Top 5 veelgestelde vragen over ISO 27001
1. Hoe lang is een afgegeven ISO 27001 certificaat geldig?
Een ISO 27001 certificaat is geldig voor 3 jaar. Dit in tegenstelling tot een NEN 7510 certificaat dat ‘slechts’ 1 jaar geldig is. In het geval van ISO 27001 geldt een jaarlijkse auditfrequentie.
2. Wat is de auditfrequentie voor ISO 27001?
Bij de eerste afgifte van het certificaat en na afloop van de drie jaar (verlengingsaudit) vindt een complete toetsing plaats van het normenkader. Na afgifte van het certificaat vindt jaarlijks een ‘surveillance’ audit plaats. Bij deze audit worden bepaalde onderdelen uitgelicht en diepgaander geaudit. Wanneer een ISO 27001 audit wordt gecombineerd met een NEN 7510 audit, kan worden volstaan met één auditverslag.
3. Ziet de ISO 27001 certificering toe op een afgelopen of toekomstige periode?
Een certificering vindt doorgaans plaats voor een toekomstige periode. Er wordt vastgesteld of het beleid van de organisatie voldoet aan ISO 27001. Tijdens de jaarlijkse surveillance wordt geaudit op de daadwerkelijke naleving hiervan. Een assurance, zoals ISAE 3402 type 2 en ISAE 3000A type 2, ziet toe op een afgelopen periode. Dit betekent dat terug in de tijd wordt gekeken en op basis van lijncontroles wordt vastgesteld of het beleid daadwerkelijk is gevolgd bij de uitvoering van processen en werkzaamheden. Indien er bijzonderheden naar voren komen, wordt tevens gecontroleerd of daar opvolging aan is gegeven (PDCA-cyclus).
4. Voldoe ik als organisatie aan de AVG als ik een ISO 27001 certificaat heb?
De AVG stelt dat organisaties passende maatregelen moeten nemen rondom de verwerking van persoonsgegevens. Er zijn enkele factoren waar rekening mee gehouden dient te worden bij de beoordeling van een passend gegevensbeschermingsbeleid. Daarom noemt de AVG enkele voorbeeldmaatregelen. Deze voorbeeldmaatregelen zijn tevens als beheersdoelstellingen en -maatregelen in ISO 27001 geformuleerd. Daarmee kan worden gesteld dat het hebben van een ISO 27001 certificaat helpt aan te tonen dat een passend gegevensbeschermingsbeleid conform de AVG aanwezig is. Maar dit betekent niet dat wanneer een organisatie een ISO 27001 certificaat heeft, per definitie aan de AVG wordt voldaan.
5. ISO 27001 ziet toe op informatiebeveiliging, maar wat houdt informatiebeveiliging in?
Het doel van informatiebeveiliging is het bevorderen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Om deze doelstelling te behalen, kan het framework van maatregelen uit ISO 27001 worden geïmplementeerd. Informatiebeveiliging is niet beperkt tot digitale informatie of persoonsgegevens. Ook informatie op papier valt onder ISO 27001.