ISO 27001

Wat is ISO 27001?

De ISO 27001 norm wordt wereldwijd erkend als de standaard op het gebied van informatiebeveiliging. De norm biedt organisaties een kader procesmatig beveiligen van hun informatie met behulp van een Information Security Management System (ISMS). De standaard is van toepassing in verschillende sectoren en kent ook specifieke uitwerkingen voor bepaalde brenches. Zo werkt de overheid met de op ISO 27001 gebaseerde Baseline Informatiebeveiliging Overheid (BIO) en de gezondheidszorg met NEN 7510.

Is de ISO 27001 verplicht?

Hoewel de ISO 27001-norm wereldwijd erkenning krijgt en tal van voordelen biedt, is het voor organisaties niet juridisch verplicht om deze te implementeren of een certificering te behalen. Dit kan voor de branchespecifieke uitwerkingen overigens wel anders zijn.

Sowieso is het wel belangrijk om te benadrukken dat organisaties in Nederland wel degelijk een verplichting hebben om hun informatiebeveiliging goed te regelen. Vooral als het gaat om de bescherming van persoonsgegevens. Volgens de Algemene Verordening Gegevensbescherming (AVG) moeten organisaties persoonsgegevens zowel technisch als organisatorisch adequaat beveiligen. De implementatie van ISO 27001 kan hierbij een effectieve leidraad bieden om te zorgen dat je informatiebeveiliging binnen je bedrijf op een hoog niveau staat.

Voordelen ISO 27001

Hett verkrijgen van een ISO 27001-certificaat kan aanzienlijke voordelen opleveren. Het toont aan klanten, partners en andere stakeholders dat een organisatie serieus omgaat met informatiebeveiliging. Daarnaast kan het ondersteunen bij het naleven van andere juridische en regulerende eisen, zoals de GDPR (General Data Protection Regulation) en de komende NIS2 wetgeving. Ook zijn zoals hierboven al opgemerkt vele sectorspecifieke beveiligingsstandaarden, zoals de BIO (Baseline Informatiebeveiliging Overheid) en NEN 7510 (voor de zorgsector) op ISO 27001 gebaseerd. Dit maakt deze norm tot een solide basis voor de toepassing van effectieve informatiebeveiligingmaatregelen binnen deze sectoren.

In bepaalde situaties kan het zelfs een vereiste zijn om ISO 27001-gecertificeerd te zijn voor zakelijke transacties. Zo verlangen sommige organisaties van hun leveranciers dat ze ISO 27001-gecertificeerd zijn om de veiligheid van hun data te waarborgen. Ook bij (ICT-gerelateerde) aanbestedingen is het beschikken over een ISO 27001 certificering een veelvoorkomende eis.

Kernrichtlijnen van ISO 27001

ISO 27001 omhelst het inrichten van een Information Security Management System (ISMS) om risico’s omtrent informatiebeveilignig te kunnen identificeren en vervolgens gericht maatregelen te kunnen nemen. Dit ISMS omvat de context van de organisatie, haar doelstelling en het beleid omtrent infomatiebeveiliging. Met als doel het plannen, doen, checken en acteren (PDCA) om op basis van scenario’s en incidenten continue verbetering te kunnen realiseren met verschillende beheersmaatregelen.

ISO 27001 bied daarbij een reeks concrete maatregelen die organisaties helpen hun informatiebeveiliging te structureren en te versterken. Deze zijn terug te vinden in de ‘normatieve bijlage’, ook wel bekend als ISO 27002. Enkele van de belangrijkste elementen en richtlijnen hiervan zijn:

1. Organisatorische beheersmaatregelen: Dit betreft het organiseren van beheersmaatregelen waaronder beleid, functies en verantwoordelijkheden, relaties met leveranciers en andere partijen, incidentenbeheer, informatieclassificatie, naleving van wet en regel-geving en het continu verbeteren.
2. Mensgerichte beheersmaatregelen: Maatregelen die gericht zijn op medewerkers of andere personen in de organisatie waaronder, arbeidsovereenkomsten, bewustwording en geheimhoudingssovereenkomsten
3. Fysieke beheersmaatregelen: Dit omvat maatregelen voor het fysiek beveiligen van zaken als kantoren, ruimten en andere toegangsdeuren. Maar ook et werken in beveiligde zones en terreinen. EN als laatste het beheren van apparatuur en andereen fysieke faciliteiten.
4. Technologische beheersmaatregelen: Hier worden maatregelen van technische aard benoemd zoals, authenticatie, toegangsrechten in software, bescherming tegen virsusen, malware en hacking. En ook capacitiestbeheer, back-up policies, netwerksegegatie, cryptografie en security-by-design / default principes.

ISO 27001 vereist een continu proces van beoordeling, onderhoud en verbetering van het ISMS en daarmee ook de maatregelen, zodat het effectief blijft in het snel veranderende landschap van informatiebeveiligingsrisico’s en -bedreigingen.

Certificering ISO 27001

Wanneer een organisatie voldoet aan de richtlijnen van ISO 27001, kan zij een certificering behalen. Deze toont aan dat het Information Security Management System (ISMS) in overeenstemming is met deze internationaal erkende norm. Het behalen van een ISO 27001 certificering is een behoorlijk proces dat een sterke toewijding vereist aan zowel het goed inrichten als het continu verbeteren van de informatiebeveiliging.

Het proces om gecertificeerd te worden omvat meestal de volgende stappen:

1. Gap analyse: Elke organisatie heeft vaak al enige maatregelen genomen. Dus eerst beoordeelt de organisatie haar huidige informatiebeveiligingspraktijken in vergelijking met de vereisten van ISO 27001. Dit helpt bij het identificeren van gebieden die verbetering behoeven.
2. Implementatie: De organisatie implementeert de vereiste processen, procedures en controles om te voldoen aan de normen van ISO 27001. Dit omvat het opstellen van een informatiebeveiligingsbeleid, het uitvoeren van risicobeoordelingen, en het implementeren van relevante beveiligingsmaatregelen.
3. Interne audit: Een interne audit wordt uitgevoerd om te controleren of de geïmplementeerde processen en controles effectief zijn en in overeenstemming met de norm. Hiermee neemt de organisatie zelf de verantwoordelijkheid om het ISMS en de genomen maatregelen te toetsen en verbeteringen te identificeren.
4. Directiebeoordeling: Het hoger management of de directie beoordeelt het ISMS om te verzekeren dat het nog steeds passend, adequaat en effectief is in het licht van de organisatorische doelstellingen.
5. Certificeringsaudit: Een onafhankelijke certificeringsinstantie voert een audit uit om te bevestigen dat de organisatie voldoet aan alle eisen van ISO 27001. Deze audit bestaat gewoonlijk uit twee fasen: een initiële beoordeling om te controleren of de organisatie klaar is voor certificering, gevolgd door een gedetailleerdere evaluatie van het ISMS en de genomen maatregelen.
6. Certificering: Na een succesvolle audit ontvangt de organisatie een ISO 27001 certificaat, wat aantoont dat haar ISMS voldoet aan de norm.

De certificering is niet alleen een bewijs van naleving. Het dient ook als een krachtig hulpmiddel om het vertrouwen van klanten, partners en belanghebbenden te winnen.  Het laat zien dat de organisatie serieus is over het beschermen van informatie en gegevens. Het is belangrijk op te merken dat ISO 27001 certificering onderhoud en regelmatige herbeoordeling vereist om de geldigheid ervan te behouden, aangezien het een voortdurende inzet voor informatiebeveiliging vereist. Bij Tools4ever zijn we trots op onze eigen ISO 27001-certificering en zetten we ons continu in om deze certificering jaarlijks te vernieuwen en te behouden.

ISO 27001 checklist

Volgens de ISO 27001 is het belangrijk om zorgvuldig om te gaan met de identificatie van gebruikers en het beheer van hun toegangsrechten. Deze internationale standaard benadrukt het belang van strikt toegangsbeheer, waarbij toegang tot bedrijfsinformatie en -systemen beperkt is tot enkel die personen die deze nodig hebben. Een doeltreffend Identity and Access Management (IAM) systeem kan een waardevolle bijdrage leveren in dit proces.

Benieuwd naar de details? Onze whitepaper biedt een uitgebreide analyse van hoe identity management bijdraagt aan het voldoen aan belangrijke aspecten van de ISO 27001-norm.