U bent hier: Blog Wat is ISO 27001?

Blog

Wat is ISO 27001?

ISO 27001 is een managementsysteem voor informatiebeveiliging; dit wordt ook wel een ISMS genoemd (Information Security Management System). De ISO 27001-norm schrijft voor op welke manier dit systeem moet worden gedocumenteerd. Door ISO 27001 richtlijnen binnen uw organisatie te implementeren toont u aan dat uw organisatie een hoge standaard op informatiebeveiliging hanteert. In deze blog vertellen wij u meer over wat een ISO 27001 certificering precies inhoudt en wat Van Houten & Partners hierin kan betekenen.

ISO 27001: informatiebeveiliging waarborgen

Met een ISO 27001 certificaat werkt u op een internationaal gestandaardiseerde manier om de beveiliging van (gevoelige) informatie te allen tijde te waarborgen. Het doel van het implementeren van de ISO 27001 is om incidenten met betrekking tot informatiebeveiliging te voorkomen, of de schade hiervan te beperken. Informatiebeveiligingsincidenten tasten vaak de integriteit van uw bedrijf en uw klanten aan. Voorbeelden van dit soort incidenten:

  • Datalekken, zoals bedrijfsgevoelige en privacygevoelige informatie (bv. klantdata);
  • Een grootschalige stroomstoring;
  • Ongewenste toegang tot systemen;
  • Phishing;
  • DDoS-aanvallen;
  • Uitval van systemen.

Maar waarom dan een ISO 27001 certificering?

Uiteraard neemt u al maatregelen om bovenstaande incidenten te voorkomen. Waarom kiest u dan voor een ISO 27001 certificering? Een ISO 27001 certificaat is internationaal erkend en straalt betrouwbaarheid uit naar de buitenwereld. U laat hiermee indirect zien dat u aan de actuele wet- en regelgeving voldoet ten aanzien van privacy: in de ISO 27001 norm zijn ook de GDPR-regels (Nederland: AVG) meegenomen. Het informatiemanagementsysteem geeft uw klanten daarnaast het vertrouwen dat eventuele privacygevoelige gegevens bij uw organisatie in goede handen zijn. Zeker bij financiële instellingen of andere organisaties die veel (persoons)gegevens verwerken zoals ICT-bedrijven is dit absoluut van belang. Daarnaast verbetert uw concurrentiepositie als bedrijf aanmerkelijk wanneer u een ISO 27001 certificaat hebt. En er zijn nog meer voordelen van een ISO 27001 certificering.

Hoe krijg ik een ISO 27001 certificaat?

U heeft besloten dat u met uw organisatie een ISO 27001 certificaat wilt behalen. Voordat u in aanmerking komt, is het belangrijk om allereerst de norm goed te begrijpen. Daarna kunt u aan de slag om de stappen te doorlopen die leiden tot een ISO 27001 certificaat voor uw bedrijf:

  1. Risk assessment (risicoanalyse)

    U bepaalt een methode waarmee u informatiebeveiligingsissues kunt beoordelen op risico’s.

  2. Risk treatment plan

    Voortbouwend op de risicoanalyse bepaalt u met behulp van de ISO 27001-norm een manier om de vastgestelde risico's te beheersen. U documenteert de te nemen maatregelen per situatie.

  3. Statement of applicability

    Statement of applicability houdt in: welke punten uit de ISO 27001-norm zijn van toepassing? In annex A van de ISO 27001 staat een aantal hoofdmaatregelen beschreven. Met het statement of applicability geeft u aan welke hiervan, op basis van de risicoanalyse, op uw organisatie van toepassing zijn en waarom.

  4. Totaalanalyse

    Vervolgens maakt u een samenvatting van de stappen 1, 2 en 3 in een totaalanalyse. Is alles compleet? Denk dan ook aan een aanvullend plan voor onverwachte incidenten. Er moet een back-up plan zijn als de eerder vastgelegde risico beperkende maatregelen niet werken of als er door de urgentie van de calamiteit geen tijd is om deze maatregelen te volgen.

  5. Informatiebeveiligingsbeleid opstellen

    Dankzij de stappen 1 tot en met 4 heeft u nu als het goed is een totaalbeeld van wanneer welke maatregelen getroffen moeten worden. Nu is het zaak om dit te vertalen naar de praktijk met een informatiebeveiligingsbeleid. Met een ISMS specificeert u de maatregelen en bouwt u deze in uw werkprocessen in.

  6. Interne audit

    U voert een interne audit uit, waarbij alle processen op het gebied van informatiebeveiliging en de bijbehorende documentatie onder de loep worden genomen.

  7. Externe audit en certificering

    Een externe certificerende instantie voert een externe audit uit. Wordt uw informatiebeveiligingsbeleid en alle bijbehorende documentatie goedgekeurd? Dan ontvangt u een ISO 27001 certificaat. Het certificaat is 3 jaar geldig en moet tussentijds actueel worden gehouden.

Ingewikkeld? ISO 27001 certificering bij Van Houten & Partners

We begrijpen dat het zelfstandig doorlopen van de bovenstaande stappen complex is. Van Houten & Partners staat daarom uw organisatie graag bij met begeleiding en advies. Met meer dan 25 jaar ervaring op het gebied van veiligheid, kwaliteit en milieu is uw ISO 27001 certificering bij Van Houten & Partners in de juiste handen. Onze adviseurs begeleiden u van intake tot certificering. Vraag direct een offerte aan voor uw ISO 27001 certificering!

Terug naar het overzicht

Geschreven door:

Jacco Verhoeff

Jacco Verhoeff

010 268 00 65

Gepubliceerd op:

9 november 2020

Vond je dit artikel interessant?

Klimaatverandering in ISO-normen 2 april 2024 De 5 meest gestelde vragen over ISO certificering 7 september 2023 Voordelen van een MVO certificaat volgens de ISO 26000 10 maart 2022

Altijd op de hoogte

Schrijf je in voor onze maandelijkse nieuwsbrief.

.
Vragenlijst wordt geladen...
Quickscan antwoorden
Quickscan resultaat

Vrijblijvend contact over deze mogelijkheden? Laat uw gegevens achter en wij nemen contact met u op.

Wellicht vind je dit ook interessant

Rood veiligheidsnet

Hoe ziet een audit van de Safety Culture Ladder eruit?

Een audit voor de Safety Culture Ladder is een heel andere audit dan een audit voor VCA of een managementsysteem conform een ISO standaard. Bovendien mag een audit voor de Safety Culture Ladder niet in combinatie met een andere audit worden uitgevoerd. Dus tijdens de VCA audit direct de Safety Culture Ladder mee beoordelen, is niet toegestaan. Tijdens de audits voor de Safety Culture Ladder beoordelen de auditoren geen “papieren veiligheid“ zoals procedures etc., maar juist het verhaal daarachter.
Lees verder

Klimaatverandering in ISO-normen

Op 29 februari 2024 hebben International Accreditation Forum (IAF) en International Organization for Standardization (ISO) samen een verklaring uitgebracht waarin ze aanpassingen in verschillende managementsysteemstandaarden belichten. Deze aanpassingen zijn bedoeld om het belang van klimaatverandering binnen de organisatorische context van uw managementsysteem te benadrukken en zijn een directe reactie op de London Declaration on Climate Action.
Lees verder