ISO 27001 certificering

ISO 27001 is de internationale norm voor een gecertificeerd informatiebeveiligingsmanagementsysteem. Informatiebeveiliging en cybersecurity worden steeds belangrijker. Met een ISO 27001 certificaat toont een organisatie aan dat de informatiebeveiliging op een structurele en aantoonbare manier geborgd is. Vandaar dat een ISO 27001 certificering tegenwoordig steeds vaker wordt geëist vanuit klanten.

De norm is opgebouwd volgens de High Level Structure (HLS). De inhoudsopgave is gelijk aan andere nieuwe ISO-normen zoals ISO 9001, ISO 14001 en ISO 45001. ISO 27001 gaat een stap verder dan ISO 9001. De organisatie krijgt te maken met een nieuw onderwerp, informatieclassificatie. Verder kost het veel tijd om aansluiting tussen context, informatiebeveiligingsbeleid, risico analyse en de onderwerpen uit ISO 27002 te krijgen.

ISO 27001 certificeringstraject

Voor organisaties kost een certificeringstraject van één of meerdere normen veel tijd. Door de complexiteit van de huidige informatiesystemen en de bedrijfsstructuur is het niet duidelijk wie verantwoordelijk is voor de te nemen verbeteracties. Hoofd- en bijzaken worden door elkaar gehaald wat zorgt voor veel discussie. Problemen worden groter gemaakt waardoor de medewerkers het overzicht verliezen en organisaties kiezen voor interim managers. Dit resulteert in een onnodig, moeizaam en duur certificeringstraject.

Waar lopen bedrijven bij de ISO 27001 certificering tegenaan

Een certificeringstraject van één of meerdere normen kost veel tijd. Door de complexiteit van de huidige bedrijfsprocessen en de bedrijfsstructuur is het niet duidelijk wie verantwoordelijk is voor de te nemen verbeteracties. Hoofd- en bijzaken worden door elkaar gehaald wat zorgt voor veel discussie. Problemen worden groter gemaakt waardoor de medewerkers het overzicht verliezen. Dit resulteert in een lang en moeizaam certificeringstraject. Daarnaast lopen organisaties bij het traject tegen obstakels aan. De meest voorkomende obstakels bij een ISO 27001 certificering zijn:

De ISO 27001 wordt ervaren als veel en ingewikkeld
Het is onduidelijk wat precies beschreven moet worden in het ISMS
ISO 27001 vraagt zowel een gestructureerde managementbenadering als een groot aantal praktische maatregelen. Dit maakt het verwarrend
Alle verbetercirkels moeten rond gemaakt worden, dus niet alleen beschrijven, maar ook doen, evalueren en verbeteren
De invloed van mens en organisatie op informatiebeveiliging; niet alles is met IT op te lossen
Het managementsysteem wordt niet gezien als een framewerk voor de organisatie, maar als iets wat er naast staat
Organisaties zien de audit als een doel en niet als een onderdeel van het eigen verbeterproces
Het meetbaar maken van informatiebeveiliging is lastig
Het verschil zien tussen afwijkingen en incidenten van het ISMS
Bewustzijn bij management en medewerkers van eigen handelen op informatiebeveiliging

QVOX dienstverlening ISO 27001 certificering

Wij ontzorgen organisaties in dit traject. Hiervoor hebben wij een integrale methode ontwikkeld. Dit houdt in dat wij met eigen adviseurs en netwerkpartners iedere vraag kunnen beantwoorden. Wij leveren hierbij:

Een kick-off met alle betrokkenen om enthousiasme en draagvlak te creëren. Periodiek worden voortgangsgesprekken gehouden om de snelheid en de kwaliteit te waarborgen. Onze projectmanagers, adviseurs en interne auditors zijn vanaf de start betrokken.
Het inrichten van het ISMS (information security management system)
- De context wordt bepaald. Hierbij stellen wij vast wat de unieke eigenschappen van de organisatie en haar informatieverwerking zijn
- Het in kaart brengen van de relevante wet- en regelgeving, de contractuele eisen én de verwachtingen van belanghebbenden (in- en externe stakeholders)
- Bepalen van het beleid voor informatiebeveiliging, de borging van het ISMS en de kwaliteitsdoelstellingen; alles in lijn met jullie organisatie zodat het een geïntegreerd geheel is.
- Vaststellen van risico’s die impact hebben op de informatiebeveiliging en de bedrijfscontinuïteit. Ook wordt het risicobehandelplan opgesteld.
- Ondersteuning bij het beschrijven van het ISMS
- In lijn brengen van de ondersteunende processen, zoals HR, communicatie, beheer van documentatie, en de primaire processen.
- Inregelen van het meten van de kwaliteitsindicatoren, interne audits en directiebeoordelingen via een meerjarenplanning
Ondersteuning bij de borging van het KMS:
- Procesbegeleiding van het informatiebeveiligingsoverleg en coaching van de security officer
- Te nemen acties bewaken en coördineren
- Interne audits plannen, uitvoeren en opvolgen
- Directiebeoordeling organiseren en begeleiden
- Externe audit organiseren, begeleiden en opvolgen

Voor wie is ISO 27001 bedoeld?

De ISO 27001 norm is bedoeld voor organisaties die hun informatiebeveiliging structureel moeten borgen in relatie tot klanteneisen, wetgeving en risico’s.

Bedrijven die ISO 27001 toepassen zijn onder andere organisaties die informatie verwerken die onder de Algemene Verordening Gegevensbescherming vallen, zoals datacenters, web-/softwaredevelopers, serviceproviders en verzekeraars. Maar ook financiële instellingen, energiemaatschappijen, installatiebedrijven en andere organisaties met persoonsinformatie krijgen te maken met ISO 27001.

ISO 27001 certificering behalen? Denk ook aan deze punten!

Tot slot zijn er een aantal zaken waar een organisatie rekening mee moet houden bij de implementatie van de ISO 27001 norm:

Besteed aandacht aan de menselijke kant. Informatiebeveiliging wordt grotendeels met technische oplossingen neergezet, maar een druk op de verkeerde knop door een medewerker kan een bedrijf plat leggen. Houd hier rekening mee bij het minimaliseren van risico’s.
Beschrijf niet alleen de procedures, maar zorg ook voor goede controlemechanismen om te voorkomen dat procedures fout gaan.
Voorkom handmatige controles en automatiseer technische beheersmaatregelen, zoals wachtwoordbeheer en patchmanagement.
Zorg voor een goed calamiteitenplan en een back-up/reserve locatie om de informatie te beveiligen tegen bedreigingen van buitenaf.
Probeer niet alles zelf te doen. Een externe verantwoordelijke voor informatiebeveiliging heeft vaak meer kennis en impact dan iemand die intern verantwoordelijk wordt gemaakt.
Vertrouw niet blind op ICT-leveranciers, maar maak goede afspraken en zorg dat deze worden vastgelegd in een Service Level Agreement (SLA).

Hulp nodig? Schakel een expert in!

Bekijk ook

Waar ligt onze kracht?

Vanuit een integrale visie op organisatie, mensen en techniek kunnen we bedrijven verder helpen op het gebied van kwaliteit en management. We weten wat er speelt in de wereld en kunnen daardoor die partner zijn die weet welke topics belangrijk zijn voor de continuïteit van jouw bedrijf. Denk aan informatiebeveiliging en veilig werken. We hebben meerdere disciplines in huis, bedienen meerdere branches, hebben aangesloten partners en de juiste middelen en mensen. Kortom, we hebben in de afgelopen 25 jaar een complete dienstverlening opgebouwd rondom management en organisatie. Met als doel groei, stabiliteit en uiteraard kwaliteit.