wat is iso 27001Bankieren doe je online. Onze gewerkte uren registreren we tegenwoordig ook online. De persoonlijke administratie staat thuis op de slaapkamer. En ons diploma van de middelbare school ligt waarschijnlijk ergens onder een dikke laag stof op de zolder. Wat deze zaken gemeen hebben? We willen graag dat het veilig is. Deze informatie moet bewaard blijven. Je wilt niet dat een onbekend persoon in je administratie neust. Of dat een brand je diploma vernietigt. Daarom hebben we een slot op de deur en een brandmelder in huis. En we vertrouwen erop dat onze bankgegevens en urenregistratie beveiligd worden. Herkenbaar? Vast wel. Net als iedereen zorg je dat belangrijke informatie bij je thuis veilig is. Door voorzorgsmaatregelen te treffen om risico’s (zoals brand of diefstal) te beheersen. En net als thuis, doe je dat ook met de informatie binnen jouw organisatie. Sterker nog, de gevolgen van informatieverlies zijn daar nog veel groter. Dus de maatregelen die je treft zijn ingrijpender. Toch? In dit artikel vertellen we je alles over ‘wat is ISO 27001, de norm voor informatiebeveiliging‘. 

Artikeltip: Lees ook Wat is het verschil tussen ISO 27001 en ISO 27002?’


Meer weten over informatiebeveiliging? [DOWNLOAD] 

Download dan vrijblijvend de ‘Informatiegids ISO 27001’. Een handig naslagwerk met daarin allerlei informatie over ISO 27001.

DOWNLOAD INFORMATIEGIDS

Informatiegids ISO 27001

Wat is ISO 27001? De snelst groeiende norm van het moment!

Informatie en kennis zijn in veel gevallen het belangrijkste bezit van een bedrijf. Uit onderzoek blijkt dat cybercrime als groot risico wordt gezien door bedrijven. Verbazingwekkend genoeg hebben veel bedrijven echter hun informatiebeveiliging nog niet (goed) op orde. Gelukkig is de ISO 27001 norm de snelst groeiende norm van dit moment. In de norm staat omschreven hoe een organisatie haar informatiebeveiliging procesmatig kan inrichten. Met het ISO 27001 certificaat toont een organisatie aan dat haar informatiebeveiliging dus op orde is. Maar wat is informatiebeveiliging precies?

Definitie informatiebeveiliging: Informatiebeveiliging is het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Daarnaast kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid hierbij een rol spelen.

De drie elementen van informatiebeveiliging:

  • Beschikbaarheid: een kenmerk van iets dat toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit.
  • Integriteit: nauwkeurigheid en volledigheid van de beveiliging van bedrijfsmiddelen.
  • Vertrouwelijkheid: informatie wordt niet beschikbaar gesteld of ontsloten aan onbevoegde personen, entiteiten of processen.

Tip: Lees ook het artikel ‘Dataclassificatie bij informatiebeveiliging: Beschikbaarheid, integriteit en vertrouwelijkheid (BIV)

Informatiebeveiliging is dus erg breed. Niet alleen gaat het om mogelijke gevaren van buitenaf (bijvoorbeeld een DDoS-aanval), maar het is ook gericht op de interne organisatie. Daarnaast gaat het ook niet alleen om het verliezen van informatie; het gaat ook om de garantie dat de informatie juist, volledig en enkel voor de juiste personen toegankelijk is.

Een eerste stap naar certificering?

Informatiebeveiligingsrisico’s worden voor iedere organisatie steeds belangrijker. Niets doen is geen optie meer! Is het niet vanuit eigen behoefte, dan wel vanuit eisen van klanten/stakeholders. Tijd om aan de slag te gaan dus! Maar hoe? Een laagdrempelige en toegankelijke manier hiervoor is door te beginnen met een ISO 27001 opstaptraject!

BEKIJK OPSTAPTRAJECT



Starten met informatiebeveiliging

Niet alleen online, ook offline!

Veel mensen hebben de indruk dat ISO 27001 certificering voornamelijk gaat over online informatiebeveiliging. Niet onbegrijpelijk in deze tijd van digitalisering, hackers en nieuwe wetten als de meldplicht datalekken; maar zeker niet juist. Het beveiligen van informatie is ook offline belangrijk. Wat gebeurt er met de informatie binnen je organisatie als er brand uitbreekt? Is er nagedacht tot welk niveau informatieverlies acceptabel is? En hoelang bepaalde informatie onbereikbaar mag zijn? Informatiebeveiliging is dus zeker niet alleen een ICT aangelegenheid!

CertificeringsAdvies Nederland biedt ook interessante opleidingen en trainingen aan op het gebied van ISO 27001. Bekijk de ISO 27001 trainingen op onze CAN Academy website.

De structuur van de ISO 27001 norm

Context-analyse

De ISO 27001 norm heeft dezelfde structuur als andere ISO normen. De Higher Level Structure (HLS). Dit is een overkoepelende structuur waardoor verschillende normen gemakkelijk in hetzelfde managementsysteem verwerkt kunnen worden. Zo is het mogelijk om de kwaliteitsnorm ISO 9001 in hetzelfde managementsysteem te implementeren. Binnen de HLS structuur wordt veel aandacht geschonken aan de context-analyse. Wat zijn de verwachtingen van je klanten en van je stakeholders en hoe ga je hiermee om. Daarnaast is de risicoanalyse van belang. Wat zijn de kansen en bedreigingen voor je organisatie en hoe speel je hierop in? Met betrekking tot informatiebeveiliging lichten we de risicoanalyse er even uit.

De risicoanalyse

Wat is de ISO 27001 risico-analyse? Iedere organisatie is uniek. Net als de informatie binnen iedere organisatie. En daarmee dus ook de risico’s op informatieverlies. De beveiliging van je informatie wordt daarom gebaseerd op een risicoanalyse. Op basis daarvan neem je maatregelen. Door het treffen van deze maatregelen, is het mogelijk de kans en/of de impact van het risico te verlagen. Hierbij wordt altijd een afweging gemaakt tussen de kosten van de maatregelen en het risico.

Ook interessant om te lezen: De ISO 27001 risicoanalyse uitgelicht

Wat is ISO 27002?

ISO 27002 is een toelichtingen document op ISO 27001. ISO 27002 bestaat onder andere uit veertien hoofdstukken met maatregelen om de risico’s te beheersen. Onderwerpen zijn bijvoorbeeld:

  • Informatiebeveiligingsbeleid.
  • Veilig personeel. Begrijpt iedereen zijn/haar verantwoordelijkheden?
  • Beheer van bedrijfsmiddelen.
  • Toegangsbeveiliging.
  • Communicatiebeveiliging.

Binnen deze hoofdstukken worden concrete maatregelen op basis van best practices gegeven om de risico’s te beheersen. Hierbij wordt ook aandacht geschonken aan ketenbeveiliging en informatiebeveiliging in projecten.

ISO 27002 update

In februari 2022 is de vernieuwde ISO 27002 norm gepubliceerd. Dit heeft consequenties voor alle ISO 27001 gecertificeerde organisaties. Wat dat inhoudelijk betekent lees je in het artikel: ISO 27002 wijzigingen: wat betekent dat voor jouw organisatie?“. Wil je meer weten, neem dan gerust contact met ons op!



Meer weten over NEN 7510? 

Wil je meer weten over NEN 7510? Download dan de NEN 7510 Informatiegids!

BEKIJK INFOGIDS 7510 

NEN 7510 stappenplan

Implementatie van het ISO 27001 managementsysteem

Een informatiebeveiligingssysteem conform ISO 27001 noemen we het Information Security Management System (ISMS). Het opzetten hiervan verloopt conform een 7-stappen plan:

  1. Het bepalen van de scope.
  2. Opstellen van het beleid.
  3. Inventarisatie van informatie en middelen.
  4. Uitvoeren van de risicoanalyse en selecteren van maatregelen.
  5. Implementeren en monitoren van maatregelen.
  6. Uitvoeren van interne audits.
  7. Directiebeoordeling en correctieve acties.

Overigens hebben we bij CertificeringsAdvies Nederland een ISO 27001 traject bij Phylax ICT uitgevoerd. Het managementsysteem hebben we op aanvraag geïntegreerd in Sharepoint.

Hoe ga je concreet aan de slag?

Wil je aan de slag met deze norm voor informatiebeveiliging? Dan kun je grofweg het volgende stappenplan uitvoeren:

Stap 1: Analyseren

ISMS voorbeeldJe begint met het inventariseren van de informatiedragers en informatiesystemen in je bedrijf, ook wel business impact analyse genoemd. Er wordt bepaald wat de gevolgen zijn voor jouw bedrijf als een informatiesysteem niet beschikbaar is, hoe lang het systeem niet beschikbaar mag zijn, en tot welk niveau informatieverlies acceptabel is.

Vervolgens neem je een lijst met bedreigingen door. Dit doe je met de informatiedragers en informatiesystemen uit in het achterhoofd. Per dreiging moet worden bepaald in welke mate de dreiging reëel is voor jouw bedrijf en wat je daaraan kunt doen.

Stap 2: Opbouwen en implementeren van het ISMS

Wellicht voldoe je al voor een gedeelte aan de werkwijze van de ISO 27001 norm. De ontbrekende normelementen moeten worden beschreven en geïmplementeerd in het managementsysteem en in jouw bedrijfsvoering.

De ISO 27001 norm is opgebouwd volgens de High Level Structure. Dit houdt in dat de norm dezelfde structuur heeft als andere ISO normen zoals ISO 9001. Je kunt dus verschillende normen in één managementsysteem integreren.

Het implementatieproces wordt afgerond met een laatste check om vast te stellen of je gereed bent voor ISO 27001 certificering. Daarnaast moet er een directiebeoordeling worden uitgevoerd. Wanneer alle zaken in orde zijn ben je klaar voor certificering.

Bekijk ook het artikel: Een ISMS opzetten met behulp van Atlassian

Stap 3: ISO 27001 certificering

De certificering voor ISO 27001 moet worden uitgevoerd door een erkende certificerende instantie. Na certificering ontvang je een certificaat dat 3 jaar geldig is. Daarnaast worden er jaarlijks controle audits uitgevoerd.

Meer lezen over de ISO 27001 audit? Bekijk dan het artikel: ‘Hoe gaat een ISO 27001:2017 audit in zijn werk?’

Meer informatie?

Wil je aan de slag met ISO 27001? En kun je daarbij ondersteuning gebruiken? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag verder!


Download Informatiegids ISO 27001

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl