ISO 27001 certificering

ISO 27001 is de internationale norm voor een gecertificeerd informatiebeveiligingsmanagementsysteem. Informatiebeveiliging en cybersecurity worden steeds belangrijker. Met een ISO 27001 certificaat toon je als organisatie aan dat de informatiebeveiliging (verzamelen, beheren en delen van (persoons)gegevens) op een structurele en aantoonbare manier geborgd is. Vandaar dat een ISO 27001 certificering tegenwoordig steeds vaker wordt geëist vanuit opdrachtgevers en stakeholders.

Voor organisaties die informatie verwerken volgens de AVG

De ISO 27001 is bedoeld voor organisaties die hun informatiebeveiliging structureel moeten borgen in relatie tot klanteneisen, wet- en regelgeving en risico’s.

Bedrijven die ISO 27001 toepassen zijn onder andere organisaties die informatie verwerken die onder de Algemene Verordening Gegevensbescherming vallen, zoals datacenters, web-/softwaredevelopers, serviceproviders en verzekeraars. Maar ook financiële instellingen, energiemaatschappijen, installatiebedrijven en andere organisaties met persoonsinformatie krijgen tegenwoordig te maken met ISO 27001.

Voldoe aan de internationale eisen voor informatiebeveiliging

De ISO-norm is opgebouwd volgens de High Level Structure (HLS). De inhoudsopgave is gelijk aan andere nieuwe ISO-normen zoals ISO 9001, ISO 14001 en ISO 45001. ISO 27001 gaat een stap verder dan ISO 9001. De organisatie krijgt te maken met een nieuw onderdeel: informatieclassificatie. Verder is het belangrijk om aansluiting tussen context, informatiebeveiligingsbeleid, risicoanalyse en de onderwerpen uit de ISO 27002 te realiseren.

Certificeren met QVOX

Informatiebeveiliging vraagt veel van de interne organisatie. Dus, een goed begin is het halve werk. Daarom starten we met een kick-off met alle betrokkenen om enthousiasme en bewustzijn te creëren. We tackelen iedere uitdaging en schetsen een duidelijk spoor naar het eindresultaat. Er zullen veel vragen uit de organisatie komen over het verloop van het project. Daarom nemen we extra tijd in de beginfase voor een duidelijke en gestructureerde opstart. Daarna is het tijd voor de magie: het inrichten van het informatiemanagementsysteem waarmee je voldoet aan de eisen vanuit de ISO 27001. Het hele certificeringsproces leggen we ook uitgebreid uit in onze whitepaper. Deze kun je hier gratis downloaden. 

Projecten en service contracten

Voor het behalen van een ISO 27001 certificaat, kun je bij QVOX kiezen voor een projectmatige aanpak of een service contract. Een service contract is ideaal voor organisaties die een langdurige samenwerking aan willen gaan waarin ze continu ondersteunt worden in vraagstukken rondom thema's zoals kwaliteit, Arbo en gezondheid, milieu en informatiebeveiliging.

Onze dienstverlening

Heb je vragen? Neem contact met ons op

Over informatiebeveiliging

De ISO 27001 is de internationale standaard voor informatiebeveiliging. Vooral sinds de ingang van de Algemene Verordening Gegevensbescherming in 2018 is de manier waarop we met informatie omgaan veranderd. Want hoe zorg je ervoor dat de informatie die je in huis hebt niet in verkeerde handen terecht komt? Of, hoe je waarborgt dat je in het bezit bent van de juiste en volledige informatie? 

Luister de podcast

Alles over informatiebeveiliging

FAQ
FAQ

ISO 27001

Wat is de ISO 27001?

De ISO 27001 certificering is de internationale norm voor een informatiebeveiligingsmanagementsysteem (ISMS). Het certificaat toont aan dat je aan alle beveiligingseisen voldoet en dat processen op orde zijn.

ISO 27001 gaat een behoorlijke stap verder dan ISO 9001. Je krijgt te maken met nieuwe onderwerpen zoals informatieclassificatie, de risicoanalyse is uitgebreider dan bij ISO 9001 en de norm kent een lijst met 114 maatregelen (de Appendix A/ISO 27002) die behandeld moeten worden.

Waarom kies je als bedrijf voor de ISO 27001?

Informatiebeveiliging en cybersecurity worden steeds belangrijker. ISO 27001 is dé internationale norm voor certificering van informatiebeveiliging. Met een ISO 27001 certificaat toont een organisatie aan dat de informatiebeveiliging op een structurele en aantoonbare manier geborgd is. Bovendien ondersteunt ISO 27001 een deel van de eisen en voorschriften die in het kader van de AVG worden gesteld. Vandaar dat een ISO 27001 certificering tegenwoordig steeds vaker wordt geëist door opdrachtgevers. Het is dus erg belangrijk om dit certificaat in huis te halen!

Voor welke bedrijven is de ISO 27001?

ISO 27001 is voor bedrijven die hun informatiebeveiliging structureel moeten borgen in relatie tot de eisen van hun klanten en stakeholders, wetgeving en risico’s.

Bedrijven die ISO 27001 toepassen zijn onder andere organisaties die informatie verwerken die onder de Algemene Verordening Gegevensbescherming vallen, zoals datacenters, web-/softwaredevelopers, serviceproviders en verzekeraars. Maar ook financiële instellingen, energiemaatschappijen, installatiebedrijven en andere organisaties met persoonsinformatie krijgen te maken met ISO 27001.

Uit welke eisen bestaat de ISO 27001?

Welke eisen bevat de ISO 27001, norm voor informatiebeveiliging? Wij hebben de belangrijkste eisen even voor je onder elkaar gezet:

  • De context van de organisatie moet worden bepaald. Denk aan de eisen en verwachtingen van in- en externe belanghebbenden (stakeholders), wetgeving, externe ontwikkelingen en specifieke interne issues die in de organisatie spelen.
  • De scope (toepassingsgebied) van het informatiebeveiligingsmanagementsysteem moet duidelijk zijn vastgesteld.
  • De directie moet leiderschap tonen door het informatiebeveiligingsbeleid vast te stellen, rollen en verantwoordelijkheden te verdelen, middelen ter beschikking te stellen en betrokkenheid te tonen.
  • Risico’s en kansen moeten voor de organisatie worden vastgesteld. Ook moeten de noodzakelijke maatregelen worden bepaald, gepland en geïmplementeerd. Voor de risico analyse moet een procedure zijn vastgesteld, zodat toekomstige risico analyses gelijkwaardige resultaten opleveren. Ook zijn de uitkomsten van de risico analyse input voor Verklaring van toepasselijkheid (de maatregelen uit appendix A\ISO 27002).
  • De beheersdoelen en maatregelen uit Appendix A van de normen moeten worden beoordeeld op relevantie, toepasselijk worden verklaard en waar vereist gedocumenteerd en geïmplementeerd. Dit is een belangrijk aspect van de ISO 27001 certificering.
  • Ondersteunende processen met betrekking tot o.a. bewustzijn en competenties van personeel, inzet van middelen, infrastructuur, meetmiddelen, communicatie en documentatie moeten worden bepaald en ingevoerd.
  • Het primaire proces moet voorzien in producten en diensten rekening houdend met de voorgaande onderwerpen.
  • Meting en monitoring, o.a. via het meten van informatiebeveiligingsdoelen en KPI’s (Kritische Prestatie Indicatoren), incidenten, meten van informatiebeveiligingsprocessen, uitvoeren van interne audits
  • Evaluaties, zoals de directiebeoordeling, effectiviteit van maatregelen uit de appendix/risicobeoordeling en geleverde informatiebeveiligingsprestaties.
  • Leren van fouten, klachten, afwijkingen en treffen van corrigerende maatregelen.
  • Realiseren van verbeteringen.
Hoe ziet het certificeringsproces van de ISO 27001 eruit?

Het certificeringsproces van de ISO 27001 ziet er als volgt uit: 

  • De certificerende instantie plant met 2 auditmomenten in voor de fase 1 (documenten) en fase 2 (implementatie) beoordeling.
  • Je ontvangt van de certificerende instantie een auditplanning voor fase 1 en fase 2.
  • Tijdens het fase 1 bezoek wordt het kwaliteitssysteem beoordeeld. Als dit positief wordt afgesloten kan het fase 2 bezoek plaatsvinden.
  • Tijdens het fase 2 bezoek wordt de implementatie getoetst door middel van interviews en een projectbezoek. Aan het eind van deze audit krijg je het oordeel van de auditor.
  • Je ontvangt binnen circa een week het auditrapport met het oordeel en eventuele acties.
  • Het rapport van de auditor wordt door de certificerende instantie beoordeeld en binnen enkele weken ontvang je het officiële certificaat dat 3 jaar geldig is.
  • Na de eerste certificering vinden er jaarlijks geplande herbeoordelingen plaats en worden projecten bezocht.
Deze organisaties hebben gekozen voor QVOX