappen naar certificering

De gehanteerde aanpak is verdeeld over 6 stappen en gaat uit van een integrale aanpak van ‘opzet’, ‘bestaan’ en ‘werking’. De effectieve werking wordt direct geïntegreerd. Door het inrichten van een ISMS en het uitvoeren van verplichte activiteiten kan aantoonbaar gemaakt worden dat voldoende aandacht wordt besteed aan informatiebeveiliging. Dit wordt verder ondersteunt door een serie aan standaard content zoals templates, vragenlijsten, dreigingen lijsten, risico assesments en beleidsdocumenten etc.

Meer over onze werkwijze

Binnen 5 minuten gratis weten wat uw risicoprofiel is?

Toegevoegde waarde van ISO 27001 certificering

Waarom zou u zoveel moeite moeten doen om ISO27001 te implementeren? Allereerst wilt u natuurlijk binnen uw organisatie grip hebben op informatie beveiliging en cyber risico’s. En u wilt onnodige reputatieschade voorkomen. Maar dat zijn niet de belangrijkste argumenten. In het proces naar compliance en certificering wordt de volwassenheid van bestaande processen sterk vergroot. Bovendien worden de beveiligingsmaatregelen beter ingericht, wat het risico op bijvoorbeeld gijzeling van software sterk verkleint. Verder is het ook belangrijk om aan uw partners en klanten te kunnen aantonen dat informatiebeveiliging en privacy goed belegd zijn binnen uw organisatie. Steeds vaker wordt dit als randvoorwaarde gesteld door uw klanten en relaties. Hiermee zorgt u voor een betere continuïteit van de bedrijfsvoering.

Stel uw vraag vrijblijvend

Wat is ISO 27001?

ISO27001 is de internationale norm voor een managementsysteem voor informatiebeveiliging (ISMS). De toekenning van het certificaat toont aan dat u aan alle beveiligingsvereisten hebt voldaan en dat uw bedrijfsprocessen naar behoren zijn ingericht.

De standaard is opgezet conform de High Level Structure (HLS) die overeenkomet met andere ISO standaarden waaronder ISO9001 en ISO14001. Een essentieel onderscheid met andere ISO normen is echter dat er in de Appendix A van de standaard een aantal managementdoelstellingen en beheersmaatregelen worden beschreven die u in de risico-analyse dient op te nemen.

ISO27001 heeft betrekking op alle aspecten van de bedrijfsvoering. Denk hierbij aan een eenduidige beschrijving van bedrijfsmiddelen, applicaties, beschrijving van governance, gegevensclassificatie, beschrijving van bedrijfsmiddelen en een risico-analyse. Verder omvat het een opsomming van 114 informatie beveiligingsmaatregelen die genomen moeten worden, afhankelijk van de context en risk appetite van uw organisatie.
Om dit effectief in te richten en goed te kunnen onderhouden leggen we verbanden tussen de context, het informatiebeveiligingsbeleid, de risicoanalyses en de onderwerpen uit de Annex A. Verder zijn security bewustzijn, security incident management, het meten van ISO-beheersprestaties en het inrichten van een jaarlijkse verbetercyclus (PDCA) belangrijke thema’s.

Voor wie is de ISO 27001?

ISO27001 is ontwikkeld voor alle bedrijven die hun informatiebeveiliging op structurele wijze willen borgen en de cyber dreigingen bedrijfsrisico’s beheersbaar willen maken. Daarnaast zien we steed vaker dat klanten en relaties compliance (of certificering) aan de ISO27001 als randvoorwaarde voor levering stellen.

Onder de bedrijven die ISO27001 toepassen bevinden zich organisaties die data verwerken die onder de Algemene Verordening Gegevensbescherming valt, zoals datacenters, ontwikkelaars van web- / software, dienstverleners en verzekeringsmaatschappijen. Maar ook financiële instanties, energiemaatschappijen, installateurs en andere partijen met persoonsgebonden gegevens hebben raakvlakken met ISO 27001.

Wat is een ISMS?

ISMS staat voor information security management system en wordt bijvoorbeeld gebruikt als methodologie voor de ISO27001.

Een ISMS is de manier waarop je de informatiebeveiliging kunt inrichten en besturen. Dat kan op basis van eigen organisatie specifieke kenmerken en doelen. Er zijn een aantal ISMS activiteiten die verplicht zijn. Denk daarbij aan bijvoorbeeld een verklaring van toepasselijkheid, het uitvoeren van een jaarlijkse interne audit of het uitvoeren van risico analyses. Belangrijk is verder de aantoonbaarheid (bewijs aanleveren) van alle onderdelen van het ISMS tijdens een audit. Het ISMS is dus feitelijk een manier van werken die aantoonbaar te maken is.

Het ISMS gaat uit van de PDCA cyclus, wat betekent dat je constant moet blijven verbeteren. Deze verbeteringen dienen ook aantoonbaar vastgelegd te zijn.

Het is belangrijk dat het ISMS geïntegreerd is met de procedures, de algehele managementstructuur van de organisatie en dat bij het ontwerpen van processen, informatiesystemen en beheersmaatregelen rekening wordt gehouden met informatiebeveiliging.
Het doel van het ISMS is om continu te beoordelen of beveiligingsmaatregelen passend en effectief zijn en of deze moeten worden aangepast vanwege veranderende omstandigheden of nieuwe wet- en regelgeving.

Isatis Cyber Security biedt praktische richtlijnen voor overheidsinstanties en samenwerkingsverbanden om aan geldende regelgeving te voldoen.

Waar moet een bedrijf aan voldoen voor ISO 27001 certificering?

Om u een beeld te geven hebben we een aantal vragen met toelichting inzake ISO 27001 certificering op een rijtje gezet:

  • Tot in hoeverre heeft u de context van de organisatie bepaald? Hierbij moet rekening worden gehouden met de eisen en verwachtingen van interne en externe stakeholders, regelgeving, ontwikkelingen van buitenaf en concrete kwesties die intern een rol spelen in de organisatie.
  • Wat is het toepassingsgebied van het ISMS? Dit moet duidelijk zijn vastgesteld.
  • In welke mate is de directie betrokken bij het informatiebeveiligingsbeleid? Om te voldoen aan ISO 27001 moeten duidelijke regels, rollen en verantwoordelijkheden zijn opgesteld, en middelen beschikbaar zijn gesteld.
  • Zijn de risico’s en kansen voor uw organisatie vastgesteld door middel van een risico analyse? Hiervoor is het verplicht procedures vast te leggen zodat de risico analyse in de toekomst gerepliceerd kan worden en dus gelijkwaardige uitkomsten opleveren.
  • Alle vastgestelde beheersdoelen dienen te worden beoordeeld op relevantie, toepasselijk te worden verklaard en indien vereist schriftelijk vastgelegd en te worden geïmplementeerd.
  • Worden er interne audits uitgevoerd? Volgens de ISO 27001 moeten onderstaande zaken periodiek worden gemeten en gemonitord:
    • Informatiebeveiligingsdoelen
    • Incidenten
    • Gegevensbeveiligingsprocessen
  • Vinden er evaluaties plaats over de effectiviteit van de genomen maatregelen m.b.t. gegevensbeveiliging? Denk hierbij aan een periodieke directiebeoordeling.
  • De organisatie dient aantoonbaar te leren van fouten, klachten en afwijkingen. Tevens moet de organisatie corrigerende maatregelen treffen om hiermee om te gaan.

De complete eisen van ISO 27001 vindt u terug in de officiële ISO 27001 norm.

Hier onder een aantal opdrachtgevers van Isatis Cyber Security:

Heeft u een vraag of wilt u aanvullende informatie over uw proces tot volledige certificering?

Neem contact op via het onderstaande formulier en we komen er binnen 24 uur op terug