Information security – and with it ISO 27001 certification – is very much in the spotlight. Organisations are increasingly dealing with confidential and/or privacy-sensitive data. It is essential that this information does not leak out or get left around. But how do you, as an organisation, ensure that you take the right control measures to prevent this? And how do you show customers, suppliers and other stakeholders that you have taken these measures? ISO 27001 certification is the solution.

ISO 27001 standard

The ISO 27001 standard is the worldwide standard for information security. The basis for this is the implementation of an information security management system. In this document you lay down, among other things, which implementation and management of controls you have carried out in the area of information security. Alongside the technical aspect of information security, the role of people – both inside and outside the organisation – is central. If you set up the system in accordance with the ISO 27001 standard and have its operation tested and certified by an independent party, you demonstrate to your customers in a simple, transparent and globally accepted manner that information security is being implemented properly in your organisation. So your customers have peace of mind when doing business with you. It’s not surprising that ISO 27001 certification is a common requirement in tenders.

ISO 27001 certification

We would like to carry out for you the audits required to obtain an ISO 27001 certificate. Because every organisation is unique, we would be happy to discuss your starting position with you and identify any steps which still need to be taken to be ready for certification. We then draw up a tailor-made certification proposal for you. The cost of ISO 27001 certification depends on various factors, such as the size and complexity of your organisation.

What is the difference between ISO 27001 and ISO 27002?

ISO 27001 is a management system standard which sets out how an organisation can set up its ISMS in a process-oriented way. This process must comply with the PDCA cycle and a risk analysis must be carried out. ISO 27002 is an extension of ISO 27001. It provides guidance on how to meet the requirements of ISO 27001. ISO 27002 contains examples and measures to shape the risk analysis for your organisation.

The other standards of the ISO 27000 family

The ISO 27000 series are all standards for information security. ISO 27001 and ISO 27002 are the best-known standards in the series. ISO 27001 is the only one for which certification can be obtained. All the standards after 27001 are extensions to ISO 27001 and most of them are intended for fields/niche markets that require more specific measures. For example, there are extensions for cloud services (ISO 27017), network security (ISO 27033) and the healthcare sector (ISO 27799). All these standards can be found on the websites of ISO and NEN. An overview of all the standards can be found on the ISO 27000 wikipedia page.

ISO 27701 for privacy

ISO 27701  is also an extension of the ISO 27001 standard for information security, but provides specific privacy controls. The purpose of this standard is to provide organisations with a practical framework with which they can extend the existing ISMS to become a PIMS (Privacy Information Management System).

We are accredited for ISO 27001. Read our article if you want to know more about the difference between certification and accreditation.
Brand Compliance carries out the audits required to obtain certification for various standards. Please see  this page  for an up-to-date overview of the standards for which we are currently accredited.

Veelgestelde vragen

Wat is het verschil tussen ISO 27001 en ISO 27002?

ISO 27001 is een managementsysteemstandaard. In deze norm staat hoe je als organisatie je ISMS op een procesmatige manier kunt inrichten. Dit proces moet voldoen aan de PDCA-cyclus en er moet een risicoanalyse gedaan worden. ISO 27002 is een uitbreiding op ISO 27001. Het geeft handvaten om invulling te geven aan de vereisten van ISO 27001. In de ISO 27002 staan voorbeelden en maatregelen om de risicoanalyse voor uw organisatie vorm te geven.

Wat is het verschil tussen ISO 27001 en NEN 7510?

De basis van beide normen is hetzelfde. NEN 7510 is specifiek voor organisaties die persoonlijke gezondheidinformatie verwerken. Deze norm heeft 3 extra beheersmaatregelen en voor 33 bestaande beheersmaatregelen een zorg specifieke beheersmaatregel benoemd.

Lees hier een uitgebreider artikel over de verschillen tussen ISO 27001 en NEN 7510.

Welke andere normen kent de ISO 27000 familie?

De ISO 27000 serie zijn alle normen voor informatiebeveiliging. ISO 27001 en ISO 27002 zijn de bekendste normen uit de familie. Alleen de ISO 27001 is te certificeren. Alle andere normen binnen de 27000 familie zijn uitbreidingen op de ISO 27001. Deze normen zijn vaak bedoelt voor vakgebieden/niche-markten welke specifiekere maatregelen nodig hebben. Zo zijn er uitbreidingen voor clouddiensten (ISO 27017), netwerkbeveiliging (ISO 27033) en de zorgbranche (ISO 27799). Al deze normen vindt u terug op de website van ISO of de NEN. Een overzicht van alle normen bekijkt u op de ISO 27000 wikipedia pagina.

Wat is het verschil tussen certificatie en accreditatie?

Bij certificatie toetst een onafhankelijke certificatie-instelling of het kwaliteitssysteem van een instelling voldoet aan vooraf vastgestelde normen. Iedereen kan een certificaat of een keurmerk afgeven, maar het geeft meer vertrouwen als een gespecialiseerde certificatie instelling dit doen, een auditbureau. Het geeft meer vertrouwen als deze instelling geaccrediteerd is. Dat betekent dat deze organisatie aan bepaalde eisen voldoet, onpartijdig en deskundig is.

Lees hier een uitgebreider artikel over de verschillen tussen certificatie en accreditatie.

Wat is een nulmeting en wat is het nut hiervan?

Een nulmeting wordt ook wel een pre-audit genoemd. Door middel van een pre-audit weet de organisatie in hoeverre hij al voldoet aan een bepaalde norm. Een pre-audit is niet verplicht maar een organisatie die een pre-audit heeft afgerond ziet hier vaak voordelen in. Het voordeel van een pre-audit is dat er een soepele overgang is van de fase 1 naar de fase 2 in het audittraject waardoor de fase 1 uiteindelijk minder kosten met zich meebrengt. Een pre-audit kost gemiddeld één dag wat gelijk staat aan € 1.280 euro.

Wat houdt een intentieverklaring in?

In een intentieverklaring wordt een intentie uitgesproken wanneer een organisatie gecertificeerd wilt worden voor een bepaalde norm. Deze verklaring laat zien dat de organisatie al serieus bezig is met het certificeringstraject en dus in de toekomst verwacht gecertificeerd te zijn voor een bepaalde norm.