Wat is ISO 27001? Stap voor stap implementatie voor organisaties

“ISO 27001 is de internationale standaard voor informatiebeveiliging, die organisaties een systematisch raamwerk biedt (ISMS) om vertrouwelijkheid, integriteit en beschikbaarheid van informatie te waarborgen via continue risicobehandeling.”

In een wereld waar digitale informatie de ruggengraat vormt van vrijwel elke organisatie, is het beschermen van deze gegevens tegen toenemende cyberdreigingen cruciaal. Door deze norm te implementeren, zorgt je organisatie voor een systematische aanpak van informatiebeveiliging. Dit niet alleen om risico’s te minimaliseren, maar ook om het vertrouwen van klanten en partners te versterkenen te voldoen aan relevante wet- en regelgeving. Kortom: Organisaties die een ISO 27001 certificering behalen, laten zien dat ze informatiebeveiliging serieus nemen en voldoen aan internationale best practices.

Informatie en kennis zijn in veel gevallen het belangrijkste bezit van een bedrijf. Uit onderzoek blijkt dat cybercrime als groot risico wordt gezien door bedrijven. Verbazingwekkend genoeg hebben veel bedrijven echter hun informatiebeveiliging nog niet (goed) op orde. Gelukkig is de ISO 27001 norm de snelst groeiende norm van dit moment. In de norm staat omschreven hoe een organisatie haar informatiebeveiliging procesmatig, met behulp van een ISMS, kan inrichten.

ISO 27001:

Informatiebeveiliging rust op drie pijlers, namelijk:

Informatiebeveiliging is dus erg breed. Niet alleen gaat het om mogelijke gevaren van buitenaf (bijvoorbeeld een DDoS-aanval), maar het is ook gericht op de interne organisatie. Daarnaast gaat het ook niet alleen om het verliezen van informatie; het gaat ook om de garantie dat de informatie juist, volledig en enkel voor de juiste personen toegankelijk is. En tot slot is het menselijk handelen een cruciaal aandachtspunt in het kader van informatiebeveiliging.

Veel mensen hebben de indruk dat ISO 27001 certificering voornamelijk gaat over online informatiebeveiliging. Niet onbegrijpelijk in deze tijd van digitalisering, hackers en nieuwe wetten als de meldplicht datalekken; maar zeker niet juist. Het beveiligen van informatie is ook offline belangrijk. Wat gebeurt er met de informatie binnen je organisatie als er brand uitbreekt? Is er nagedacht tot op welk niveau informatieverlies acceptabel is? En hoelang bepaalde informatie onbereikbaar mag zijn? Informatiebeveiliging is dus zeker niet alleen een ICT aangelegenheid!

Er zijn tal van redenen om ISO 27001 te implementeren. Hieronder de meest voorkomende op een rij gezet:

Bovendien is ISO 27001 de snelst groeiende norm voor informatiebeveiliging en daarmee een goede basis voor andere normen en wetten op dit gebied.

De ISO 27001 norm maakt, evenals andere ISO-normen, gebruik van de Harmonized Level Structure (voorheen High Level Structure). Dit is een overkoepelende structuur waardoor verschillende ISO-normen gemakkelijk in hetzelfde managementsysteem verwerkt kunnen worden. Zo is het mogelijk om de kwaliteitsnorm ISO 9001 in hetzelfde managementsysteem te implementeren als bijvoorbeeld ISO 27001 en ISO 14001. Kenmerkend voor die structuur:

Zeker binnen het thema informatiebeveiliging speelt die risicoanalyse een grote rol. Iedere organisatie is namelijk uniek, evenals de informatie binnen die organisatie en daarmee dus ook de risico’s op informatieverlies. De beveiliging van je informatie wordt daarom gebaseerd op een risicoanalyse. Op basis daarvan neem je (beheers)maatregelen. Door het treffen van deze maatregelen, is het mogelijk de kans en/of de impact van het risico te verlagen. Hierbij wordt altijd een afweging gemaakt tussen de kosten van de maatregelen en het risico.

Een informatiebeveiligingssysteem conform ISO 27001 noemen we het Information Security Management System (ISMS). Dit is een gestructureerd raamwerk waarmee je als organisatie je informatiebeveiliging systematisch kunt beheren, verbeteren en borgen. De implementatie van ISO 27001 en daarmee gepaard het optuigen en inrichten van het ISMS gaat in de volgende stappen:

In het kader van risico’s kunnen we stellen dat de ISO 27001 norm niet zonder de ISO 27002 norm kan. ISO 27002 is namelijk een toelichtingendocument op ISO 27001 en bestaat uit een heleboel hoofdstukken met maatregelen daarin om risicio’s te beheersen. Onderwerpen zijn bijvoorbeeld:

Binnen deze hoofdstukken worden concrete maatregelen op basis van best practices gegeven om de risico’s te beheersen. Hierbij wordt ook aandacht geschonken aan ketenbeveiliging en informatiebeveiliging in projecten.

In 2022 is de nieuwe ISO 27002:2022 versie gepubliceerd. Hieronder de belangrijkste ISO 27002:2022 wijzigingen op een rij:

Is ISO 27001 verplicht? Een vraag die regelmatig wordt gesteld. Het antwoord is: nee, dat is niet het geval. Er is wel allerlei wet- en regelgeving waarbij elementen die overeenkomen met eisen uit de ISO 27001 norm verplicht worden gesteld en ISO 27001 gecertificeerd zijn helpt zeker bij voldoen aan veel wetten en regels op gebied van informatiebeveiliging, maar ISO 27001 is niet verplicht. ISO 27001, of een managementsysteem conform ISO 27001, kan wel gevraagd of zelfs geëist worden door een (samenwerkings)partner of opdrachtgever.

ISO 27001 is relevant voor vrijwel ieder bedrijf. Organisaties zijn steeds afhankelijker van informatie en dat maakt informatiebeveiliging een hygiënefactor. Ook nemen cybersecuritydreigingen, zoals phishing, hackers ed., sterk toe. Je kunt als organisatie maar beter je informatiebeveiliging op orde hebben om gewapend te zijn tegen dit soort aanvallen. Dat hoeft niet gelijk met een complete ISO 27001 certificering, ook elementen uit de norm en het treffen van een set aan maatregelen is voor bepaalde organisaties al een flinke stap in de goede richting. Later kan dit, waar mogelijk, nodig en wenselijk, verder uitgebouwd worden.

Wil je aan de slag met deze norm voor informatiebeveiliging? Dan kun je grofweg het volgende stappenplan uitvoeren:

Je begint met het inventariseren van de informatiedragers en informatiesystemen in je bedrijf, ook wel business impact analyse genoemd. Er wordt bepaald wat de gevolgen zijn voor jouw bedrijf als een informatiesysteem niet beschikbaar is, hoe lang het systeem niet beschikbaar mag zijn, en tot welk niveau informatieverlies acceptabel is.

Vervolgens neem je een lijst met bedreigingen door. Dit doe je met de informatiedragers en informatiesystemen uit in het achterhoofd. Per dreiging moet worden bepaald in welke mate de dreiging reëel is voor jouw bedrijf en wat je daaraan kunt doen.

Wellicht voldoe je al voor een gedeelte aan de werkwijze van de ISO 27001 norm. De ontbrekende normelementen moeten worden beschreven en geïmplementeerd in het managementsysteem en in jouw bedrijfsvoering.

Het implementatieproces wordt afgerond met een laatste check om vast te stellen of je gereed bent voor ISO 27001 certificering. Daarnaast moet er een directiebeoordeling worden uitgevoerd. Wanneer alle zaken in orde zijn ben je klaar voor certificering.

Voordat je kunt certificeren is een verplichte stap het (laten) uitvoeren van een interne audit. Dit kun je, onder bepaalde voorwaarden zelf doen, maar doorgaans is het gebruikelijk om hiervoor een adviespartij in de arm te nemen. Uit de interne audit komt een rapport met eventuele verbeterpunten dat je kunt implementeren alvorens je op gaat voor de certificeringsaudit. De certificeringsaudit voor ISO 27001 moet worden uitgevoerd door een erkende certificerende instantie (CI). Na certificering ontvang je een certificaat dat 3 jaar geldig is. Daarbij worden er jaarlijks controle audits uitgevoerd.

Wil je aan de slag met ISO 27001? En kun je daarbij ondersteuning gebruiken? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag verder!