Je informatiebeveiliging op orde!
ISO 27001 certificering
Informatie en kennis zijn zo ongeveer de belangrijkste bezittingen van een organisatie. Cybercrime is daarom een groot risico, want wat als kwaadwillenden er met je gegevens vandoor gaan? Verbazingwekkend genoeg hebben veel organisaties hun informatiebeveiliging nog niet (goed) op orde. In een wereld waarin kennis en informatie steeds belangrijker worden, is het logisch dat hier richtlijnen voor zijn om dit op de juiste wijze te beheersen. Een snelgroeiende norm hiervoor is ISO 27001, de norm voor informatiebeveiliging.
Meer informatie of offerte aanvragen?
Wil je meer weten over ISO 27001? Neem dan contact met
ons op! Wil je direct aan de slag? Vraag dan een offerte aan!
Advies en ondersteuning
Aan de slag met ISO 27001?
Wil je aan de slag of ben je voornemens om een ISO 27001 certificering te behalen? CertificeringsAdvies Nederland (CAN) biedt je graag advies en ondersteuning in het proces. In onze aanpak nemen wij niet de norm, maar jouw organisatie als uitgangspunt. Op pragmatische wijze analyseren wij processen en optimaliseren deze conform de ISO 27001 richtlijnen. Met oog voor praktijk en resultaat en altijd in samenwerking met jou en je collega’s. Jullie kennen de onderneming tenslotte het beste en alleen op die manier komen we tot het beste resultaat voor de organisatie.
Wij zijn je graag van dienst
Onze ISO 27001 normspecialisten
Inhoud
Meer over informatiebeveiliging
1. Wat is ISO 27001?
De ISO 27001 norm is de snelstgroeiende norm van dit moment. In de norm staan richtlijnen over hoe een organisatie haar informatiebeveiliging procesmatig kan inrichten. Met een ISO 27001 certificaat op zak toont de organisatie aan dat haar informatiebeveiliging op orde is.
NEN 7510, BIO
Voor healthcare is er een specifieke norm voor informatiebeveiliging, namelijk NEN 7510 en voor overheidsinstellingen is dat de BIO (Baseline Informatiebeveiliging Overheid).
De ISO 27001 norm heeft dezelfde structuur als andere ISO-normen. De basis van ISO 27001 wordt gevormd door twee zaken:
- De risicoanalyse: deze voer je uit op de processen in je organisatie. Op basis daarvan worden verbetermaatregelen vastgesteld.
- ISO 27002: Dit is een toelichtingsdocument op ISO 27001. ISO 27002 kent een heleboel onderwerpen (of thema’s) waaraan maatregelen zijn gekoppeld om risico’s te beheersen. Deze maatregelen zijn gebaseerd op best practices en daardoor vaak direct toepasbaar in de praktijk.
2. ISO 27001 risicoanalyse
Iedere organisatie is uniek, evenals de informatie binnen de organisatie. En daarmee dus ook de risico’s op informatieverlies. De beveiliging van je informatie wordt daarom gebaseerd op een risicoanalyse. Op basis daarvan neem je maatregelen. Door het treffen van deze maatregelen is het mogelijk de kans en/of de impact van het risico te verlagen.
De ISO 27001 risicoanalyse wordt uitgevoerd met behulp van de ISO 27002 norm. Dit is een lijst met veelvoorkomende risico’s, referentiebeheersdoelstellingen- en maatregelen. Om een goede risicobeoordeling informatiebeveiliging uit te voeren loop je deze lijst door en bepaal je welke risico’s op je organisatie van toepassing zijn. Zoals de lijst al aangeeft, is het een referentie en geen uitputtende lijst. Het is cruciaal om passende maatregelen te nemen voor specifieke risico’s binnen jouw organisatie.
De ISO 27001 risicoanalyse is de perfecte tool om te beoordelen in hoeverre de beveiliging in je organisatie op een acceptabel niveau is.
“Het traject was heel ‘Lean & Mean’, met een perfecte verhouding tussen kwaliteit, uitstraling, kosten en resultaat!”
“Zonder CertificeringsAdvies Nederland (CAN) waren we als een kip zonder kop aan de slag gegaan. Vooral de pragmatische inval (wat moeten we vastleggen, wat ligt informeel in de organisatie al vast) hadden we niet zonder CAN kunnen doen. We zijn blij verrast met het resultaat.”
“Het voordeel van CertificeringsAdvies Nederland (CAN) is de flexibiliteit die ons geboden wordt. Daarnaast zijn de trainingen maatwerk. Daardoor bevatten de trainingen input vanuit onze eigen praktijkervaringen. Inmiddels loopt de samenwerking met CAN al jaren naar tevredenheid.”
“Gedurende het ISO 27001 en NEN 7510 traject viel vooral de pragmatische aanpak op. CertificeringsAdvies Nederland (CAN) denkt echt vanuit de organisatie en niet vanuit de norm. De CAN-adviseur wist de normen feilloos te vertalen naar de praktijk waardoor het voor ons duidelijk en werkbaar was.”
“De presentatie van de trainer was goed. Er zat een duidelijke structuur in en je merkte echt dat er voorafgaand aan de training met elkaar gecommuniceerd is. De goede voorbereiding en communicatie vooraf hebben ervoor gezorgd dat de training zelf erg prettig en soepel is verlopen.”
“We hebben voor CertificeringsAdvies Nederland (CAN) gekozen vanwege de no-nonsense aanpak, korte lijnen en goed advies. Het is prettig dat CAN tastbare targets nastreeft en zegt waar het overgaat in plaats van het volgen van theoretische modellen.”
“Ik ben erg tevreden over het gehele traject met CertificeringsAdvies Nederland. Wat ik erg positief vond is dat er vooraf contact is geweest met de trainer. Onze input was tijdens de training terug te horen. Dat vind ik heel belangrijk, dat is echt maatwerk!”
“We hebben de ISO 27001 norm met behulp van CertificeringsAdvies Nederland binnen 2 maanden opgetuigd. De gezamenlijke start en de professionele begeleiding van de adviseur hebben erg geholpen om onze hele organisatie te enthousiasmeren voor ISO. Dat was erg positief!”
“Samen met Tobias hebben we het afgelopen jaar flinke stappen gezet met betrekking tot ISO 9001 en ISO 27001. Hij heeft veel ervaring in de IT-branche en dat is van grote waarde gebleken. Hij weet hoe andere bedrijven bepaalde uitdagingen hebben opgelost en kan daarom meedenken en alternatieven noemen.”
“We kennen CertificeringsAdvies Nederland al een langere tijd en zijn zeer tevreden over de eerder uitgevoerde trajecten op het gebied van veiligheid. Toen we behoefte hadden aan een VCA examentraining op maat, op onze eigen locatie, werd er goed met ons meegedacht.”
“Rob wist met behulp van duidelijke voorbeelden en een portie humor de stof goed over te brengen in de VCU-training. Hij besteedde extra aandacht aan de voorbereiding op het examen. Dit was erg prettig!”
“De manier van communiceren, het snelle contact, de korte lijntjes en de mogelijkheid voor verschillende manieren van ondersteuning spraken ons erg aan bij CertificeringsAdvies Nederland. De adviseurs zijn heel erg ter zake kundig en kunnen dieper op bepaalde zaken ingaan. Over de hele linie kwamen ze met praktische zaken en handige formats!”
“Bij de start van ons VCA** traject zette Stijn meteen een duidelijke structuur neer. Dit gaf ons houvast gedurende het traject. De balans in workload was goed, de hoeveelheid werk dat we zelf moesten doen viel mee! Ook met onze vragen konden we altijd bij Stijn terecht.”
“Tobias heeft ons veel werk uit handen genomen tijdens het ISO 27001 implementatietraject. We zijn blij te kunnen melden dat we recent met vlag en wimpel door de audit van fase 1 zijn gekomen!”
“We zijn heel enthousiast en tevreden over de gegeven training. Het was inhoudelijk een goed, logisch en duidelijk verhaal dat Thijs ook nog eens leuk en helder over wist te brengen. Hij had echt verstand van zaken en kon op alle vragen antwoord geven. Al met al was het erg interessant en leerzaam.”
“Het is fijn om weer iemand op locatie te hebben die eigenaar is van het takenpakket van de HSE-manager. Het ontzorgt mijzelf, maar ook collega’s. Rob fungeert als aanspreekpunt en pakt alle taken op. Zo kunnen wij ons weer richten op onze kerntaken.”
“Wat heel fijn was tijdens het ISO 9001 en ISO 14001 implementatietraject is dat Martijn mooie templates beschikbaar had in onze werksessies. Hij nam ons mee aan de hand en maakte het simpel voor ons.”
“De expertise en ervaring van Rob hebben ons veel gebracht. En daarnaast mogen we blijven werken voor de hoofdaannemer nu we aan de slag zijn gegaan met de Veiligheidsladder. Het doel hebben we dus bereikt!”
“Voordat we samenwerkten met CertificeringsAdvies Nederland hadden we het gevoel dat we nog ver van ISO 27001 af stonden. Laurens nam ons aan de hand mee en heeft het simpel gemaakt voor ons. Na een tijdje kom je erachter dat je eigenlijk al best ver bent.”
“Het mooie van CAN vind ik dat ze hele fijne, kundige en betrokken mensen hebben. Ze staan ervoor open om na te denken over hun eigen expertise heen en dat vind ik knap. Ze zijn in staat om een compleet beeld te durven schetsen en over hun eigen schaduw heen te stappen.”
“Laurens heeft ons begeleid met de implementatie van ISO 27001 en NEN 7510. Die samenwerking ging zo goed, dat hij momenteel bij ons werkzaam is als Security Officer (as a Service).”
“Naast de opleidingen die worden geregeld door CertificeringsAdvies Nederland, ondersteunt Rob ons iedere maand in onze KAM-activiteiten. Ideaal om met elkaar te sparren! Hij is een stok achter de deur voor ons om door te pakken.”
“Wij hebben ervoor gekozen om met CertificeringsAdvies Nederland in zee te gaan, omdat dit een partner is die, met betrekking tot de verschillende aspecten van de bedrijfsvoering, het meeste vertrouwen en deskundigheid uitstraalde.”
“Rob, de adviseur van CAN was kordaat en slagvaardig en vrij direct, daar houden we van! Hij draaide nergens omheen, daarom wisten we precies waar we aan toe waren. En niet zonder resultaat; na 2,5 maand hebben we het VCA* certificaat behaald.”
“We hebben voor CertificeringsAdvies Nederland (CAN) gekozen omdat er een hele organisatie achter ziet die eenvoudig back-up kan bieden. CAN biedt een breed aanbod aan diensten en de adviseurs beoordelen objectief. Vreemde ogen dwingen tenslotte!”
“Voor ons was het ontzettend belangrijk om onze opleidingen onder één dak te houden. Je moet daarom wel een partij vinden die al die verschillende opleidingen kan verzorgen. Dan pas kun je namelijk meerwaarde gaan creëren. Uiteindelijk kwam ik bij CAN uit omdat zij, via hun opleidingsplatform de CAN Academy, veel verschillende trainingsmogelijkheden hebben en maatwerk kunnen leveren.”
3. Het ISO 27001 ISMS
Het managementsysteem voor informatiebeveiliging wordt het Information Security Management System (ISMS) genoemd. Het doel van een ISMS is (vertrouwelijke) informatie beter beveiligen. Het ISMS sluit aan bij het beleid en de strategie van de organisatie en dient geïntegreerd te worden in je huidige processen.
Bij CertificeringsAdvies Nederland nemen we altijd jouw organisatie en niet de ISO 27001 norm als uitgangspunt. Dat zie je terug in onze werkwijze en in ons managementsysteem. Ons ISMS is namelijk niet gebaseerd op een ISO-norm of de High Level Structure (HLS), maar op een bedrijfskundige indeling van processen binnen een organisatie.
Impressie van ons ISMS?
Wil je een impressie van ons managementsysteem? Download dan geheel vrijblijvend de whitepaper ‘Impressie managementsysteem’ en krijg een indruk van ons ISMS.
Op deze manier biedt het ISMS een praktische en overzichtelijke structuur om relevante zaken vast te leggen. Dat kan een ISO-norm zijn, maar ook andere certificaten en bijvoorbeeld interne afspraken. Een ISMS is in onze ogen bedoeld om mee te werken, niet om ‘in de kast’ te zetten. Zo zorgen wij ervoor dat je ISMS niet leidend, maar juist ondersteunend is aan de organisatie en de bedrijfsdoelen!
4. Voordelen ISO 27001
Belangrijk voor iedere organisatie zijn de voordelen die informatiebeveiliging ISO 27001 certificering met zich meebrengt. Veelal wenst de organisatie ISO 27001 gecertificeerd te worden vanuit commercieel belang. Een andere reden kan het voldoen aan wet- en regelgeving (meldplicht datalekken) zijn. We zetten een aantal voordelen van ISO 27001 onder elkaar:
- Gevoelige informatie wordt effectief beveiligd.
- Met het ISO 27001 keurmerk toon je aan een professionele organisatie te zijn.
- Je onderscheidt je van concurrenten
- Een ISO 27001 gecertificeerd bedrijf is aantrekkelijk voor opdrachten vanuit de overheid.
- Je voldoet aan geldende wet- en regelgeving.
5. ISO 27001 kosten
De kosten van een ISO 27001 certificering worden bepaald aan de hand van een aantal factoren:
- Wat is de huidige stand van zaken? Wat is er al ingeregeld?
- Is er al een ISMS opgetuigd?
- Heb je al andere ISO-certificeringen in bezit?
- Heb je jouw processen al in kaart gebracht of nog niet?
- Wat is je bedrijfsgrootte? (Medewerkers, vestigingen, aantal diensten/producten)
- Wat is de complexiteit van je organisatie en bijbehorende processen?
- Wil je zaken juist zelf doen of uitbesteden?
- De kosten van de externe audit, uitgevoerd door een Certificerende Instelling (CI).
Allemaal zaken die van invloed zijn op de uiteindelijke bepaling van de kosten voor ISO 27001 certificering. Je kunt je namelijk voorstellen dat het makkelijker wordt als er al e.e.a. is ingeregeld, dan wanneer je alles vanaf de basis op moet gaan zetten. En als je een bedrijf hebt met meerdere vestigingen of juist ingewikkelde processen, dan wordt het een lastiger verhaal dan wanneer je een klein bedrijf bent dat één type product verkoopt.
6. Wet- en regelgeving informatiebeveiliging
Als organisatie ben je verplicht om te voldoen aan (inter)nationale wet- en regelgeving van het land/de landen waarin je operationeel bent. Doe je dat niet, dan ben je nalatig. Dit geldt dus ook met betrekking tot wet- en regelgeving rondom informatiebeveiliging. In de ISO 27001 norm staat dat een organisatie die een ISMS heeft ook moet weten welke wetten relevant zijn voor informatiebeveiliging. Er moet dus een proces worden ingericht dat borgt dat de organisatie scherp blijft en blijft evalueren, met het oog op voldoen en blijven voldoen aan die wetgeving. Dat is dus geen eenmalige check, maar een periodieke activiteit.
Welke wet- en regelgeving speelt er dan zoal rondom informatiebeveiliging? Nou, denk eens aan de Algemene Verordening Gegevensbescherming (AVG), of aan de Netwerk- en Informatiebeveiligingsrichtlijn (NIB2). Wil je meer weten over wet- en regelgeving? Bekijk dan het artikel: Wet- en regelgeving informatiebeveiliging en ISO 27001.
Kennis
Best gelezen ISO 27001 blogs
Wat is het verschil tussen ISO 27001 en 27002?
ISO 27001 vs. ISO 27002: wat zijn de belangrijkste verschillen tussen deze twee normen voor informatiebeveiliging?
10 handige tips voor het invoeren van een Clean Desk Policy en Clear Screen Policy
Met een Clean Desk Policy en Clear Screen Policy verklein je het risico op gegevensdiefstal. Wij geven je 10 tips.
Dataclassificatie bij informatiebeveiliging: Beschikbaarheid, integriteit en vertrouwelijkheid (BIV)
Alles over dataclassificatie van je informatie.
Een leveranciersbeoordeling opzetten conform ISO 27001
ISO 27001 en leveranciersmanagement: hoe vlieg je dat aan? En hoe werkt de leveranciersbeoordeling?
7. ISO 27001 cursus
Wil je meer weten over ISO 27001? Binnen onze CAN Academy bieden we een complete leergang aan rondom de norm voor informatiebeveiliging:
Wil je meer lezen over de cursusmogelijkheden? Bekijk dan de ISO 27001 trainingspagina.
8. ISO 27002 (transitie)
ISO 27002 vormt de basis voor de Annex A van de ISO 27001 norm. Een document met praktische richtlijnen voor beheersmaatregelen voor informatiebeveiliging. ISO 27002 is echter geen norm waarvoor je kunt certificeren, maar het is een ondersteunende norm aan ISO 27001.
ISO 27002 is als het ware een hulpmiddel om de risicoanalyse, welke verplicht onderdeel is van ISO 27001, uit te voeren. ISO 27002 bestaat uit een lijst met maatregelen waarmee je de risico’s die je hebt geïdentificeerd kunt beperken of verkleinen. ISO 27002 is een stuk gedetailleerder dan ISO 27001.
Ook interessant: In februari 2022 is de nieuwe versie van de ISO 27002 norm gepubliceerd. Voor organisaties die ISO 27001 gecertificeerd zijn of willen worden, zitten hier consequenties aan. Je leest er alles over op de pagina ISO 27002 transitie(scan).
9. ISO 27001 update 2022
Belangrijk om te onthouden! ISO-normen worden gemiddeld iedere vijf jaar geactualiseerd. Het is dan ook gebruikelijk om een ISO norm een jaartal mee te geven, zodat duidelijk is wat de laatste versie van de norm is. Momenteel is de meest actuele versie van de ISO 27001 norm de ISO 27001:2022, die in 2023 door de Europese Unie is goedgekeurd. Hierdoor wordt in Europa ook wel gesproken over de ‘ISO 27001:2023’. De ISO 27002 norm is onlangs ook vernieuwd en daarom is de meest actuele versie van deze norm de ISO 27002:2022.
“Het traject was heel ‘Lean & Mean’, met een perfecte verhouding tussen kwaliteit, uitstraling, kosten en resultaat!”
“Zonder CertificeringsAdvies Nederland (CAN) waren we als een kip zonder kop aan de slag gegaan. Vooral de pragmatische inval (wat moeten we vastleggen, wat ligt informeel in de organisatie al vast) hadden we niet zonder CAN kunnen doen. We zijn blij verrast met het resultaat.”
“Het voordeel van CertificeringsAdvies Nederland (CAN) is de flexibiliteit die ons geboden wordt. Daarnaast zijn de trainingen maatwerk. Daardoor bevatten de trainingen input vanuit onze eigen praktijkervaringen. Inmiddels loopt de samenwerking met CAN al jaren naar tevredenheid.”
“Gedurende het ISO 27001 en NEN 7510 traject viel vooral de pragmatische aanpak op. CertificeringsAdvies Nederland (CAN) denkt echt vanuit de organisatie en niet vanuit de norm. De CAN-adviseur wist de normen feilloos te vertalen naar de praktijk waardoor het voor ons duidelijk en werkbaar was.”
“De presentatie van de trainer was goed. Er zat een duidelijke structuur in en je merkte echt dat er voorafgaand aan de training met elkaar gecommuniceerd is. De goede voorbereiding en communicatie vooraf hebben ervoor gezorgd dat de training zelf erg prettig en soepel is verlopen.”
“We hebben voor CertificeringsAdvies Nederland (CAN) gekozen vanwege de no-nonsense aanpak, korte lijnen en goed advies. Het is prettig dat CAN tastbare targets nastreeft en zegt waar het overgaat in plaats van het volgen van theoretische modellen.”
“Ik ben erg tevreden over het gehele traject met CertificeringsAdvies Nederland. Wat ik erg positief vond is dat er vooraf contact is geweest met de trainer. Onze input was tijdens de training terug te horen. Dat vind ik heel belangrijk, dat is echt maatwerk!”
“We hebben de ISO 27001 norm met behulp van CertificeringsAdvies Nederland binnen 2 maanden opgetuigd. De gezamenlijke start en de professionele begeleiding van de adviseur hebben erg geholpen om onze hele organisatie te enthousiasmeren voor ISO. Dat was erg positief!”
“Samen met Tobias hebben we het afgelopen jaar flinke stappen gezet met betrekking tot ISO 9001 en ISO 27001. Hij heeft veel ervaring in de IT-branche en dat is van grote waarde gebleken. Hij weet hoe andere bedrijven bepaalde uitdagingen hebben opgelost en kan daarom meedenken en alternatieven noemen.”
“We kennen CertificeringsAdvies Nederland al een langere tijd en zijn zeer tevreden over de eerder uitgevoerde trajecten op het gebied van veiligheid. Toen we behoefte hadden aan een VCA examentraining op maat, op onze eigen locatie, werd er goed met ons meegedacht.”
“Rob wist met behulp van duidelijke voorbeelden en een portie humor de stof goed over te brengen in de VCU-training. Hij besteedde extra aandacht aan de voorbereiding op het examen. Dit was erg prettig!”
“De manier van communiceren, het snelle contact, de korte lijntjes en de mogelijkheid voor verschillende manieren van ondersteuning spraken ons erg aan bij CertificeringsAdvies Nederland. De adviseurs zijn heel erg ter zake kundig en kunnen dieper op bepaalde zaken ingaan. Over de hele linie kwamen ze met praktische zaken en handige formats!”
“Bij de start van ons VCA** traject zette Stijn meteen een duidelijke structuur neer. Dit gaf ons houvast gedurende het traject. De balans in workload was goed, de hoeveelheid werk dat we zelf moesten doen viel mee! Ook met onze vragen konden we altijd bij Stijn terecht.”
“Tobias heeft ons veel werk uit handen genomen tijdens het ISO 27001 implementatietraject. We zijn blij te kunnen melden dat we recent met vlag en wimpel door de audit van fase 1 zijn gekomen!”
“We zijn heel enthousiast en tevreden over de gegeven training. Het was inhoudelijk een goed, logisch en duidelijk verhaal dat Thijs ook nog eens leuk en helder over wist te brengen. Hij had echt verstand van zaken en kon op alle vragen antwoord geven. Al met al was het erg interessant en leerzaam.”
“Het is fijn om weer iemand op locatie te hebben die eigenaar is van het takenpakket van de HSE-manager. Het ontzorgt mijzelf, maar ook collega’s. Rob fungeert als aanspreekpunt en pakt alle taken op. Zo kunnen wij ons weer richten op onze kerntaken.”
“Wat heel fijn was tijdens het ISO 9001 en ISO 14001 implementatietraject is dat Martijn mooie templates beschikbaar had in onze werksessies. Hij nam ons mee aan de hand en maakte het simpel voor ons.”
“De expertise en ervaring van Rob hebben ons veel gebracht. En daarnaast mogen we blijven werken voor de hoofdaannemer nu we aan de slag zijn gegaan met de Veiligheidsladder. Het doel hebben we dus bereikt!”
“Voordat we samenwerkten met CertificeringsAdvies Nederland hadden we het gevoel dat we nog ver van ISO 27001 af stonden. Laurens nam ons aan de hand mee en heeft het simpel gemaakt voor ons. Na een tijdje kom je erachter dat je eigenlijk al best ver bent.”
“Het mooie van CAN vind ik dat ze hele fijne, kundige en betrokken mensen hebben. Ze staan ervoor open om na te denken over hun eigen expertise heen en dat vind ik knap. Ze zijn in staat om een compleet beeld te durven schetsen en over hun eigen schaduw heen te stappen.”
“Laurens heeft ons begeleid met de implementatie van ISO 27001 en NEN 7510. Die samenwerking ging zo goed, dat hij momenteel bij ons werkzaam is als Security Officer (as a Service).”
“Naast de opleidingen die worden geregeld door CertificeringsAdvies Nederland, ondersteunt Rob ons iedere maand in onze KAM-activiteiten. Ideaal om met elkaar te sparren! Hij is een stok achter de deur voor ons om door te pakken.”
“Wij hebben ervoor gekozen om met CertificeringsAdvies Nederland in zee te gaan, omdat dit een partner is die, met betrekking tot de verschillende aspecten van de bedrijfsvoering, het meeste vertrouwen en deskundigheid uitstraalde.”
“Rob, de adviseur van CAN was kordaat en slagvaardig en vrij direct, daar houden we van! Hij draaide nergens omheen, daarom wisten we precies waar we aan toe waren. En niet zonder resultaat; na 2,5 maand hebben we het VCA* certificaat behaald.”
“We hebben voor CertificeringsAdvies Nederland (CAN) gekozen omdat er een hele organisatie achter ziet die eenvoudig back-up kan bieden. CAN biedt een breed aanbod aan diensten en de adviseurs beoordelen objectief. Vreemde ogen dwingen tenslotte!”
“Voor ons was het ontzettend belangrijk om onze opleidingen onder één dak te houden. Je moet daarom wel een partij vinden die al die verschillende opleidingen kan verzorgen. Dan pas kun je namelijk meerwaarde gaan creëren. Uiteindelijk kwam ik bij CAN uit omdat zij, via hun opleidingsplatform de CAN Academy, veel verschillende trainingsmogelijkheden hebben en maatwerk kunnen leveren.”
10. De BIV van informatiebeveiliging
Dat is voor veel organisaties het meest waardevolle bezit en om die reden is informatiebeveiliging belangrijk. De dataclassificatie van informatie bestaat uit drie classificatieniveaus, namelijk Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV):
- Beschikbaarheid: een kenmerk van iets dat toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit.
- Integriteit: nauwkeurigheid en volledigheid van de beveiliging van bedrijfsmiddelen.
- Vertrouwelijkheid: informatie wordt niet beschikbaar gesteld of ontsloten aan onbevoegde personen, entiteiten of processen.
Alle informatie krijgt dus een classificatieniveau toegekend en op basis daarvan wordt, met het oog op de risico’s, bepaald welke beveiligingseisen en maatregelen genomen worden. Kortom, de BIV-classificatie van de data bepaalt dus de mate van informatiebeveiliging.
11. ISO 27001 GAP-analyse
Doorgaans wordt er bij de start van een ISO 27001 traject afgetrapt met een ISO 27001 GAP-analyse. Op zo’n moment wordt bekeken waar je staat in relatie tot de normeisen. Met andere woorden: hoe groot is de stap van de huidige situatie (‘IST’) naar een certificeerbaar managementsysteem (‘SOLL’)? Een GAP-analyse (ook wel nulmeting genoemd) is bij uitstek het middel om hier een helder beeld van te krijgen.
Nulmeting uit laten voeren?
Meer lezen over de GAP-analyse/nulmeting? Bekijk onze nulmeting pagina.
12. De ISO 27001 PDCA
Wanneer je als organisatie aan de slag gaat met ISO 27001, dan kom je ongetwijfeld in aanraking met de Plan-Do-Check-Act cyclus (PDCA). Deze PDCA-cyclus, ook wel de kwaliteitscirkel van Deming genoemd, is een tool om continue verbetering binnen organisaties in gang te zetten. De PDCA-cyclus vormt het basisprincipe van iedere ISO-norm. Het is dan ook niet toevallig dat de ISO 27001 norm in dezelfde volgorde is geschreven.
De PDCA-cyclus is een zogenaamde verbetermethode. Om een hoger kwaliteitsniveau te bereiken als organisatie dien je een continue cyclus op gang te brengen. Deze cyclus start met plannen, wordt gevolgd door uitvoeren, checken van de resultaten en het bijstellen van de uitvoering. Tijdens een ISO 27001 implementatietraject wordt de PDCA-cyclus – ook wel ‘het stappenplan’ – tenminste één keer doorlopen. Alle hoofdstukken van de ISO 27001 norm passen immers precies in de PDCA-cyclus.
13. ISO 27001 audit
Zodra je richting het einde van een ISO 27001 implementatietraject gaat, komen de interne en externe audit in beeld.
Het is gebruikelijk om een interne auditplanning voor een auditcyclus van drie jaar op te stellen. Daarin controleer je alle onderdelen van het ISMS periodiek op opzet, bestaan en werking. Het gaat om controles op volledigheid en actualiteit van de ISMS documentatie, maar ook om dossiercontroles, observaties en interviews waarmee de naleving van het beleid en de interne afspraken worden beoordeeld.
Nadat de interne audit heeft plaatsgevonden, is het tijd voor de externe audit. Deze wordt altijd uitgevoerd door een Certificerende Instelling (CI), omdat zij onafhankelijk zijn. De externe audit bestaat uit twee fases. Voldoe je aan alle verplichtingen van de norm en doorloop je beide fasen dus met vlag en wimpel dan krijg je uiteindelijk het ISO 27001 certificaat uitgereikt.
14. ISO 27001 projectaanpak
Implementatie van informatiebeveiliging conform ISO 27001 vraagt een behoorlijke commitment. Zowel van het top- en middenmanagement als operationele medewerkers. Hoe groter de risico’s, hoe ingrijpender de maatregelen. Voordat je organisatie het ISO 27001 certificaat ontvangt, gaat er nogal wat aan vooraf. De volgende stappen worden doorlopen:
- Basismaatregelen voor cybersecurity / Nulmeting
- Bepalen van het projectteam
- Bepalen scope van het ISMS
- Inventariseren processen, data en systemen binnen de scope
- Analyseren stakeholdereisen m.b.t. BIV van informatie
- Bepalen informatiebeveiligingsbeleid (hoofdlijnen)
- Uitvoeren van de risicoanalyse
- Bepalen/selecteren/prioriteren beheersmaatregelen (opstellen VvT)
- Implementeren geprioriteerde beheersmaatregelen
- Creëren van security awareness
- Opzetten en implementeren monitoring/verbetercyclus (PDCA)
- Uitvoeren interne audit
- Uitvoeren directiebeoordeling
- Uitvoeren externe audit
- Onderhouden van het ISMS
Bekijk het hele stappenplan in het artikel: ISO 27001 checklist, in 15 stappen naar implementatie ISO 27001
15. Security Officer (as a Service)
Een Security Officer is verantwoordelijk voor het continue proces van informatiebeveiliging. Je kunt ervoor kiezen om intern een Security Officer aan te stellen of in dienst te nemen. Je kunt er ook voor kiezen om zo iemand ‘in te huren’. Bij CertificeringsAdvies Nederland bieden wij de dienst ‘Security Officer as a Service’ (SOaaS) aan. Middels deze dienstverlening borg je dat er periodiek, bijvoorbeeld maandelijks of wekelijks, vooruitgang op het gebied van informatiebeveiliging aangejaagd wordt en dat permanente verbetering geborgd is.
16. Beveiligingsbewustzijn verhogen
Een belangrijk onderdeel van informatiebeveiliging is ‘het beveiligingsbewustzijn verhogen’. Een grote uitdaging voor veel organisaties en dat komt met name door de invloed van de mens in het verhaal. Uit onderzoek is bijvoorbeeld gebleken dat zo’n 80% van alle informatiebeveiligings-incidenten binnen organisaties het gevolg zijn van verkeerd handelen van medewerkers (Bron: CBS). Het is daarom belangrijk om medewerkers de hedendaagse risico’s en gevaren aan te leren op het menselijk vlak van informatiebeveiliging en privacy, om hen bewust te maken van hun handelen en om hen de nut en noodzaak in te laten zien van het belang van informatiebeveiliging. Kortom, door het beveiligingsbewustzijn te verhogen houd je jouw bedrijfsdata veilig.
Beveiligingsbewustzijn is een onderdeel binnen een ISO 27001 traject. Aanvullend daarop kan er gekozen worden om ‘security awareness sessies’ te organiseren. Meer informatie vind je op onze ‘Security Awareness’ trainingspagina.
17. NEN 7510 voor de zorg / BIO overheid
NEN 7510 biedt zorginstellingen een leidraad voor het formuleren, vastleggen en controleren van de interne informatiebeveiliging. Belangrijk natuurlijk, vanwege de verwerking van gevoelige gegevens. Voor zorginstellingen heeft NEN 7510 daarom een verplichtend karakter. Ook van toeleveranciers wordt steeds vaker het NEN 7510 certificaat gevraagd.
NEN 7510
Meer lezen over NEN 7510? Bekijk de NEN 7510 adviespagina.
Per 1 januari 2019 heeft de Baseline Informatiebeveiliging Overheid (BIO) zijn intrede gedaan. De BIO is gebaseerd op de actuele, internationale standaard voor informatiebeveiliging (NEN-ISO/IEC 27001 en NEN-ISO/IEC 27002) en heeft risicomanagement als uitgangspunt. Met de komst van de Baseline Informatiebeveiliging Overheid ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid. Bestaande baselines zoals de BIR, BIR 2017, BIG en BIWA worden door de BIO vervangen. 2019 is het zogenaamde overgangsjaar waarin overgestapt kan worden naar de BIO.
BIO
Alles lezen over de BIO? Bekijk de BIO adviespagina.
Kom in contact met de partner in certificeren!
Meer informatie over de mogelijkheden?
Vraag direct en vrijblijvend een offerte op maat aan of neem contact met ons op!