Compliance
ISO 27001
ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. Met deze certificering kan een organisatie aantonen dat zij voldoet aan alle eisen rondom informatiebeveiliging. Door de ingang van de Algemene Verordening Persoonsgegevens (AVG) in de EU zijn de regels rondom gegevensbescherming aangescherpt. Voor organisaties betekent dit dat zij hun managementsysteem voor informatiebeveiliging dus goed op orde dienen te hebben. Maar hoe zit dat precies? Hieronder beantwoorden we een aantal veelgestelde vragen over ISO 27001.
Wat houdt ISO 27001 in?
ISO 27001 wordt wereldwijd gezien als dé standaard voor informatiebeveiliging. De norm beschrijft eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een Information Security Management System (ISMS). Het identificeren van bedrijfsrisico’s en het implementeren van beveiligingsmaatregelen staan daarbij centraal. Het ISMS is door de auditor van toepassing verklaard op alle private en publieke clouddiensten die Eshgro aanbiedt en de beheersorganisatie (o.a. change- en incident management proces) die hiervoor nodig is.
Door de brede bekendheid en toepassing wordt ISO 27001 in veel uitbestedingstrajecten als vereiste opgenomen. Ook helpt ISO 27001 om aan te tonen dat passende technische en organisatorische maatregelen zijn genomen om aan de AVG te voldoen. De werking van ISO 27001 is altijd voor een toekomstige periode voor de geldigheid van het certificaat (3 jaar). Jaarlijks worden surveillance audits uitgevoerd met een diepgaande toetsing op enkele onderdelen uit de norm (focusgebieden).
✓ Informatiebeveiliging en risicomanagement
✓ Dé internationaal erkende standaard voor informatiebeveiliging
✓ Van toepassing op alle typen organisaties
“Met een ISO 27001 certificering laat een organisatie zien dat voldaan wordt aan alle eisen rondom informatiebeveiliging. Ook helpt deze norm om aan te tonen dat passende maatregelen zijn genomen om aan de AVG te voldoen.”
Top 5 veelgestelde vragen over ISO 27001
1. Hoe lang is een afgegeven ISO 27001 certificaat geldig?
Een ISO 27001 certificaat is geldig voor 3 jaar. Dit in tegenstelling tot een NEN 7510 certificaat dat ‘slechts’ 1 jaar geldig is. In het geval van ISO 27001 geldt een jaarlijkse auditfrequentie.
2. Wat is de auditfrequentie voor ISO 27001?
Bij de eerste afgifte van het certificaat en na afloop van de drie jaar (verlengingsaudit) vindt een complete toetsing plaats van het normenkader. Na afgifte van het certificaat vindt jaarlijks een ‘surveillance’ audit plaats. Bij deze audit worden bepaalde onderdelen uitgelicht en diepgaander geaudit. Wanneer een ISO 27001 audit wordt gecombineerd met een NEN 7510 audit, kan worden volstaan met één auditverslag.
3. Ziet de ISO 27001 certificering toe op een afgelopen of toekomstige periode?
Een certificering vindt doorgaans plaats voor een toekomstige periode. Er wordt vastgesteld of het beleid van de organisatie voldoet aan ISO 27001. Tijdens de jaarlijkse surveillance wordt geaudit op de daadwerkelijke naleving hiervan. Een assurance, zoals ISAE 3402 type 2 en ISAE 3000A type 2, ziet toe op een afgelopen periode. Dit betekent dat terug in de tijd wordt gekeken en op basis van lijncontroles wordt vastgesteld of het beleid daadwerkelijk is gevolgd bij de uitvoering van processen en werkzaamheden. Indien er bijzonderheden naar voren komen, wordt tevens gecontroleerd of daar opvolging aan is gegeven (PDCA-cyclus).
4. Voldoe ik als organisatie aan de AVG als ik een ISO 27001 certificaat heb?
De AVG stelt dat organisaties passende maatregelen moeten nemen rondom de verwerking van persoonsgegevens. Er zijn enkele factoren waar rekening mee gehouden dient te worden bij de beoordeling van een passend gegevensbeschermingsbeleid. Daarom noemt de AVG enkele voorbeeldmaatregelen. Deze voorbeeldmaatregelen zijn tevens als beheersdoelstellingen en -maatregelen in ISO 27001 geformuleerd. Daarmee kan worden gesteld dat het hebben van een ISO 27001 certificaat helpt aan te tonen dat een passend gegevensbeschermingsbeleid conform de AVG aanwezig is. Maar dit betekent niet dat wanneer een organisatie een ISO 27001 certificaat heeft, per definitie aan de AVG wordt voldaan.
5. ISO 27001 ziet toe op informatiebeveiliging, maar wat houdt informatiebeveiliging in?
Het doel van informatiebeveiliging is het bevorderen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Om deze doelstelling te behalen, kan het framework van maatregelen uit ISO 27001 worden geïmplementeerd. Informatiebeveiliging is niet beperkt tot digitale informatie of persoonsgegevens. Ook informatie op papier valt onder ISO 27001.
Je bent in goed gezelschap
