Blog

Wat is ISO 27001?

ISO 27001 is een managementsysteem voor informatiebeveiliging; dit wordt ook wel een ISMS genoemd (Information Security Management System). De ISO 27001-norm schrijft voor op welke manier dit systeem moet worden gedocumenteerd. Door ISO 27001 richtlijnen binnen uw organisatie te implementeren toont u aan dat uw organisatie een hoge standaard op informatiebeveiliging hanteert. In deze blog vertellen wij u meer over wat een ISO 27001 certificering precies inhoudt en wat Van Houten & Partners hierin kan betekenen.

ISO 27001: informatiebeveiliging waarborgen

Met een ISO 27001 certificaat werkt u op een internationaal gestandaardiseerde manier om de beveiliging van (gevoelige) informatie te allen tijde te waarborgen. Het doel van het implementeren van de ISO 27001 is om incidenten met betrekking tot informatiebeveiliging te voorkomen, of de schade hiervan te beperken. Informatiebeveiligingsincidenten tasten vaak de integriteit van uw bedrijf en uw klanten aan. Voorbeelden van dit soort incidenten:

  • Datalekken, zoals bedrijfsgevoelige en privacygevoelige informatie (bv. klantdata);
  • Een grootschalige stroomstoring;
  • Ongewenste toegang tot systemen;
  • Phishing;
  • DDoS-aanvallen;
  • Uitval van systemen.

Maar waarom dan een ISO 27001 certificering?

Uiteraard neemt u al maatregelen om bovenstaande incidenten te voorkomen. Waarom kiest u dan voor een ISO 27001 certificering? Een ISO 27001 certificaat is internationaal erkend en straalt betrouwbaarheid uit naar de buitenwereld. U laat hiermee indirect zien dat u aan de actuele wet- en regelgeving voldoet ten aanzien van privacy: in de ISO 27001 norm zijn ook de GDPR-regels (Nederland: AVG) meegenomen. Het informatiemanagementsysteem geeft uw klanten daarnaast het vertrouwen dat eventuele privacygevoelige gegevens bij uw organisatie in goede handen zijn. Zeker bij financiële instellingen of andere organisaties die veel (persoons)gegevens verwerken zoals ICT-bedrijven is dit absoluut van belang. Daarnaast verbetert uw concurrentiepositie als bedrijf aanmerkelijk wanneer u een ISO 27001 certificaat hebt. En er zijn nog meer voordelen van een ISO 27001 certificering.

Hoe krijg ik een ISO 27001 certificaat?

U heeft besloten dat u met uw organisatie een ISO 27001 certificaat wilt behalen. Voordat u in aanmerking komt, is het belangrijk om allereerst de norm goed te begrijpen. Daarna kunt u aan de slag om de stappen te doorlopen die leiden tot een ISO 27001 certificaat voor uw bedrijf:

  1. Risk assessment (risicoanalyse)

    U bepaalt een methode waarmee u informatiebeveiligingsissues kunt beoordelen op risico’s.

  2. Risk treatment plan

    Voortbouwend op de risicoanalyse bepaalt u met behulp van de ISO 27001-norm een manier om de vastgestelde risico's te beheersen. U documenteert de te nemen maatregelen per situatie.

  3. Statement of applicability

    Statement of applicability houdt in: welke punten uit de ISO 27001-norm zijn van toepassing? In annex A van de ISO 27001 staat een aantal hoofdmaatregelen beschreven. Met het statement of applicability geeft u aan welke hiervan, op basis van de risicoanalyse, op uw organisatie van toepassing zijn en waarom.

  4. Totaalanalyse

    Vervolgens maakt u een samenvatting van de stappen 1, 2 en 3 in een totaalanalyse. Is alles compleet? Denk dan ook aan een aanvullend plan voor onverwachte incidenten. Er moet een back-up plan zijn als de eerder vastgelegde risico beperkende maatregelen niet werken of als er door de urgentie van de calamiteit geen tijd is om deze maatregelen te volgen.

  5. Informatiebeveiligingsbeleid opstellen

    Dankzij de stappen 1 tot en met 4 heeft u nu als het goed is een totaalbeeld van wanneer welke maatregelen getroffen moeten worden. Nu is het zaak om dit te vertalen naar de praktijk met een informatiebeveiligingsbeleid. Met een ISMS specificeert u de maatregelen en bouwt u deze in uw werkprocessen in.

  6. Interne audit

    U voert een interne audit uit, waarbij alle processen op het gebied van informatiebeveiliging en de bijbehorende documentatie onder de loep worden genomen.

  7. Externe audit en certificering

    Een externe certificerende instantie voert een externe audit uit. Wordt uw informatiebeveiligingsbeleid en alle bijbehorende documentatie goedgekeurd? Dan ontvangt u een ISO 27001 certificaat. Het certificaat is 3 jaar geldig en moet tussentijds actueel worden gehouden.

Ingewikkeld? ISO 27001 certificering bij Van Houten & Partners

We begrijpen dat het zelfstandig doorlopen van de bovenstaande stappen complex is. Van Houten & Partners staat daarom uw organisatie graag bij met begeleiding en advies. Met meer dan 25 jaar ervaring op het gebied van veiligheid, kwaliteit en milieu is uw ISO 27001 certificering bij Van Houten & Partners in de juiste handen. Onze adviseurs begeleiden u van intake tot certificering. Vraag direct een offerte aan voor uw ISO 27001 certificering!

Terug naar het overzicht