ISO 27001 certificering

Als organisatie wilt u ‘in control’ zijn als het gaat om de veiligheid van uw informatie. Om uw informatiebeveiliging aantoonbaar te maken kunt u overgaan tot een ISO 27001 certificering. Dit biedt stakeholders meer zekerheid en kan zorgen voor commerciële kansen. Wilt u ook voldoen aan de eisen rondom informatiebeveiliging? Beschermheren coacht, ondersteund en ontzorgt om uw informatiebeveiliging op orde te krijgen.

Door het snel veranderende IT landschap, waarin (cyber)dreigingen alleen maar toenemen, worden organisaties aangemoedigd om informatiebeveiliging serieus te nemen. Vanuit leveranciers en klanten wordt verwacht dat risico’s in kaart zijn gebracht, beoordeeld, er passende maatregelen zijn geïmplementeerd en deze continue worden onderhouden. Met een ISO 27001 certificering kunt u laten zien dat uw organisatie een structurele aanpak voor informatiebeveiliging toepast. Dit kan een hoop voordeel opleveren. Zo draagt de norm bij aan verdere professionalisering, kan het leiden tot kostenreductie, voldoet uw organisatie aan wettelijke vereisten en levert het een competitief voordeel op.

Wat is ISO 27001?

ISO 27001 is dé wereldwijde standaard voor informatiebeveiliging. De norm beschrijft hoe uw organisatie procesmatig kan omgaan met het beveiligen van informatie. Doel hiervan is om de beschikbaarheid, integriteit en betrouwbaarheid van uw informatie te waarborgen. Hierbij kunt u denken aan het beschermen van persoons- en bedrijfsgegevens en de bescherming tegen hackers en andere cybercriminelen. Met deze certificering op zak laat u klanten, leveranciers en andere belanghebbende zien dat u informatiebeveiliging serieus neemt.

ISO 27001 heeft een managementsysteem met een eenduidige structuur, ook wel Information Security Management System (ISMS) genoemd. Dit managementsysteem is vergelijkbaar met de systemen voor kwaliteitsborging en gerelateerde normen als bijvoorbeeld ISO 9001. Hierdoor is het mogelijk om ISO 27001 te integreren in de reeds bestaande managementsystemen binnen uw organisatie, waardoor het een integraal onderdeel wordt.

Waarom is een ISO 27001 certificering belangrijk? 

Steeds meer wetten, reguleringen, aanbestedingen en contracten leggen een ISO 27001 certificering op aan organisaties, als een minimumvoorwaarde om als betrouwbare partner te worden beschouwd. Daar komt de Europese cybersecuritywet, de NIS 2, nog eens bij. Deze nieuwe wetgeving verhoogt de cybersecurity-eisen voor organisaties in heel Europa, en verwijst indirect naar ISO 27001 als referentie-standaard om hieraan te voldoen. Cybersecurity (informatiebeveiliging) is daarmee niet meer een zaak die je overlaat aan je IT-beheerder, maar waar je zelf als bestuurder verantwoordelijk voor bent. 

Met een ISO 27001 certificaat toont uw organisatie aan dat er wordt voldaan aan de strenge normeisen rondom informatiebeveiliging. Het behalen van dit certificaat zorgt ervoor dat u bent beschermd tegen informatiebeveiligingsincidenten; en beveiligingsrisico’s beperkt blijven. Uw organisatie voldoet hiermee aan de huidige wet- en regelgeving. Dit verhoogd de betrouwbaarheid van uw organisatie richting stakeholders, zorgt voor een professionaliseringsslag en onderscheid u van concurrenten. Dit bevorderd de continuïteit van uw organisatie en kan zorgen voor nieuwe commerciële kansen.

De voordelen van een ISO 27001 certificaat op een rij:

R

Professionalisering door nieuwe inzichten in eigen processen

R

Een toename van klanten en/of opdrachten

R

Verhoogd het vertrouwen van stakeholders omdat gegevens veilig zijn

R

Systematische aanpak die leidt tot verbetering

R

Minder tot geen datalekken en/of hacks

R

Een internationaal herkenbaar en erkend certificaat

R

Toont verantwoordelijkheid op het gebied van informatiebeveiliging

Voor wie is ISO 27001 bedoeld? 

Een ISO 27001 certificaat kan bij elke organisatie worden geïmplementeerd, profit of non-profit, privaat of in bezit van de overheid, klein of groot. Maar organisaties die door middel van riskbased maatregelen, processen en procedures willen aantonen dat zij serieus met informatiebeveiliging omgaan hebben een voorsprong door hun intrinsieke motivatie. Het belang van betrokkenheid van het management is dan ook erg groot bij het behalen van het ISO 27001.

Hoe lang is een ISO 27001 certificaat geldig? 

Het behalen van een ISO 27001 certificering is een proces van 3 tot 9 maanden, afhankelijk van de betrokkenheid, beschikbare resources en de grootte van uw organisatie, waarbij het uiteindelijke certificaat 3 jaar geldig is. Na certificering volgt er jaarlijks één controle-audit om na te gaan of u nog aan de gestelde eisen voldoet. Na drie jaar krijgt uw organisatie te maken met een her-certificering. Bij een positief resultaat ontvangt u opnieuw een certificaat voor een periode van drie jaar. Het is dus van belang dat uw organisatie het certificeringstraject ziet als een proces, en niet als project.

Wat is het verschil tussen ISO 27001 en ISO 27002? 

ISO 27001 en ISO 27002 zijn allebei normen op het gebied van informatiebeveiliging. Het verschil tussen deze twee is dat u zich voor ISO 27001 kunt laten certificeren. ISO 27002 is een verdiepingsslag. Hierin staat meer informatie en details over welke maatregelen u kunt nemen om aan de eisen van ISO 27001 te voldoen.

Wat is het verschil tussen ISO 27001 en NEN 7510?

Ook NEN 7510 is een norm op het gebied van informatiebeveiliging. Deze certificering is weer specifiek gericht op de informatiebeveiliging in de zorg. Een NEN 7510 certificering helpt organisaties die persoonlijke gezondheidsinformatie verwerken met de juiste maatregelen om beveiligingsrisico’s aan te pakken. Ook hierin is Beschermheren gespecialiseerd.

Aan de slag met informatiebeveiliging

Het duurzaam borgen van informatiebeveiliging is een proces en geen project op zich. Dit heeft niet alleen betrekking op de techniek. Ook de organisatie en de mensen zijn hier van grote invloed op. Om informatiebeveiliging in de praktijk te laten slagen is het commitment van de directie essentieel. Daarnaast is het van groot belang om een informatiebeveiligingsbeleid op te stellen. Hierin staan de afspraken en richtlijnen voor het verwerken en beschermen van informatie binnen uw organisatie.

Om te komen tot een dergelijk informatiebeveiligingsbeleid worden alle activiteiten vastgelegd conform de ISO 27001 norm. Hierdoor wordt er een Information Security Management Systeem (ISMS) opgebouwd. Vanuit dit ISMS kan de verdere borging van informatiebeveiliging gemanaged worden op de gebieden: mens, organisatie (processen) en techniek. Daarnaast wordt binnen dit ISMS de opzet, bestaan en werking vastgelegd en kan richting de relevante stakeholders worden aangetoond dat de organisatie aantoonbaar ”in control” is op haar informatiebeveiliging. Aansluitend kan er worden overgegaan tot certificering.

Om het geheel toegankelijk, overzichtelijk en actueel te houden maken we gebruik van een speciaal daarvoor ontwikkelde oplossing ISO4U. Dit is een web-based ISMS tool waar alle informatie volgens een vaste structuur in staat opgeslagen.  

ISO 27001 certificering met Beschermheren

Bij een ISO 27001, BIO of NEN 7510 certificering via Beschermheren maken wij gedurende het gehele traject gebruik van de Roadmap Implementatie Informatiebeveiliging. Deze roadmap stelt uw bedrijf instaat om de activiteiten in één oogopslag duidelijk te hebben, deze toe te kennen en op de tijdslijn te plaatsen. Bij het volgen van de roadmap behaalt u het gestelde certificeringsmoment.

De voordelen van de roadmap bij ISO 27001 certificering

Er zijn diverse voordelen te benoemen voor het gebruik van de roadmap tijdens het ISO 27001 certificeringstraject. De voornaamste is toch wel de bewezen pragmatische en methodische aanpak die ook bekend is bij nagenoeg alle certificerende instanties. Omdat deze flexibel in te zetten is sluit hij naadloos aan op uw bedrijf, ongeacht de organisatieomvang, managementdoelstellingen, complexiteit en mate van formalisering. Daarnaast geeft de roadmap overzicht en geeft het duidelijkheid over wie wat wanneer gaat doen, hoe en waarmee.

De roadmap is onderverdeeld in drie fases. Iedere fase bestaat uit diverse activiteiten. Hieronder een kort overzicht: 

Planning

R

Het vaststellen van projectuitgangspunten, de scope, inrichting en communicatie van het uit te voeren project.

R

Het uitvoeren van diverse assessments, risico(analyses) en risicoafwegingen.

R

Richting geven aan informatiebeveiligingsbeleid, procedures en processen.

Controle

R

Implementeren van maatregelen en integratie met operationele procedure en processen.

R

Ondersteuning van procedures en werkinstructies ten behoeve van o.a. HRM, Facilitaire zaken, training van medewerkers etc.

R

Opzetten van borging van informatiebeveiliging binnen het bedrijf, opzetten van de PDCA-cyclus conform de gestelde norm.

Certificering

R

Controle en naleving van de geïmplementeerde maatregelen, procedures en processen.

R

Toetsing en borging van het ISMS.

R

Monitoring & logging, interne audits en verbeterpunten.

Beschermheren biedt verschillende scenario’s voor de implementatie van ISO 27001 binnen uw organisatie. Deze zijn gebaseerd op de mate van zelfwerkzaamheid (autonomie om zelfstandig e.e.a. te realiseren) en/of uw zelfredzaamheid (het vermogen zelfstandig e.e.a. te realiseren) en/of de gewenste inzet (ondersteuning) door Beschermheren. Een CISO as a service is ook onderdeel van onze dienstverlening.

Bent u benieuwd naar de mogelijkheden om uw organisatie te certificeren voor de ISO 27001? Neem dan vandaag nog contact met ons op en zet de eerste stappen naar informatiebeveiliging als integraal onderdeel van de organisatie.

 

Beschermheren

Daalwijkdreef 35
1103 AD Amsterdam
T 020 21 70 444
info@beschermheren.nl
Routebeschrijving

Algemene voorwaarden

A man should look for what is, and not for what he thinks should be.

Albert Einstein