Informatiebeveiliging: normen, certificering en audits uitgelegd

Vraagt u zich af hoe u informatiebeveiliging binnen uw organisatie goed regelt en aantoonbaar maakt richting klanten en stakeholders? Op deze pagina leest u wat informatiebeveiliging inhoudt, welke normen relevant zijn en hoe een certificeringstraject eruitziet. Wilt u direct weten waar uw organisatie staat? Plan dan een kennismakingsgesprek met een van onze specialisten.

 

Wat is informatiebeveiliging?

Informatiebeveiliging gaat over het beschermen van informatie tegen verlies, misbruik of ongeautoriseerde toegang. Dat raakt niet alleen IT-systemen, maar ook processen, medewerkers en de manier waarop verantwoordelijkheden zijn ingericht.

De kern wordt vaak samengevat in drie principes:

  • Vertrouwelijkheid: informatie is alleen toegankelijk voor bevoegden
  • Integriteit: informatie is correct en volledig
  • Beschikbaarheid: informatie is beschikbaar wanneer nodig

Voor veel organisaties is informatiebeveiliging inmiddels een vast onderdeel van de bedrijfsvoering. Niet alleen vanwege risico’s, maar ook omdat klanten en partners steeds vaker vragen hoe u dit heeft ingericht.

Waarom informatiebeveiliging aantoonbaar maken?

Alleen zeggen dat u informatiebeveiliging op orde heeft, is meestal niet voldoende. In veel gevallen wordt gevraagd om onderbouwing. Denk aan aanbestedingen, samenwerkingen of audits vanuit de keten.

Een managementsysteem voor informatiebeveiliging helpt om structuur aan te brengen. U legt vast welke risico’s er zijn, welke maatregelen u neemt en hoe u deze opvolgt. Dat maakt het niet alleen intern overzichtelijker, maar ook extern toetsbaar. Certificering zorgt er vervolgens voor dat een onafhankelijke partij bevestigt dat uw organisatie aan de norm voldoet. Dat geeft vertrouwen, zonder dat u dit steeds opnieuw hoeft uit te leggen.

Welke normen zijn er voor informatiebeveiliging?

Er bestaan verschillende normen en richtlijnen die organisaties helpen om informatiebeveiliging gestructureerd in te richten. De keuze hangt af van uw sector, type dienstverlening en risicoprofiel.

ISO 27001: de basis voor informatiebeveiliging

ISO 27001 is de internationale standaard voor informatiebeveiliging. De norm richt zich op het opzetten, implementeren en onderhouden van een Information Security Management System (ISMS).

Hierin legt u onder andere vast:

  • welke risico’s er zijn
  • welke beheersmaatregelen u toepast
  • hoe u deze maatregelen monitort en verbetert

ISO 27017: informatiebeveiliging in de cloud

Werkt uw organisatie met cloudomgevingen? Dan is ISO 27017 relevant. Deze norm geeft aanvullende richtlijnen voor informatiebeveiliging binnen cloudservices, zowel voor aanbieders als gebruikers.

ISO 27017 helpt u om:

  • verantwoordelijkheden tussen klant en cloudprovider te verduidelijken
  • risico’s binnen cloudomgevingen beter te beheersen

ISO 27018: bescherming van persoonsgegevens in de cloud

ISO 27018 richt zich specifiek op de bescherming van persoonsgegevens in publieke cloudomgevingen. De norm bevat aanvullende maatregelen voor organisaties die persoonsgegevens verwerken via cloudproviders.

ISO 27799: informatiebeveiliging in de zorg

ISO 27799 is een sectorspecifieke norm voor de zorg. Deze norm is gebaseerd op ISO 27001 en vertaalt deze naar de praktijk van zorginstellingen, waar vertrouwelijkheid van patiëntgegevens cruciaal is.

NEN 7510: Nederlandse norm voor de zorg

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg en sluit nauw aan op ISO 27001. De norm bevat aanvullende eisen en beheersmaatregelen die specifiek zijn afgestemd op de zorgsector.

Baseline Informatiebeveiliging Overheid (BIO)

Voor overheidsorganisaties geldt de Baseline Informatiebeveiliging Overheid (BIO). Dit is het normenkader dat gebaseerd is op ISO 27001 en specifiek is ingericht voor overheidsinstellingen.

NIS2: Europese wetgeving voor cyberbeveiliging

De NIS2-richtlijn (Network and Information Security Directive) stelt strengere eisen aan organisaties die een belangrijke rol spelen in de economie en maatschappij. Waar normen zoals ISO 27001 richting geven aan het inrichten van informatiebeveiliging, legt NIS2 nadruk op wettelijke verplichtingen. Organisaties moeten niet alleen maatregelen nemen, maar ook kunnen aantonen dat risico’s beheerst worden en incidenten adequaat worden opgevolgd.

In Nederland wordt de NIS2-richtlijn omgezet in nationale wetgeving via de Cyberbeveiligingswet (Cbw). Dit betekent dat de eisen uit NIS2 juridisch bindend worden voor organisaties die onder deze wet vallen. Voor veel organisaties vormt NIS2 daarmee een directe aanleiding om informatiebeveiliging structureel te organiseren en te laten toetsen.

CyberFundamentals (CyFun): nationaal kader in België

In België is de NIS2-richtlijn al omgezet in nationale wetgeving, waarbij het CyberFundamentals Framework (CyFun) is aangewezen als belangrijk referentiekader voor cyberbeveiliging. CyberFundamentals biedt organisaties een gestructureerde en stapsgewijze aanpak om hun cyberbeveiliging op niveau te brengen. Het framework is afgestemd op internationale standaarden zoals ISO 27001 en maakt het mogelijk om via verschillende maturiteitsniveaus toe te werken naar een verificatie. Tegelijkertijd is CyberFundamentals niet de enige route. Organisaties kunnen ook via bestaande certificeringen, zoals ISO 27001, aantonen dat zij voldoen aan de eisen die voortvloeien uit de NIS2-wetgeving. In de praktijk hangt de keuze af van de context van de organisatie, de sector en de mate van volwassenheid op het gebied van informatiebeveiliging.

Voor organisaties die een pragmatische en gefaseerde aanpak zoeken, biedt CyberFundamentals vaak een toegankelijk startpunt richting aantoonbare compliance.

Hoe werkt een certificeringstraject?

Een certificeringstraject begint in de praktijk altijd met dezelfde vraag: waar staat uw organisatie nu, en wat is er nog nodig om aan de norm te voldoen?

In grote lijnen doorloopt u een aantal stappen.

  1. U start met het inrichten of aanscherpen van uw managementsysteem.
  2. Vervolgens beoordeelt u intern of processen en maatregelen daadwerkelijk werken zoals bedoeld.
  3. Daarna vindt de certificeringsaudit plaats, uitgevoerd door een onafhankelijke certificerende instelling.
  4. Na certificering volgen periodieke audits om te toetsen of het niveau behouden blijft.

Brand Compliance richt zich uitsluitend op deze externe audits. Wij toetsen onafhankelijk of uw organisatie voldoet aan de eisen van de gekozen norm.

Wat kost een certificering?

De kosten van een certificeringstraject verschillen per organisatie en zijn niet vooraf met één standaardbedrag te bepalen. Dat komt doordat meerdere factoren een rol spelen. Denk aan de omvang van de organisatie, het aantal locaties en de complexiteit van de processen. Het maakt ook uit in hoeverre informatiebeveiliging al is ingericht en geborgd.

De grootste kostenpost zit doorgaans in de audittijd. Daarnaast moet u rekening houden met kosten voor rapportage, certificatie en administratie. In sommige gevallen komen daar nog kosten bij, bijvoorbeeld voor normdocumentatie of externe ondersteuning. Een realistische inschatting begint vrijwel altijd met een korte inventarisatie. Op basis daarvan kan de benodigde audittijd worden bepaald.

 

Waarom kiezen voor Brand Compliance?

Een certificeringstraject vraagt om een partij die niet alleen de norm kent, maar ook begrijpt hoe organisaties werken. Brand Compliance voert audits uit voor uiteenlopende organisaties en sectoren. Daarbij staat een duidelijke en gestructureerde aanpak centraal. Geen onnodige complexiteit, maar wel een grondige en onafhankelijke beoordeling. Onze auditors combineren inhoudelijke kennis van normen met praktijkervaring. Dat maakt de audit niet alleen een toetsmoment, maar ook een moment waarop u inzicht krijgt in waar u staat.

Wilt u weten wat certificering voor uw organisatie betekent?
Dan is een kennismakingsgesprek een logische eerste stap.

Welke norm voor informatiebeveiliging is voor mijn organisatie geschikt?

De keuze voor een norm hangt af van uw sector en activiteiten. ISO 27001 vormt vaak de basis. Voor specifieke situaties kunnen aanvullende normen relevant zijn, zoals ISO 27017 en ISO 27018 voor cloudomgevingen of NEN 7510 en ISO 27799 voor de zorg.

Is informatiebeveiliging verplicht voor organisaties?

Informatiebeveiliging is niet direct verplicht, maar wordt steeds vaker vereist vanuit wetgeving zoals NIS2, contractuele afspraken of aanbestedingen. Organisaties moeten in veel gevallen kunnen aantonen dat zij passende maatregelen hebben genomen.

Kan ik met ISO 27001 voldoen aan NIS2?

ISO 27001 biedt een sterke basis voor informatiebeveiliging en sluit goed aan op de eisen van NIS2. In veel gevallen helpt een certificering om invulling te geven aan deze verplichtingen. Wel is het belangrijk om aanvullend te beoordelen of volledig aan alle wettelijke eisen wordt voldaan.

Wat is het verschil tussen CyberFundamentals en ISO 27001?

CyberFundamentals is een praktisch en gefaseerd framework dat in België wordt gebruikt om organisaties te helpen bij het verbeteren van hun cyberbeveiliging. ISO 27001 is een internationale norm met een formeel certificeringstraject. Afhankelijk van de situatie kan CyberFundamentals dienen als opstap of als alternatief kader.