ISO 27001-certificering
ISO 27001-certificering is voor veel organisaties de standaard om informatiebeveiliging
structureel en aantoonbaar in te richten. Met een ISO 27001-certificaat laat u zien dat uw
organisatie voldoet aan internationale eisen op het gebied van informatiebeveiliging.
Brand Compliance voert ISO 27001-certificering uit
onder accreditatie van de Raad voor Accreditatie (RvA).
Wat is ISO 27001 en waarom is ISO 27001-certificering belangrijk?
ISO 27001 is de wereldwijd erkende norm voor informatiebeveiliging. Met een ISO 27001-certificering toont u aan dat uw organisatie voldoet aan de internationale eisen voor het opzetten, implementeren en onderhouden van een Information Security Management System (ISMS).
Met een ISO 27001-certificaat laat u aan klanten, partners en andere stakeholders zien dat informatiebeveiliging binnen uw organisatie aantoonbaar en structureel is ingericht. Dit biedt vertrouwen en transparantie richting de markt en toezichthouders.
Onze experts
Bart Versluijs en Jade Reilink zijn beschikbaar om u te voorzien van informatie over ISO 27001-certificering.
Heeft u vragen over de toepasbaarheid van ISO 27001 binnen uw organisatie, het certificeringsproces of de kostenstructuur? Dan kunnen zij deze toelichten.
Waarom is informatiebeveiliging belangrijk?
Informatiebeveiliging speelt een cruciale rol binnen vrijwel iedere organisatie. Het zorgt ervoor dat:
- vertrouwelijke informatie alleen toegankelijk is voor geautoriseerde personen (vertrouwelijkheid);
- informatie juist en volledig blijft, zonder ongeautoriseerde wijzigingen (integriteit);
- informatie beschikbaar is op het moment dat deze nodig is (beschikbaarheid).
Veel sectoren en wet- en regelgeving stellen eisen aan de bescherming van informatie. Wanneer informatiebeveiliging onvoldoende is ingericht, kan dit leiden tot juridische en financiële gevolgen, reputatieschade en verlies van vertrouwen bij klanten en partners. Een incident op het gebied van informatiebeveiliging heeft vaak langdurige impact en is lastig te herstellen.
De waarde van een ISO 27001-certificaat
Met een ISO 27001-certificering laat u zien dat informatiebeveiliging geen losse maatregel is, maar een structureel onderdeel van uw organisatie. Dit draagt bij aan:
- bescherming van gevoelige informatie;
- vertrouwen bij klanten en ketenpartners;
- aantoonbare naleving van wet- en regelgeving.
Daarmee is ISO 27001-certificering voor veel organisaties niet alleen wenselijk, maar strategisch van grote waarde.
Klantervaring
Kumina B.V. doorliep het ISO 27001-certificeringstraject bij Brand Compliance. In dit artikel wordt beschreven hoe deze organisatie het certificeringsproces heeft ervaren.
ISO 27001-eisen voor een ISMS
ISO 27001 beschrijft de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). De norm stelt onder meer eisen aan:
- Contextanalyse
De organisatie moet de interne en externe omgeving begrijpen om de scope en doelstellingen van het ISMS vast te stellen. - Risicobeoordeling en risicobehandeling
Risico’s die de informatiebeveiliging beïnvloeden worden geïdentificeerd en behandeld. - Beveiligingscontroles
Passende beveiligingsmaatregelen worden geïmplementeerd, geëvalueerd en bijgewerkt. - Managementverantwoordelijkheid
Het topmanagement stelt middelen beschikbaar en is actief betrokken bij het ISMS. - Prestatie-evaluatie
De werking van het ISMS wordt periodiek beoordeeld. - Continu verbeteren
De organisatie werkt voortdurend aan verbetering van de informatiebeveiliging.
ISO 27001 stappenplan voor certificering
Om een ISO 27001-certificering te behalen, doorloopt een organisatie doorgaans de volgende stappen:
- Aanschaf van de ISO 27001-norm (bijvoorbeeld via de NEN).
- Vergaren van kennis over ISO 27001, bijvoorbeeld door het volgen van een training.
- Implementatie van het ISO 27001-managementsysteem en inrichting conform de normeisen.
- Uitvoeren van interne audits om de werking van het systeem te beoordelen.
- Beoordeling door het management en vastlegging in de directiebeoordeling.
- Uitvoering van een onafhankelijke audit door Brand Compliance.
Wanneer uw organisatie voldoet aan de normeisen, kan een ISO 27001-certificaat worden afgegeven.
Kosten van ISO 27001-certificering
De kosten van ISO 27001-certificering zijn afhankelijk van onder andere:
- de complexiteit van de processen;
- het werken in ploegendiensten;
- de mate waarin zaken al op orde zijn;
- het aantal FTE;
- het aantal locaties.
Deze factoren bepalen de benodigde audittijd, inclusief voorbereiding, uitvoering, rapportage en aanvullende kosten zoals het certificaat, administratie en reiskosten.
In een gesprek met een expert krijgt u inzicht in wat dit in uw situatie betekent.
ISO 27001 is een managementsysteemnorm. ISO 27002 biedt handvatten en voorbeelden voor het invullen van beveiligingsmaatregelen.
Een certificaat is drie jaar geldig. In deze periode vinden periodieke controle-audits plaats. Na drie jaar volgt hercertificering.
NEN 7510 is specifiek gericht op organisaties die persoonlijke gezondheidsinformatie verwerken. De basis van beide normen is gelijk.
De ISO 27000-serie omvat alle normen voor informatiebeveiliging. Alleen ISO 27001 is certificeerbaar.
ISO 9001 richt zich op kwaliteitsmanagement. ISO 27001 richt zich op informatiebeveiliging.
ISO 27001 leidt tot certificering van informatiebeveiliging. ISAE 3402 resulteert in een assurance-rapport over interne beheersmaatregelen.