Wat is ISO 27001? Een introductie op dé norm voor informatiebeveiliging.

Wat is ISO 27001? In dit artikel vertellen we alles over deze norm voor informatiebeveiliging en geven we een handig stappenplan.

Wat is ISO 27001
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Bankieren doe je online. Onze gewerkte uren registreren we tegenwoordig ook online. De persoonlijke administratie staat thuis op de slaapkamer. En ons diploma van de middelbare school ligt waarschijnlijk ergens onder een dikke laag stof op de zolder. Wat deze zaken gemeen hebben? We willen graag dat het veilig is. Deze informatie moet bewaard blijven. Je wilt niet dat een onbekend persoon in je administratie neust. Of dat een brand je diploma vernietigt. Daarom hebben we een slot op de deur en een brandmelder in huis. En we vertrouwen erop dat onze bankgegevens en urenregistratie beveiligd worden. Herkenbaar? Vast wel. Net als iedereen zorg je dat belangrijke informatie bij je thuis veilig is. Door voorzorgsmaatregelen te treffen om risico’s (zoals brand of diefstal) te beheersen. En net als thuis, doe je dat ook met de informatie binnen jouw organisatie. Sterker nog, de gevolgen van informatieverlies zijn daar nog veel groter. Dus de maatregelen die je treft zijn ingrijpender. Toch? In dit artikel vertellen we je alles over ‘wat is ISO 27001, de norm voor informatiebeveiliging‘. 

Wat is ISO 27001? De snelst groeiende norm van het moment!

Informatie en kennis zijn in veel gevallen het belangrijkste bezit van een bedrijf. Uit onderzoek blijkt dat cybercrime als groot risico wordt gezien door bedrijven. Verbazingwekkend genoeg hebben veel bedrijven echter hun informatiebeveiliging nog niet (goed) op orde. Gelukkig is de ISO 27001 norm de snelst groeiende norm van dit moment. In de norm staat omschreven hoe een organisatie haar informatiebeveiliging procesmatig kan inrichten. Met het ISO 27001 certificaat toont een organisatie aan dat haar informatiebeveiliging dus op orde is. Maar wat is informatiebeveiliging precies?

Definitie informatiebeveiliging

Informatiebeveiliging is het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Daarnaast kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid hierbij een rol spelen.

De drie elementen van informatiebeveiliging:

  • Beschikbaarheid: een kenmerk van iets dat toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit.
  • Integriteit: nauwkeurigheid en volledigheid van de beveiliging van bedrijfsmiddelen.
  • Vertrouwelijkheid: informatie wordt niet beschikbaar gesteld of ontsloten aan onbevoegde personen, entiteiten of processen.

Informatiebeveiliging is dus erg breed. Niet alleen gaat het om mogelijke gevaren van buitenaf (bijvoorbeeld een DDoS-aanval), maar het is ook gericht op de interne organisatie. Daarnaast gaat het ook niet alleen om het verliezen van informatie; het gaat ook om de garantie dat de informatie juist, volledig en enkel voor de juiste personen toegankelijk is.

Niet alleen online, ook offline!

Veel mensen hebben de indruk dat ISO 27001 certificering voornamelijk gaat over online informatiebeveiliging. Niet onbegrijpelijk in deze tijd van digitalisering, hackers en nieuwe wetten als de meldplicht datalekken; maar zeker niet juist. Het beveiligen van informatie is ook offline belangrijk. Wat gebeurt er met de informatie binnen je organisatie als er brand uitbreekt? Is er nagedacht tot welk niveau informatieverlies acceptabel is? En hoelang bepaalde informatie onbereikbaar mag zijn? Informatiebeveiliging is dus zeker niet alleen een ICT aangelegenheid!

CertificeringsAdvies Nederland biedt ook interessante opleidingen en trainingen aan op het gebied van ISO 27001. Bekijk de ISO 27001 trainingen op onze CAN Academy website.

De structuur van de ISO 27001 norm

De ISO 27001 norm heeft dezelfde structuur als andere ISO normen. De Higher Level Structure (HLS). Dit is een overkoepelende structuur waardoor verschillende normen gemakkelijk in hetzelfde managementsysteem verwerkt kunnen worden. Zo is het mogelijk om de kwaliteitsnorm ISO 9001 in hetzelfde managementsysteem te implementeren. Binnen de HLS structuur wordt veel aandacht geschonken aan de context-analyse. Wat zijn de verwachtingen van je klanten en van je stakeholders en hoe ga je hiermee om. Daarnaast is de risicoanalyse van belang. Wat zijn de kansen en bedreigingen voor je organisatie en hoe speel je hierop in? Met betrekking tot informatiebeveiliging lichten we de risicoanalyse er even uit.

De risicoanalyse

Wat is de ISO 27001 risico-analyse? Iedere organisatie is uniek. Net als de informatie binnen iedere organisatie. En daarmee dus ook de risico’s op informatieverlies. De beveiliging van je informatie wordt daarom gebaseerd op een risicoanalyse. Op basis daarvan neem je maatregelen. Door het treffen van deze maatregelen, is het mogelijk de kans en/of de impact van het risico te verlagen. Hierbij wordt altijd een afweging gemaakt tussen de kosten van de maatregelen en het risico.

Wat is ISO 27002?

ISO 27002 is een toelichtingen document op ISO 27001. ISO 27002 bestaat onder andere uit veertien hoofdstukken met maatregelen om de risico’s te beheersen. Onderwerpen zijn bijvoorbeeld:

  • Informatiebeveiligingsbeleid.
  • Veilig personeel. Begrijpt iedereen zijn/haar verantwoordelijkheden?
  • Beheer van bedrijfsmiddelen.
  • Toegangsbeveiliging.
  • Communicatiebeveiliging.

Binnen deze hoofdstukken worden concrete maatregelen op basis van best practices gegeven om de risico’s te beheersen. Hierbij wordt ook aandacht geschonken aan ketenbeveiliging en informatiebeveiliging in projecten.

ISO 27002 update

In februari 2022 is de vernieuwde ISO 27002 norm gepubliceerd. Dit heeft consequenties voor alle ISO 27001 gecertificeerde organisaties. Wat dat inhoudelijk betekent lees je in het artikel: ISO 27002 wijzigingen: wat betekent dat voor jouw organisatie?“. Wil je meer weten, neem dan gerust contact met ons op!

Implementatie van het ISO 27001 managementsysteem

Een informatiebeveiligingssysteem conform ISO 27001 noemen we het Information Security Management System (ISMS). Het opzetten hiervan verloopt conform een 7-stappen plan:

  1. Het bepalen van de scope.
  2. Opstellen van het beleid.
  3. Inventarisatie van informatie en middelen.
  4. Uitvoeren van de risicoanalyse en selecteren van maatregelen.
  5. Implementeren en monitoren van maatregelen.
  6. Uitvoeren van interne audits.
  7. Directiebeoordeling en correctieve acties.

Overigens hebben we bij CertificeringsAdvies Nederland een ISO 27001 traject bij Phylax ICT uitgevoerd. Het managementsysteem hebben we op aanvraag geïntegreerd in Sharepoint.

Hoe ga je concreet aan de slag?

Wil je aan de slag met deze norm voor informatiebeveiliging? Dan kun je grofweg het volgende stappenplan uitvoeren:

Stap 1: Analyseren

Je begint met het inventariseren van de informatiedragers en informatiesystemen in je bedrijf, ook wel business impact analyse genoemd. Er wordt bepaald wat de gevolgen zijn voor jouw bedrijf als een informatiesysteem niet beschikbaar is, hoe lang het systeem niet beschikbaar mag zijn, en tot welk niveau informatieverlies acceptabel is.

Vervolgens neem je een lijst met bedreigingen door. Dit doe je met de informatiedragers en informatiesystemen uit in het achterhoofd. Per dreiging moet worden bepaald in welke mate de dreiging reëel is voor jouw bedrijf en wat je daaraan kunt doen.

Stap 2: Opbouwen en implementeren van het ISMS

Wellicht voldoe je al voor een gedeelte aan de werkwijze van de ISO 27001 norm. De ontbrekende normelementen moeten worden beschreven en geïmplementeerd in het managementsysteem en in jouw bedrijfsvoering.

De ISO 27001 norm is opgebouwd volgens de High Level Structure. Dit houdt in dat de norm dezelfde structuur heeft als andere ISO normen zoals ISO 9001. Je kunt dus verschillende normen in één managementsysteem integreren.

Het implementatieproces wordt afgerond met een laatste check om vast te stellen of je gereed bent voor ISO 27001 certificering. Daarnaast moet er een directiebeoordeling worden uitgevoerd. Wanneer alle zaken in orde zijn ben je klaar voor certificering.

Stap 3: ISO 27001 certificering

De certificering voor ISO 27001 moet worden uitgevoerd door een erkende certificerende instantie. Na certificering ontvang je een certificaat dat 3 jaar geldig is. Daarnaast worden er jaarlijks controle audits uitgevoerd.

Meer informatie?

Wil je aan de slag met ISO 27001? En kun je daarbij ondersteuning gebruiken? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag verder!

Offerte aanvragen

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Direct aan de slag met ISO 27001 implementeren?

Vraag een vrijblijvende offerte op maat aan!

  • Direct inzicht
  • Geheel vrijblijvend
  • Advies en traject op maat

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields