ISO 27001

Wat is ISO 27001?

De norm ISO/IEC 27001 gaat over informatiebeveiliging. Wat wordt daar onder verstaan? Het begrip informatiebeveiliging kan worden opgesplitst in de volgende drie dimensies:

  • Het behoud van de vertrouwelijkheid van informatie.
  • Het behoud van de integriteit (de juistheid) van informatie.
  • Het behoud van de beschikbaarheid van informatie.

Informatiebeveiliging gaat over de bescherming van alle soorten informatie binnen een vooraf gekozen toepassingsgebied. Daarbij hoeft het niet alleen om het beschermen van klantdata te gaan, maar bijvoorbeeld ook over het vertrouwelijk, integer en beschikbaar houden van jouw bedrijfsgegevens.

Het organiseren van informatiebeveiliging wordt steeds complexer en een systematische aanpak voor de beveiliging van informatie is daarom een noodzaak geworden. De norm ISO/IEC 27001 is bedoeld om je te helpen met het opzetten en onderhouden van een ‘managementsysteem voor informatiebeveiliging’. Voor dit systeem wordt vaak de afkorting ISMS gebruikt (van het Engelse ‘Information Security Management System’).

Nadat het ISO/IEC 27001-certificaat behaald is, start een driejarige certificatiecyclus, waarvan jouw certificaat de ingangsdatum en vervaldatum vermeldt. De driejarige certificatiecyclus omvat controle-audits in het eerste en tweede jaar na de certificatiebeslissing, en een hercertificatieaudit in het derde jaar voordat de certificatie verloopt.

GAP Analyse ISO 27001

Een duidelijk beeld krijgen waar jouw organisatie zich op dit moment bevindt? Vraag dan nu een GAP Analyse ISO 27001 aan.

GAP analyse aanvragen
iso security

ISO 27001 Implementatie

Ook al heeft een organisatie haar zaken prima op orde, het implementeren van een ‘certificaatwaardig’ managementsysteem voor informatiebeveiliging kost doorgaans behoorlijk wat tijd. Natuurlijk kan een set met standaarddocumenten je een heel eind op weg helpen, maar een managementsysteem is veel meer dan een handboek met beleid, processen en procedures. Het opzetten van een certificaatwaardig managementsysteem duurt in de praktijk meestal ongeveer een half jaar.

Eshgro heeft de kennis en expertise in huis om je te helpen bij het inrichten en implementeren van jouw ISO/IEC 27001-managementsysteem:

  • Implementatie van een certificaatwaardig systeem, inclusief het leveren van templates (bijvoorbeeld voor beleid en procedures).
  • Begeleiding bij het uitvoeren van een gap-analyse en/of risicobeoordeling volgens de eisen van de norm.
  • Het uitvoeren van een interne audit volgens de eisen van de norm en op het niveau van een certificatie-audit.
  • Begeleiding bij het uitvoeren van een directiebeoordeling volgens de eisen van de norm.
  • Ondersteuning bij het opstellen van gedocumenteerde informatie.
Lees meer over ISO 27001 implementatie

ISO 27001 Norm

De norm ISO/IEC 27001 is een document van ongeveer 30 pagina’s dat te koop is via de website van NEN. Vooral voor beginners is de norm niet eenvoudig te doorgronden. Hij bevat geen lijstjes met onderwerpen die je kunt afvinken en geeft nauwelijks uitleg over wat je precies moet doen. Het is de bedoeling dat je zelf betekenis geeft aan de norm. Een betekenis die past bij jouw specifieke activiteiten, verplichtingen, risico’s en doelstellingen.

In de hoofdstukken 0 t/m 3 van de norm ISO/IEC 27001 vind je inleidende teksten. Het kan verhelderend zijn om deze teksten te lezen. In de hoofdstukken 4 t/m 10 van de norm staan de eisen beschreven waaraan je moet voldoen ‘om conformiteit met de norm te kunnen claimen’, ofwel om te mogen beweren dat jouw managementsysteem voor informatiebeveiliging aan de norm voldoet. De norm kent ook nog een Bijlage-A met 114 beheersmaatregelen die je kunt toepassen om risico’s te beheersen.

Soms denken organisaties dat ze aan de norm ISO/IEC 27001 voldoen omdat ze (een deel van) de 114 beheersmaatregelen hebben geïmplementeerd die in Bijlage-A staan. In werkelijkheid voldoet een organisatie pas aan de norm als er ook een managementsysteem voor informatiebeveiliging is geïmplementeerd volgens de eisen in de hoofdstukken 4 t/m 10.

ISO 27001 certificering

Voor het laten certificeren van jouw managementsysteem voor informatiebeveiliging moet je een certificatie-instelling (CI) inschakelen. Daarvoor kunt kiezen uit meerdere CI’s. Op het moment dat je CI uitnodigt voor het uitvoeren van een certificatie-audit, moet je klaar zijn om te kunnen aantonen dat jouw managementsysteem aan alle eisen van de norm voldoet. Eshgro begeleidt je stap-voor-stap naar dat belangrijke moment.

Een initiële certificatie-audit is de audit die uitgevoerd moet worden om voor de eerste keer een ISO/IEC 27001-certificaat te kunnen ontvangen. Implementaties die onder begeleiding van Eshgro plaatsvinden, komen in de praktijk gemakkelijk en probleemloos door certificatie-audits. Dat betekent niet dat er nooit afwijkingen zijn. Er zijn tenslotte altijd mogelijkheden voor verbetering, maar die punten lossen we samen met je op.

Nadat je het ISO/IEC 27001-certificaat heeft behaald, start een driejarige certificatiecyclus, waarvan jouw certificaat de ingangsdatum en vervaldatum vermeldt. De driejarige certificatiecyclus omvat controle-audits in het eerste en tweede jaar na de certificatiebeslissing en een hercertificatieaudit in het derde jaar voordat de certificatie verloopt.

Neem contact op