Gratis demo Contact
ISO 27001

ISO 27001

Wat is ISO 27001?

De ISO 27001 norm wordt wereldwijd erkend als de standaard op het gebied van informatiebeveiliging. De norm biedt organisaties een kader voor het procesmatig beveiligen van hun informatie met behulp van een Information Security Management System (ISMS). De standaard is van toepassing in verschillende sectoren en kent ook specifieke uitwerkingen voor bepaalde branches. Zo werkt de overheid met de op ISO 27001 gebaseerde Baseline Informatiebeveiliging Overheid (BIO) en de gezondheidszorg met NEN 7510.

Is de ISO 27001 verplicht?

Hoewel de ISO 27001-norm wereldwijd erkenning krijgt en tal van voordelen biedt, is het voor organisaties niet juridisch verplicht om deze te implementeren of een certificering te behalen. Dit kan voor de branchespecifieke uitwerkingen overigens wel anders zijn.

Sowieso is het wel belangrijk om te benadrukken dat organisaties in Nederland wel degelijk een verplichting hebben om hun informatiebeveiliging goed te regelen. Vooral als het gaat om de bescherming van persoonsgegevens. Volgens de Algemene Verordening Gegevensbescherming (AVG) moeten organisaties persoonsgegevens zowel technisch als organisatorisch adequaat beveiligen. De implementatie van ISO 27001 kan hierbij een effectieve leidraad bieden om te zorgen dat je informatiebeveiliging binnen je bedrijf op een hoog niveau staat.

Voordelen ISO 27001

En dat is dan ook een belangrijk voordeel van de ISO 27001 norm. Je hoeft niet zelf een raamwerk te ontwikkelen voor je informatiebeveiliging. In plaats daarvan kun je de richtlijnen van ISO 27001 als uitgangspunt gebruiken en aan de hand daarvan je eigen specifieke informatiebeveiligingssysteem opzetten. Dat helpt je bij het naleven van juridische en regulerende eisen, zoals de GDPR (General Data Protection Regulation) en de komende NIS2 wetgeving. Ook zijn zoals aangegeven vele sectorspecifieke beveiligingsstandaarden op ISO 27001 gebaseerd; zoals de BIO (Baseline Informatiebeveiliging Overheid) en NEN 7510 (voor de zorgsector). Dit maakt deze norm tot een solide basis voor de toepassing van effectieve informatiebeveiligingsmaatregelen binnen deze sectoren.

Waarom ISO certificering?

Daarbij is het extra nuttig als je het gebruik van de ISO 27001 standaard ‘officieel’ maakt door te zorgen dat je ISO-gecertificeerd zijn. Dan hoef je niet zelf informatie te verzamelen om klanten, partners en andere stakeholders te overtuigen van je professionaliteit. In plaats daarvan is zo’n ISO 27001-certificaat een bewijs van een deskundig georganiseerde informatiebeveiliging. In veel situaties is het zelfs een vereiste om ISO 27001-gecertificeerd te zijn voor zakelijke transacties. Zo verlangen sommige organisaties van hun leveranciers dat ze ISO 27001-gecertificeerd zijn om de veiligheid van hun data te waarborgen. Ook bij (ICT-gerelateerde) aanbestedingen is het beschikken over een ISO 27001 certificering een veelvoorkomende eis.

Kernrichtlijnen van ISO 27001

ISO 27001 omhelst het inrichten van een Information Security Management System (ISMS) om risico's omtrent informatiebeveilignig te kunnen identificeren en vervolgens gericht maatregelen te kunnen nemen. Dit ISMS omvat de context van de organisatie, haar doelstelling en het beleid omtrent infomatiebeveiliging. Met als doel het plannen, doen, checken en acteren (PDCA) om op basis van scenario's en incidenten continue verbetering te kunnen realiseren met verschillende beheersmaatregelen.

ISO 27001 bied daarbij een reeks concrete maatregelen die organisaties helpen hun informatiebeveiliging te structureren en te versterken. Deze maatregelen zijn verder uitgewerkt in ISO 27002 die een informatieve aanvulling vormt op ISO 27001. Beide normen zijn verkrijgbaar via de NEN website. Binnen de standaarden onderscheiden we vier verschillende type maatregelen:

  1. Organisatorische beheersmaatregelen: Dit betreft het organiseren van beheersmaatregelen waaronder beleid, functies en verantwoordelijkheden, relaties met leveranciers en andere partijen, incidentenbeheer, informatieclassificatie, naleving van wet en regel-geving en het continu verbeteren.

  2. Mensgerichte beheersmaatregelen: Maatregelen die gericht zijn op medewerkers of andere personen in de organisatie waaronder, arbeidsovereenkomsten, bewustwording en geheimhoudingssovereenkomsten

  3. Fysieke beheersmaatregelen: Dit omvat maatregelen voor het fysiek beveiligen van zaken als kantoren, ruimten en andere toegangsdeuren. Maar ook et werken in beveiligde zones en terreinen. EN als laatste het beheren van apparatuur en andereen fysieke faciliteiten.

  4. Technologische beheersmaatregelen: Hier worden maatregelen van technische aard benoemd zoals, authenticatie, toegangsrechten in software, bescherming tegen virsusen, malware en hacking. En ook capacitiestbeheer, back-up policies, netwerksegegatie, cryptografie en security-by-design / default principes.

ISO 27001 vereist een continu proces van beoordeling, onderhoud en verbetering van het ISMS en daarmee ook de maatregelen, zodat het effectief blijft in het snel veranderende landschap van informatiebeveiligingsrisico's en -bedreigingen.

Stappen certificering ISO 27001

Wanneer een organisatie voldoet aan de richtlijnen van ISO 27001, kan zij een certificering behalen. Deze toont aan dat het Information Security Management System (ISMS) in overeenstemming is met deze internationaal erkende norm. Het behalen van een ISO 27001 certificering is een behoorlijk proces dat een sterke toewijding vereist aan zowel het goed inrichten als het continu verbeteren van de informatiebeveiliging.

Stappen certificering ISO 27001

Het proces om gecertificeerd te worden omvat meestal de volgende stappen:

  1. Gap analyse: Elke organisatie heeft vaak al enige maatregelen genomen. Dus eerst beoordeelt de organisatie haar huidige informatiebeveiligingspraktijken in vergelijking met de vereisten van ISO 27001. Dit helpt bij het identificeren van gebieden die verbetering behoeven.

  2. Implementatie: De organisatie implementeert de vereiste processen, procedures en controles om te voldoen aan de normen van ISO 27001. Dit omvat het opstellen van een informatiebeveiligingsbeleid, het uitvoeren van risicobeoordelingen, en het implementeren van relevante beveiligingsmaatregelen.

  3. Interne audit: Een interne audit wordt uitgevoerd om te controleren of de geïmplementeerde processen en controles effectief zijn en in overeenstemming met de norm. Hiermee neemt de organisatie zelf de verantwoordelijkheid om het ISMS en de genomen maatregelen te toetsen en verbeteringen te identificeren.

  4. Directiebeoordeling: Het hoger management of de directie beoordeelt het ISMS om te verzekeren dat het nog steeds passend, adequaat en effectief is in het licht van de organisatorische doelstellingen.

  5. Certificeringsaudit: Een onafhankelijke certificeringsinstantie voert een audit uit om te bevestigen dat de organisatie voldoet aan alle eisen van ISO 27001. Deze audit bestaat gewoonlijk uit twee fasen: een initiële beoordeling om te controleren of de organisatie klaar is voor certificering, gevolgd door een gedetailleerdere evaluatie van het ISMS en de genomen maatregelen.

  6. Certificering: Na een succesvolle audit ontvangt de organisatie een ISO 27001 certificaat, wat aantoont dat haar ISMS voldoet aan de norm.

De certificering is niet alleen een bewijs van naleving. Het dient ook als een krachtig hulpmiddel om het vertrouwen van klanten, partners en belanghebbenden te winnen.  Het laat zien dat de organisatie serieus is over het beschermen van informatie en gegevens. Het is belangrijk op te merken dat ISO 27001 certificering onderhoud en regelmatige herbeoordeling vereist om de geldigheid ervan te behouden, aangezien het een voortdurende inzet voor informatiebeveiliging vereist. Bij Tools4ever zijn we trots op onze eigen ISO 27001-certificering en zetten we ons continu in om deze certificering jaarlijks te vernieuwen en te behouden.

ISO 27001 checklist

Volgens de ISO 27001 is het belangrijk om zorgvuldig om te gaan met de identificatie van gebruikers en het beheer van hun toegangsrechten. Deze internationale standaard benadrukt het belang van strikt toegangsbeheer, waarbij toegang tot bedrijfsinformatie en -systemen beperkt is tot enkel die personen die deze nodig hebben. Een doeltreffend Identity and Access Management (IAM) systeem kan een waardevolle bijdrage leveren in dit proces.

Benieuwd naar de details? Onze checklist biedt een uitgebreide analyse van hoe identity management bijdraagt aan het voldoen aan belangrijke aspecten van de ISO 27001-norm.

Bekijk de checklist ISO 27001

Gerelateerde artikelen

De ISO 27001 norm wordt over de hele wereld erkend als de leidraad voor het beheer van informatiebeveiliging. Het biedt organisaties een raamwerk om hun informatie op een veilige en systematische manier te beheren, door middel van een Information Security Management System (ISMS).

Ja, als je de juiste procedure volgt en daarmee voldoet aan de richtlijnen van de ISO 27001, kan je een certificering behalen.

Het verkrijgen van een ISO 27001-certificaat toont aan klanten, partners en andere stakeholders dat je de beveiliging van informatie hoog in het vaandel hebt staan. Ook kan het helpen bij het voldoen aan wettelijke en regelgevende verplichtingen, zoals de Algemene Verordening Gegevensbescherming (AVG) en de toekomstige NIS2-regelgeving.