ISO 27001: alles wat u moet weten

Het hebben van een ISO-certificaat kan een bedrijf veel voordelen opleveren. Met een ISO-certificaat wordt aangegeven of een bedrijf aan alle eisen van een bepaalde ISO-norm voldoet. Er bestaan verschillende ISO-normen, waarvan de bekendste de ISO 9001 is. De ISO 9001 slaat op het managementsysteem voor kwaliteit.

In dit artikel gaan we het hebben over een (nu nog) iets minder bekende ISO-norm: de ISO 27001, een erkende norm op het gebied van informatiebeveiliging. In het bezit zijn van een ISO 27001 certificaat wordt steeds vaker geëist door opdrachtgevers en bedrijven en dit zal de komende jaren alleen maar toenemen.

In dit artikel behandelen wij:

  1. Wat is het ISO 27001 certificaat?
  2. Waarom een ISO 27001 certificaat behalen?
  3. Hoe behaalt u de ISO 27001?
  4. Wat zijn de ISO 27001 normeisen?
  5. Wat is de ISO 27002?
  6. ISO 27001 en de AVG
  7. ISO 27001 of de NEN 7510?
  8. ISO 27001 behalen? – 6 gratis tips
  9. Onze ondersteuningspakketten

Wat is het ISO 27001 certificaat?

Het ISO 27001 certificaat is een bedrijfscertificaat wat aangeeft dat de informatiebeveiliging binnen de organisatie op een structurele en aantoonbare manier is geborgd en steeds wordt bijgewerkt volgens de eisen van de ISO 27001 norm.

Het certificaat is te behalen voor elk type organisatie, maar wordt met name behaald door organisaties die met vertrouwelijke informatie omgaan, zoals ICT-bedrijven, overheidsinstanties, verzekeraars en banken.

Informatiebeveiliging steeds belangrijker

Omdat we steeds meer data genereren en in de Cloud opslaan, wordt beschermen van data en privacygevoelige gegevens steeds belangrijker. Het lekken van geheime informatie en persoonlijke gegevens kan ernstige nadelige gevolgen hebben.

Eind 2019 vond er een grote cyberaanval plaats op de Universiteit Maastricht die alle computersystemen vastlegde. De universiteit moest de cyberhackers een paar ton euro betalen om weer toegang te kunnen krijgen tot de computersystemen.

De grootschalige cyberaanval op de universiteit van Maastricht heeft veel bedrijven en organisaties wakker geschud. Hackers worden steeds inventiever en kunnen steeds makkelijker computersystemen binnendringen en daarom staat informatiebeveiliging steeds hoger op de agenda.

Met een ISO 27001 certificaat toont een organisatie aan dat er de nodige maatregelen zijn getroffen om waardevolle bedrijfsinformatie veilig te stellen en privacy te beschermen.

Waarom een ISO 27001 certificaat behalen?

We benoemden zojuist al dat het beschermen van data en privacygevoelige informatie door de toenemende cyberaanvallen steeds belangijker wordt. Met het certificaat wordt aan de buitenwereld getoond dat er serieus wordt omgegaan met informatiebeveiliging en dat dit up-to-date wordt gehouden. Dit wekt vertrouwen op bij (toekomstige) opdrachtgevers en is daarom een belangrijke reden om het certificaat te behalen, maar er zijn nog meer redenen te bedenken.

We benoemen hier enkele andere voordelen van de implementatie van ISO 27001 voor een organisatie.

  • Beveiligingsrisico’s worden in kaart gebracht. Door de implementatie van de ISO 27001 worden alle beveiligingsrisico’s goed in kaart gebracht waardoor u precies weet welke maatregelen genomen moeten worden om datalekken en cyberaanvallen tot een minimum te beperken.
  • Het beveiligingssysteem wordt continue verbeterd. Als de ISO 27001 eenmaal geïmplementeerd is, krijgt u te maken met een jaarlijkse controle door een auditor, waardoor eventuele nieuwe zwakke plekken in het informatiebeveiligingssysteem worden opgemerkt en kunnen worden aangepakt. Hierdoor wordt het beveiligingssysteem continue aangescherpt en verbeterd. Zo blijft het beveiligingssysteem altijd up-to-date.
  • De organisatie voldoet automatisch grotendeels aan de AVG. Met een ISO-certificering maakt u als bedrijf toonbaar dat u ook invulling geeft aan maatregelen voor een passende bescherming van persoonsgegevens en dus grotendeels voldoet aan de eisen die horen bij de Algemene Verordening Gegevensbescherming (AVG).
  • Het imago van de organisatie wordt versterkt. Met een ISO 27001 certificaat geeft u als bedrijf aan dat u informatiebeveiliging en het beschermen van privacygevoelige informatie hoog in het vaandel hebt staan. Dit is zowel voor werknemers als klanten een prettige gedachte en zal het bedrijfsimago daarom versterken. Bovendien onderscheidt u zich mogelijk van concurrenten.

Hoe behaalt u de ISO 27001 norm?

Om een ISO 27001 certificaat te behalen moet uw organisatie voldoen aan een aantal voorwaarden. Gemiddeld duurt het rond de 6-9 maanden voordat een bedrijf gecertificeerd kan worden. Om het certificaat te behalen moet allereerst de ISO 27001 norm met de lijst van eisen worden aangeschaft. Daarna worden de volgende stappen doorlopen:

  1. Doorgronden van de norm
  2. Nulmeting
  3. Implementatie
  4. Certificering

Doorgronden van de norm

U kunt pas van start met de daadwerkelijke implementatie als u volledig begrijpt waar u aan moet voldoen en welke processen u moet inrichten. Het behalen van een certificaat begint dus met een goede voorbereiding door het doorlezen, begrijpen en doorgronden van de ISO 27001 norm.

Nulmeting

Als voorbereiding op de implementatie wordt een nulmeting uitgevoerd. Tijdens de nulmeting wordt de huidige status van de organisatie in kaart gebracht en vastgesteld welke stappen er nog genomen moeten worden om te voldoen aan de eisen die behoren bij de ISO 27001 normering.

Een belangrijk onderdeel van de nulmeting is het bepalen van de scope: de reikwijdte van het project. Hiermee wordt aangegeven welke informatie en bedrijfsonderdelen binnen het informatiebeveiligingssysteem (ISMS) vallen.

Implementatie

Nadat is vastgesteld welke stappen ondernomen moeten worden, kan de implementatie van start gaan. U kunt dit werk uit handen geven of er zelf mee aan de slag. Het implementeren van de norm kan een uitdaging zijn en daarom kiezen veel organisaties ervoor om zich hierin (deels) te laten begeleiden.

Om de implementatie in goede banen te leiden moet een planning worden opgesteld waarin alle onderdelen die de norm vereist worden opgenomen. Hieronder vallen onder andere het uitvoeren van een risicoanalyse, het implementeren van maatregelen om de risico’s tot een aanvaardbaar niveau te brengen en te houden, het inplannen en afnemen van interne audits, het opstellen van een informatiebeveiligingsbeleid, het uitvoeren van een directiebeoordeling en het trainen van personeel.

Certificering

Als alle onderdelen zijn geïmplementeerd, kan het managementsysteem worden getoetst door een auditor van een certificerende instantie. Dit verloopt in 2 fasen: de fase 1 (documenten) en fase 2 (implementatie) beoordeling. Tijdens deze 2 audits wordt gecontroleerd of uw organisatie voldoet aan alle eisen van de ISO 27001 norm.

Als het systeem wordt goedgekeurd, ontvangt u het officiële certificaat dat 3 jaar geldig is. Na de eerste certificering vinden er jaarlijks geplande herbeoordelingen plaats. Er kunnen na een herbeoordeling proceswijzigingen nodig zijn om het certificaat te mogen behouden.

Wat zijn de ISO 27001 normeisen?

De ISO 27001 norm stelt eisen aan het vaststellen, implementeren, bijhouden en continue verbeteren van een managementsysteem voor informatiebeveiliging. Deze eisen zijn te vinden in de officiële NEN-EN-ISO 27001 norm. U kunt hier een preview van de norm bekijken.

Samenvattend stelt de ISO 27001 de volgende normeisen:

  • De context van de organisatie moet worden vastgesteld. Dit houdt in dat de organisatie de externe en interne belanghebbenden en onderwerpen moet vaststellen die relevant zijn voor de doelstelling en die invloed hebben op het behalen van het managementsysteem. Denk hierbij aan stakeholders, ontwikkelingen in de markt of maatschappij etc.
  • De scope (toepassingsgebied) van het ISMS moet duidelijk worden vastgesteld.
  • De directie moet leiderschap en betrokkenheid tonen door te zorgen dat het ISMS wordt nageleefd. Zo dient er een informatiebeveiligingsbeleid opgesteld te worden en middelen ter beschikking worden gesteld.
  • Er moet een risicoanalyse worden uitgevoerd en er moeten maatregelen worden genomen om risico’s te beperken. Daarnaast dient er een risicobeoordelingsprocedure te worden gedefinieerd, zodat toekomstige risicoanalyses gelijkwaardige resultaten opleveren.
  • Er moeten informatiebeveiligingsdoelstellingen worden vastgesteld en er moet een planning worden opgesteld om deze doelstellingen te bereiken.
  • Er moeten ondersteunende processen met betrekking tot o.a. bewustzijn en competenties van personeel, inzet van middelen, infrastructuur, meetmiddelen, communicatie en documentatie worden bepaald en ingevoerd.
  • Er moet een operationele planning worden opgesteld die ervoor moet zorgen dat bovengenoemde maatregelen worden gerealiseerd en doelstellingen worden bereikt.
  • Prestaties moeten gemeten en gemonitord te worden. Hieronder valt het meten van informatiebeveiligingsdoelen en KPI’s (Kritische Prestatie Indicatoren), incidenten, meten van informatiebeveiligingsprocessen en uitvoeren van interne audits. De resultaten moeten worden bewaard.
  • Er moeten corrigerende maatregelen genomen worden als er afwijkingen of verbeterpunten gevonden worden. Ook moet de oorzaak van de afwijking worden weggenomen om herhaling te voorkomen.

Wat is de ISO 27002?

Als u aan de slag gaat met de implementatie van ISO 27001 komt u ook in aanraking met de ISO 27002. De ISO 27002 bestaat uit aanvullende richtlijnen en implementatie-adviezen om u te helpen de informatiebeveiligingstandaarden binnen een organisatie op orde te krijgen. Zo wordt er onder andere beschreven met welke beheersmaatregelen u de risico’s uit de risicoanalyse kunt beperken of verkleinen.

De ISO 27002, oftewel ‘code of practice’, dient daarmee dus als een handreiking voor de implementatie van de ISO 27001 norm. Voor ISO 27002 kunt u zich daarom niet certificeren.

ISO 27001 en de AVG

Sinds de komst van de AVG (op 25 mei 2018) moeten organisaties persoonsgegevens (zowel tekst- als beeldmateriaal en geluidsopnamen) op een zorgvuldige manier beschermen met passende en organisatorische maatregelen. Dit is wettelijk verplicht en daarom riskeert u een boete als u dit niet doet.

Door de implementatie van ISO 27001 wordt grotendeels voldaan aan de eisen en voorschriften die worden gesteld door de AVG. Zo wordt er geclassificeerd hoe lang en waar data wordt opgeslagen, er worden risicoanalyses uitgevoerd voordat persoonsgegevens verzameld worden, bijzondere persoonsgegevens worden extra goed beschermd en er zijn interne procedures vastgelegd voor het melden van datalekken.

Met een ISO 27001 certificaat voldoet u niet volledig aan de AVG, maar het is wel een goede basis.

ISO 27001 of de NEN 7510?

De ISO 27001 norm vertoont veel overlap met de NEN 7510. Beide normen zijn bedoeld voor informatiebeveiliging door de implementatie van een informatiebeveiligingssysteem. De NEN 7510 richt zich echter specifiek op de zorgsector in Nederland. De NEN 7510 is daarom bedoeld voor organisaties die persoonlijke gezondheidsinformatie verwerken.

In de NEN 7510 norm worden maatregelen beschreven die nodig zijn om als zorginstelling en toeleverancier te voldoen aan de bijbehorende eisen. De maatregelen hebben betrekking op het op adequate wijze omgaan met patiëntgegevens en gezondheidsinformatie. De NEN 7510 heeft iets meer beheersmaatregelen dan de ISO 27001. De basis is echter hetzelfde.

ISO 27001 certificering behalen? Denk ook aan deze punten!

Tot slot zijn er een aantal zaken die u in het achterhoofd wilt houden bij de implementatie van de ISO 27001 norm:

  • Besteed aandacht aan de menselijke kant. Informatiebeveiliging wordt grotendeels met technische oplossingen neergezet, maar een druk op de verkeerde knop door een medewerker kan een bedrijf plat leggen. Houd hier rekening mee bij het minimaliseren van risico’s.
  • Beschrijf niet alleen de procedures, maar zorg ook voor goede controlemechanismen om te voorkomen dat procedures fout gaan.
  • Voorkom handmatige controles en automatiseer technische beheersmaatregelen, zoals wachtwoordbeheer en patchmanagement.
  • Zorg voor een goed calamiteitenplan en een back-up/reserve locatie om de informatie te beveiligen tegen bedreigingen van buitenaf.
  • Probeer niet alles zelf te doen. Een externe verantwoordelijke voor informatiebeveiliging heeft vaak meer kennis en impact dan iemand die intern verantwoordelijk wordt gemaakt.
  • Vertrouw niet blind op ICT-leveranciers, maar maak goede afspraken en zorg dat deze worden vastgelegd in een Service Level Agreement (SLA).

ISO 27001 ondersteuningspakketten

Wilt u graag het ISO 27001 certificaat behalen? Met de ondersteuningspakketten van Budget Certificering kunt u kiezen voor een aanpak die het beste aansluit bij uw budget, gewenste doorlooptijd en de benodigde ondersteuning.