Wat is ISO 27001 en waarom is ISO 27001-certificering belangrijk?

ISO 27001 is de wereldwijd erkende norm voor informatiebeveiliging. Met een ISO 27001 certificering toont u aan dat uw organisatie voldoet aan de internationale eisen voor het opzetten, implementeren en onderhouden van een Information Security Management System (ISMS).

Met een ISO 27001-certificaat laat u aan klanten, partners en andere stakeholders zien dat informatiebeveiliging binnen uw organisatie aantoonbaar en structureel is ingericht. Brand Compliance kan ISO 27001-certificering onder accreditatie voor u uitvoeren.

Waarom is informatiebeveiliging belangrijk?

Informatiebeveiliging speelt een cruciale rol binnen vrijwel iedere organisatie. Het zorgt ervoor dat:

  • vertrouwelijke informatie alleen toegankelijk is voor geautoriseerde personen (vertrouwelijkheid);
  • informatie juist en volledig blijft, zonder ongeautoriseerde wijzigingen (integriteit);
  • informatie beschikbaar is op het moment dat deze nodig is (beschikbaarheid).

Veel sectoren en wet- en regelgeving stellen eisen aan de bescherming van informatie. Wanneer informatiebeveiliging onvoldoende is ingericht, kan dit leiden tot:

  • juridische en financiële gevolgen;
  • reputatieschade;
  • verlies van vertrouwen bij klanten en partners.

Een incident op het gebied van informatiebeveiliging heeft vaak langdurige impact en is lastig te herstellen.

ISO 27001-certificering

De waarde van een ISO 27001-certificaat

Met een ISO 27001-certificering laat u zien dat informatiebeveiliging geen losse maatregel is, maar een structureel onderdeel van uw organisatie. Dit draagt bij aan:

  • bescherming van gevoelige informatie;
  • vertrouwen bij klanten en ketenpartners;
  • aantoonbare naleving van wet- en regelgeving.

Daarmee is ISO 27001-certificering voor veel organisaties niet alleen wenselijk, maar strategisch van grote waarde.

Wilt u weten wat ISO 27001 voor uw organisatie betekent?
In een gesprek met een expert krijgt u inzicht in wat ISO 27001 voor uw organisatie betekent.

ISO 27001-eisen voor een ISMS

ISO 27001 beschrijft de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS).

De belangrijkste eisen van ISO 27001 zijn:

  • Contextanalyse: De organisatie moet de interne en externe omgeving begrijpen om de scope en doelstellingen van het ISMS vast te stellen.
  • Risicobeoordeling en risicobehandeling: De organisatie moet de risico’s identificeren die de informatiebeveiliging beïnvloeden en maatregelen nemen om ze te behandelen.
  • Beveiligingscontroles: De organisatie moet aangepaste beveiligingscontroles implementeren, regelmatig evalueren en bijwerken.
  • Managementverantwoordelijkheid: Het topmanagement moet middelen en ondersteuning bieden voor het ISMS en actief betrokken zijn.
  • Prestatie-evaluatie: De organisatie moet regelmatig de prestaties van het ISMS evalueren om het systeem continu te verbeteren.
  • Continu verbeteren: De organisatie moet continu streven naar verbetering van de informatiebeveiliging en voldoen aan de veranderende behoeften van belanghebbenden.

ISO 27001 stappenplan voor certificering

Om een ISO 27001-certificering te behalen, kunt u de volgende stappen doorlopen:  

  1. De ISO 27001-PDF is aan te schaffen via bijvoorbeeld de NEN.
  2. Plan een gratis en vrijblijvend kennismakingsgesprek met een van onze accountmanagers om meer te weten te komen over de certificering voor uw organisatie.
  3. Verwerf de benodigde kennis over ISO 27001, bijvoorbeeld door een training te volgen.
  4. Implementeer het ISO 27001-managementsysteem in uw organisatie en zorg ervoor dat het aan de normeisen voldoet.
  5. Voer interne audits uit om te controleren of het systeem goed werkt en om te beoordelen of uw systeem aan de normeisen voldoet.
  6. Laat het management de resultaten van de interne audit beoordelen en neem eventuele corrigerende maatregelen. Leg de conclusie over het voldoen aan de eisen vast in de directiebeoordeling.
  7. Laat een onafhankelijke auditor van Brand Compliance tijdens een audit bepalen of uw managementsysteem voldoet aan alle ISO 27001-normeisen.

KuminaISO 27001-certificaat

Op het moment dat uw organisatie voldoet aan de (norm)eisen, ontvangt u van ons een ISO 27001-certificaat.

Kosten van ISO 27001-certificering

De implementatie begint bij de aanschaf van de ISO 27001-norm. De kosten van het gehele ISO 27001 traject zijn afhankelijk van verschillende factoren:

  • de complexiteit van de processen;
  • of er gewerkt wordt in ploegendiensten;
  • in hoeverre zaken binnen de organisatie al op orde zijn;
  • het aantal FTE;
  • locaties.

Bovenstaande factoren bepalen de benodigde audittijd, inclusief voorbereiding, uitvoering, rapportage en aanvullende kosten zoals het certificaat, administratie en reiskosten.
Wilt u weten wat dit in uw situatie betekent? Dan is een gesprek met een expert de snelste manier om inzicht te krijgen.

Bespreek uw situatie met een expert

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Veelgestelde vragen

Wat is het verschil tussen ISO 27001 en ISO 27002?

ISO 27001 is een managementsysteemstandaard. In deze norm staat hoe een organisatie haar ISMS op een procesmatige manier kan inrichten. Dit proces moet voldoen aan de PDCA-cyclus en er moet een risicoanalyse gedaan worden. ISO 27002 is een uitbreiding en gaat in op ISO 27001 controls. Het geeft handvaten om invulling te geven aan de vereisten van ISO 27001. In de ISO 27002 staan voorbeelden en beheersmaatregelen om de risicoanalyse voor uw organisatie vorm te geven.

Hoe lang is een ISO 27001-certificaat geldig?

Een certificaat is drie jaar geldig en bestaat uit een certificatiecyclus. In deze drie jaar vinden er controleaudits plaats om te controleren of de organisatie nog steeds voldoet aan de eisen van de norm. Na drie jaar zal er een hercertificering plaatsvinden en bij een positief resultaat wordt het certificaat wederom met drie jaar verlengd.

Wat is het verschil tussen ISO 27001 en NEN 7510?

De basis van beide normen is hetzelfde, maar NEN 7510 is specifiek voor organisaties die persoonlijke gezondheidsinformatie verwerken.

Lees meer over de verschillen en overeenkomsten tussen ISO 27001 en NEN 7510 in ons artikel.

Welke normen vallen onder de ISO 27000-serie?

De ISO 27000 serie zijn alle normen voor informatiebeveiliging. ISO 27001 en ISO 27002 zijn de bekendste normen uit de familie. Alleen de ISO 27001 is te certificeren. Alle andere normen binnen de 27000 familie zijn uitbreidingen op de ISO 27001. Deze normen zijn vaak bedoeld voor vakgebieden/niche-markten welke specifiekere maatregelen nodig hebben. Zo zijn er uitbreidingen voor clouddiensten (ISO 27017), netwerkbeveiliging (ISO 27033) en de zorgbranche (ISO 27799). Al deze normen vindt u terug op de website van ISO of de NEN.

Wat is het verschil tussen ISO 9001 en ISO 27001?

ISO 9001 is een wereldwijde standaard voor kwaliteitsmanagement waarin de focus ligt op de implementatie van een intern kwaliteitsmanagementsysteem. ISO 27001 is een wereldwijd erkende norm voor informatiebeveiliging waarin de focus ligt op de implementatie van een managementsysteem voor informatiebeveiliging.

Wat is het verschil tussen ISAE 3402 en ISO 27001?

ISO 27001 richt zich op informatiebeveiliging binnen organisaties en leidt tot een certificering. ISAE 3402 geeft zekerheid over interne beheersmaatregelen die financiële rapportages van klanten raken. Dit resulteert in een Assurance-rapport. Bovendien is ISO 27001 breed toepasbaar, terwijl ISAE 3402 specifiek bedoeld is voor serviceorganisaties. Ze kunnen wel beiden ingezet worden binnen een organisatie.

Op onze pagina ISAE 3402 vs ISO 27001 leest u meer.

Geaccrediteerd voor ISO 27001

RvA C548

📄 Bekijk onze accreditatieverklaring (pdf)

Klantervaring

Wij denken graag met u mee

  • Bart Versluijs

    Bart Versluijs

  • Jade Reilink

    Jade Reilink

Vragen over ISO 27001?