Wat houdt ISO 27001 in?
ISO 27001 is de wereldwijde erkende standaard voor informatiebeveiliging. Met de ISO 27001-certificering, oftewel ISMS (Information Security Management System) certificering, laat u zien dat u voldoet aan de ISO 27001-eisen rondom informatiebeveiliging.
Informatiebeveiliging is om een aantal redenen belangrijk. Het zorgt ervoor dat:
- vertrouwelijke informatie privé blijft en alleen toegankelijk is voor geautoriseerde personen (vertrouwelijkheid);
- informatie juist en volledig is en dat er op geen enkele manier mee is geknoeid of gewijzigd (integriteit);
- informatie beschikbaar is voor degenen die het nodig hebben wanneer ze het nodig hebben (beschikbaarheid).
Veel bedrijfstakken en overheidsvoorschriften vereisen dat bedrijven bepaalde soorten informatie beschermen, en als dit niet gebeurt, kan dit juridische en financiële gevolgen hebben. Een inbreuk op de informatiebeveiliging kan de reputatie van een bedrijf schaden en het vertrouwen van de klant aantasten, wat moeilijk te herstellen kan zijn.
Kortom, het beveiligen van informatie is van cruciaal belang voor het beschermen van gevoelige informatie, het behouden van het vertrouwen van klanten en partners en het waarborgen van naleving van wet- en regelgeving. Een ISO 27001-certificering is dus van hoge waarde. Hiermee kunt u aan stakeholders aantonen dat uw informatiebeveiliging aan hoge eisen voldoet. Brand Compliance kan deze certificering onder accreditatie voor u uitvoeren.
Wat zijn de eisen voor ISO 27001?
ISO 27001 beschrijft de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS).
De belangrijkste eisen van ISO 27001 zijn:
- Contextanalyse: De organisatie moet de interne en externe omgeving begrijpen om de scope en doelstellingen van het ISMS vast te stellen.
- Risicobeoordeling en risicobehandeling: De organisatie moet de risico’s identificeren die de informatiebeveiliging beïnvloeden en maatregelen nemen om ze te behandelen.
- Beveiligingscontroles: De organisatie moet aangepaste beveiligingscontroles implementeren, regelmatig evalueren en bijwerken.
- Managementverantwoordelijkheid: Het topmanagement moet middelen en ondersteuning bieden voor het ISMS en actief betrokken zijn.
- Prestatie-evaluatie: De organisatie moet regelmatig de prestaties van het ISMS evalueren om het systeem continu te verbeteren.
- Continu verbeteren: De organisatie moet continu streven naar verbetering van de informatiebeveiliging en voldoen aan de veranderende behoeften van belanghebbenden.
Is ISO 27001 moeilijk te verkrijgen?
Om een ISO 27001-certificering te behalen, kunt u de volgende stappen doorlopen:
- De ISO 27001-PDF is aan te schaffen via bijvoorbeeld de NEN.
- Plan een gratis en vrijblijvend kennismakingsgesprek met een van onze accountmanagers om meer te weten te komen over de certificering voor uw organisatie.
- Verwerf de benodigde kennis over ISO 27001, bijvoorbeeld door een training te volgen.
- Implementeer het ISO 27001 managementsysteem in uw organisatie en zorg ervoor dat het aan de normeisen voldoet.
- Voer interne audits uit om te controleren of het systeem goed werkt en om te beoordelen of uw systeem aan de normeisen voldoet.
- Laat het management de resultaten van de interne audit beoordelen en neem eventuele corrigerende maatregelen. Leg de conclusie over het voldoen aan de eisen vast in de directiebeoordeling.
- Laat een onafhankelijke auditor van Brand Compliance bepalen of uw managementsysteem voldoet aan alle ISO 27001-normeisen.
- Als uw organisatie voldoet aan de normeisen, ontvangt u van ons een ISO 27001-certificaat.
Wat kost een ISO 27001 certificering?
De implementatie begint bij de aanschaf van de ISO 27001 norm. De kosten van het gehele traject zijn afhankelijk van verschillende factoren. Bijvoorbeeld de complexiteit van de processen, of er gewerkt wordt in ploegendiensten, in hoeverre zaken binnen de organisatie al op orde zijn, het aantal FTE en locaties. De kosten voor de certificering bestaan uit het aantal uur dat Brand Compliance bezig is met de voorbereiding van de audit, de audit zelf, de rapportage en additionele kosten zoals het certificaat, administratie en reiskosten. De snelste weg voor de berekening van de kosten start met een kennismakingsgesprek.
Nadere informatie
Voor nadere informatie over alles wat te maken heeft met certificeringen hebben we onze kennisbank opgericht, met daarin o.a. een aantal artikelen onder ‘certificatietraject‘.
Informatie over de verschillen tussen ISO 27001 in relatie met andere normen, vindt u hieronder in onze FAQ.
Meer infoFAQ
ISO 27001 is een managementsysteemstandaard. In deze norm staat hoe een organisatie haar ISMS op een procesmatige manier kan inrichten. Dit proces moet voldoen aan de PDCA-cyclus en er moet een risicoanalyse gedaan worden. ISO 27002 is een uitbreiding en gaat in op ISO 27001 controls. Het geeft handvaten om invulling te geven aan de vereisten van ISO 27001. In de ISO 27002 staan voorbeelden en beheersmaatregelen om de risicoanalyse voor uw organisatie vorm te geven.
Een certficaat is drie jaar geldig en bestaat uit een cyclus. In deze drie jaar vinden er controleaudits plaats om te controleren of de organisatie nog steeds voldoet aan de eisen van de norm. Na drie jaar zal er een hercertificering plaatsvinden en bij een positief resultaat wordt het certificaat wederom met drie jaar verlengd.
De basis van beide normen is hetzelfde, maar NEN 7510 is specifiek voor organisaties die persoonlijke gezondheidsinformatie verwerken.
De ISO 27000 serie zijn alle normen voor informatiebeveiliging. ISO 27001 en ISO 27002 zijn de bekendste normen uit de familie. Alleen de ISO 27001 is te certificeren. Alle andere normen binnen de 27000 familie zijn uitbreidingen op de ISO 27001. Deze normen zijn vaak bedoeld voor vakgebieden/niche-markten welke specifiekere maatregelen nodig hebben. Zo zijn er uitbreidingen voor clouddiensten (ISO 27017), netwerkbeveiliging (ISO 27033) en de zorgbranche (ISO 27799). Al deze normen vindt u terug op de website van ISO of de NEN. Een overzicht van alle normen bekijkt u op de ISO 27000 wikipedia pagina.
De ISO 9001 is een wereldwijde standaard voor kwaliteitsmanagement waarin de focus ligt op de implementatie van een intern kwaliteitsmanagementsysteem. ISO 27001 is een wereldwijd erkende norm voor informatiebeveiliging waarin de focus ligt op de implementatie van een managementsysteem voor informatiebeveiliging.