ISO 27001

De internationale norm voor informatiebeveiliging

Zorgen dat uw bedrijfsinformatie geen risico loopt

Meer grip op uw cybersecurity risico’s. De ISO 27001 norm is dé internationale norm voor informatiebeveiliging. De norm helpt u om inzicht te krijgen in uw bedrijfsrisico’s en de passende maatregelen te treffen. Waardoor uw bedrijfskritische informatie optimaal beschikbaar, veilig en kwalitatief op orde is. Met een certificering borgt u dat uw informatieveiligheid goed geregeld is. Zodat u aantoonbaar voldoet aan de eisen en verwachtingen van uw klanten en leveranciers.

De ISO 27001

De ISO 27001 zorgt voor beschikbaarheid, integriteit en vertrouwelijkheid

Een hele mond vol. Maar wel de basis voor alles rond de veiligheid van uw informatie. Wat betekenen deze drie termen?

Beschikbaarheid

Is de informatie beschikbaar op het moment, de tijd, het apparaat en de locatie die u wilt.

Integriteit

Is de informatie die je gebruikt ook juist. Zijn de klantgegevens, verkoopcijfers of onderzoeksresultaten actueel en geven ze het juiste beeld?

Vertrouwelijkheid

Is geregeld dat alleen de juiste mensen toegang hebben tot de informatie. O.a. dat de informatie niet op straat komt te liggen maar ook binnen de organisatie.

Certificeren in 6 heldere stappen

ISO 27001 stappen

Nulmeting
Door het uitvoeren van een nulmeting en “gap analyse” is helder waar uw organisatie staat op het gebied van documentatie en implementatie van de normeisen. We stellen een relatiediagram op, het zogenoemde IPPA schema (Informatie-Proces-Proceseigenaar-Assets) als basis voor het handboek en de risicoanalyse. Bovendien leveren we een concrete projectplanning met rolverdeling op voor het inrichten van uw managementsysteem.

Risicoanalyse
De ISO 27001 norm is een “risk-based” norm waarbij de maatregelen afgestemd moeten zijn op de organisatierisico’s. Samen met uw medewerkers stellen we de kritische onderdelen van uw organisatie, zoals processen, functionarissen en/of middelen vast. Op basis van het verschil tussen uw risicoprofiel en uw risicobereidheid bepalen we samen met u de te nemen technische en organisatorische maatregelen.

Managementsysteem
We ondersteunen u bij het gefaseerd implementeren van alle maatregelen die horen bij een compleet ISMS volgens de ISO 27001 eisen. Daarbij hoort het bepalen van de:

  • Richting         (informatiebeveiligingsbeleid, risicoanalyse, besturing),
  • Inrichting        (ISMS documentatie, processen, procedures en specifieke maatregelen)
  • Verrichting     (bewustwording en competenties).

Bewustwording
Tijdens de inrichting van uw ISMS betrekken we uw medewerkers actief en begeleiden interactieve workshops, waarbij de impact van informatiebeveiliging op de dagelijkse werkzaamheden centraal staat. Hierdoor neemt de bewustwording bij medewerkers toe. Dit versterkt uw organisatie als het gaat om het omgaan met privacygevoelige- en vertrouwelijke informatie.

Interne audit en directiebeoordeling
We voeren met een onafhankelijke rol uw documentatiebeoordeling uit alsmede interviews op de werking van uw ISMS.

Externe audit
We begeleiden u tijdens de externe audit en volgen de bevindingen samen met uw medewerkers op.

Onderhoud
Nadat u het certificaat heeft ontvangen helpen we u bij het actueel houden van uw ISMS volgens het Plan-Do-Check-Act principe. Daarbij ondersteunen we bij het planmatig uitvoeren van alle jaarlijkse verplichte onderdelen. Zodat u zich kunt focussen op uw kerntaken.

De ISO 27001 Checklist

Inzicht in de maatregelen die u moet nemen

De complete en gedetailleerde lijst met alle onderwerpen van de ISO 27001
Een duidelijk overzicht en eerste stap richting uw certificering

De ISO 27001 kent een aantal belangrijke hoofdstukken

High Level Structure

Net als alle andere ISO normen is de ISO 27001 norm opgesteld volgens de High Level Structure en bevat 10 hoofdstukken met eisen waaraan een organisatie moet voldoen. De belangrijkste onderwerpen die de organisatie moet inrichten en onderhouden, zijn:

  • Duidelijke context en toepassingsgebied van het managementsysteem.
  • Informatiebeveiligingsbeleid dat actief wordt uitgedragen door de leiding.
  • Planmatige beheersing van de risico’s.
  • De beschikbaarheid van middelen en mensen voor het inrichten en continu verbeteren van het managementsysteem.
  • Borging  dat de processen volgens de planning worden uitgevoerd.
  • Regelmatig uitvoeren van een onafhankelijke interne audit.
  • Continu verbeteren van het managementsysteem volgens het principe van Plan-Do-Check-Act.

 

Addendum

De ISO 27001 norm bevat naast deze 10 hoofdstukken nog een zeer uitgebreide bijlage (Addendum ISO 27001) met een groot aantal meer gedetailleerde eisen waaraan uw organisatie moet voldoen. Hierbij gaat het om heel concrete technische en organisatorische maatregelen die u moet nemen, zoals:

  • Informatiebeveiligingsbeleid dat aansluit op het organisatiebeleid.
  • De organisatie van verantwoordelijkheden en bevoegdheden.
  • Geschikt personeel dat zich bewust is van de cybersecurity risico’s.
  • Duidelijkheid over de verantwoordelijkheid voor bedrijfsmiddelen.
  • Functie gebaseerde toegang tot informatie.
  • Versleuteling van vertrouwelijke informatie.
  • Effectieve bescherming van de fysieke toegang tot gebouwen en bedrijfsmiddelen.
  • Beveiliging van de bedrijfsvoering, zoals bijvoorbeeld bescherming tegen malware of het inrichten van een back-up.
  • Bescherming van de communicatie binnen de organisatie en met externe partijen.
  • Eisen voor het verkrijgen, ontwikkelen en onderhouden van informatiesystemen.
  • Beveiligen van bedrijfsmiddelen die toegankelijk zijn voor leveranciers.
  • Doeltreffend beheer van informatiebeveiligingsincidenten.
  • Een helder bedrijfscontinuïteitsplan (BCP).

Vastgelegd in het Information Security Management Systeem

Het Information Security Management Systeem (ISMS) is uw structuur en methodiek waarin u alles vastlegt dat u nodig heeft om uw informatie op een goede en veilige wijze te organiseren.
De basis van het ISMS is vergelijkbaar met de managementsystemen voor de andere ISO en NEN normen. Wat de basiselementen zijn leest u op onze speciale pagina over managementsystemen. Daar leest u ook wat erbij komt kijken om een ISMS te implementeren en te onderhouden.

Wel of niet certificeren?

In de basis gaat het erom dat uw informatie veilig, goed en toegankelijk is en blijft. Het ISMS helpt u om dat goed en gestructureerd te organiseren. Daar hoeft u geen certificaat voor te halen.

Voor veel organisaties is het echter wel verplicht om objectief te kunnen aantonen dat het thema informatieveiligheid geregeld is volgens een internationaal erkende norm. In dat geval moet een onafhankelijke instantie uw ISMS toetsen. Wij helpen organisaties bij het slim certificeren. Via een projectmatige aanpak met een helder projectplan zorgen we ervoor dat uw certificeringstraject binnen de afgesproken tijd en budget succesvol wordt afgerond. Met als resultaat een ISO 27001 certificaat. Omdat iedere organisatie uniek is bieden we een aanpak op maat. Van “Helpen bij het zelf doen” tot het geheel “Ontzorgen”. Ook meer lezen over onze implementatie pakketen en certificaat garantie? Lees meer.

ISO 27001 Checklist

Wilt u precies weten in hoeverre uw organisatie al voldoet aan de eisen van de ISO 27001 norm? Ga dan naar de ISO 27001 Checklist. 

Wat levert de ISO 27001 op

R
Het biedt organisaties concrete handvatten hoe men de risico’s op het gebied van informatiebeveiliging kan verkleinen
R
Met het ISO 27001 certificaat toont de organisatie aan dat ze de passende maatregelen heeft genomen op het gebied van informatiebeveiliging en privacy.
R
Het biedt concurrentievoordeel bij offertes en aanbestedingen.
R
Het leidt tot meer bewustwording bij medewerkers waardoor minder fouten en datalekken ontstaan.
R
Het leidt tot minder risico’s als gevolg van een betere beheersing van ICT-systemen en applicaties (logische beveiliging) en van fysieke locaties en apparatuur (fysieke beveiliging).

ISO 27001 advies

Wij adviseren u graag op welke wijze u uw ISMS het beste kunt inrichten. Hoeveel gaat u zelf doen en bij welke onderdelen heeft u liever ondersteuning van een deskundige partij. Dat hangt uiteraard sterk af van de hoeveelheid tijd en specialistische kennis die binnen uw organisatie aanwezig is. De totale inspanning is daarnaast sterk afhankelijk van de omvang en complexiteit van uw organisatie. Wij adviseren u graag over de best passende aanpak voor uw organisatie. Lees meer over de verschillende implementatie maatwerkoplossingen; Van “Helpen” bij het zelf doen, “Samen” werken aan het project” tot geheel “Ontzorgen”.

10 praktische tips

Uit onze dagelijkse praktijk hebben we voor u 10 tips verzameld waarmee uzelf aan de slag kan.

Voor de specialisten onder ons nog enkele zaken

De ISO 27001 bevat een uitgebreide set aan eisen, waaraan uw organisatie moet voldoen. Welke eisen wel of niet voor uw organisatie gelden beschrijft u in de Verklaring Van Toepasselijkheid (VVT). Bijvoorbeeld als u geen softwareapplicaties ontwikkelt, zijn de eisen op dat gebied voor uw organisatie niet relevant en hoeft u hier uiteraard ook geen maatregelen voor in te richten.

Net als de overige ISO-normen bevat de ISO 27001 norm tien hoofdstukken die zijn ingedeeld volgens de High Level Structure.

Daarnaast kent de ISO 27001-norm een uitgebreide lijst met eisen welke zijn beschreven in het addendum. Hierbij gaat het om concrete maatregelen die u moet nemen op het gebied van informatiebeveiligingsbeleid, planning en organisatie, logische en fysieke toegangsbeveiliging, encryptie, screening personeel, communicatiebeveiliging, bedrijfscontinuïteit, leveranciersrelaties, etc.

Information Security Officer

Als uw organisatie verplicht is om een ISO 27001 certificaat te hebben kan het ook zijn dat u verplicht bent om een Security Officer in dienst te hebben. We hebben voor u op een rij gezet in welke gevallen dat zo is. Met daarbij de mogelijkheden om het te organiseren mocht een Security Officer voor u verplicht zijn.

MEER WETEN OVER DE ISO 27001?

Bel ons of laat uw gegevens achter dan bellen we u.

Cookie Box-instellingen