Voldoe aan de internationale eisen voor informatiebeveiliging
ISO 27001 is de internationale norm voor een gecertificeerd informatiebeveiligingsmanagementsysteem. Informatiebeveiliging en cybersecurity worden steeds belangrijker. Met een ISO 27001 certificaat toon je als organisatie aan dat de informatiebeveiliging (verzamelen, beheren en delen van (persoons)gegevens) op een structurele en aantoonbare manier geborgd is. Vandaar dat een ISO 27001 certificering tegenwoordig steeds vaker wordt geëist vanuit opdrachtgevers en stakeholders.
De norm is opgebouwd volgens de High Level Structure (HLS). De inhoudsopgave is gelijk aan andere nieuwe ISO-normen zoals ISO 9001, ISO 14001 en ISO 45001. ISO 27001 gaat een stap verder dan ISO 9001. De organisatie krijgt te maken met een nieuw onderdeel: informatieclassificatie. Verder is het belangrijk om aansluiting tussen context, informatiebeveiligingsbeleid, risicoanalyse en de onderwerpen uit ISO 27002 te realiseren.
Voor organisaties die werken informatie verwerken volgens de AVG
De ISO 27001 is bedoeld voor organisaties die hun informatiebeveiliging structureel moeten borgen in relatie tot klanteneisen, wet- en regelgeving en risico’s.
Bedrijven die ISO 27001 toepassen zijn onder andere organisaties die informatie verwerken die onder de Algemene Verordening Gegevensbescherming vallen, zoals datacenters, web-/softwaredevelopers, serviceproviders en verzekeraars. Maar ook financiële instellingen, energiemaatschappijen, installatiebedrijven en andere organisaties met persoonsinformatie krijgen tegenwoordig te maken met ISO 27001.
De ISO 27001 gaat uit van strategie en beleid rondom informatiebeveiliging
Een ISO 27001 certificeringstraject kost veel tijd. Door de complexiteit van de huidige bedrijfsprocessen en de bedrijfsstructuur is het in sommige gevallen niet duidelijk wie verantwoordelijk is voor de te nemen verbeteracties. Hoofd- en bijzaken worden door elkaar gehaald, wat zorgt voor veel interne discussie. Problemen worden groter gemaakt waardoor de medewerkers het overzicht verliezen. Dit resulteert in een lang en moeizaam certificeringstraject. Daarnaast lopen organisaties bij het traject tegen obstakels aan. Zoals de scope (het toepassingsgebied) van ISO 27001 voor de organisatie. Daarnaast zijn de verwachtingen over een ISMS (informatiemanagementsysteem) vaak onduidelijk en wordt de verwachtte gestructureerde managementbenadering in combinatie met praktische maatregelen als verwarrend ervaren.
Uitdagingen worden minder door het gebruik van de High Level Structure die door de ISO is opgezet. Daarmee wordt integraal management efficiënter. Deze structuur heeft als uitgangspunt het identificeren, beoordelen en evalueren van risico’s, kansen, wensen en verwachtingen van stakeholders en vereisten vanuit de wetgeving. En dat alles op een systematische manier. Hierdoor wordt het voor organisaties eenvoudiger om strategie en beleid te bepalen en dit vervolgens te vertalen naar processen en activiteiten.
ISO 27001 certificeren met QVOX
Informatiebeveiliging vraagt veel van de interne organisatie. Dus, een goed begin is het halve werk. Daarom starten we met een kick-off met alle betrokkenen om enthousiasme en bewustzijn te creëren. We tackelen iedere uitdaging en schetsen een duidelijk spoor naar het eindresultaat. Er zullen veel vragen uit de organisatie komen over het verloop van het project. Daarom nemen we extra tijd in de beginfase voor een duidelijke en gestructureerde opstart. Daarna is het tijd voor de magie: het inrichten van het informatiemanagementsysteem waarmee je voldoet aan de eisen vanuit de ISO 27001.
We beginnen altijd met een contextanalyse. Hierin komen de unieke eigenschappen van de organisatie en haar informatieverwerking in terug.
Vervolgens brengen we relevante wet- en regelgeving en de verwachtingen van belanghebbenden in kaart.
De daaropvolgende stap is het bepalen van het informatiebeleid voor de beveiliging van het verzamelen, beheren en delen van gegevens, de organisatie van het managementsysteem en de doelstellingen. Dit wordt eventueel samengevoegd in het bestaande beleids- of ondernemingsplan. Alles voor een zo’n geïntegreerd mogelijk geheel.
Een risico-inventarisatie mag ook niet ontbreken. Informatiestromen hebben namelijk impact op de bedrijfscontinuïteit én stakeholders. Een behandelplan is daarom onmisbaar.
Het ISMS moet ook in lijn zijn met de ondersteunende processen zoals HR, communicatie, beheer van documentatie en primaire processen. Met onze jarenlange ervaring weten we hoe we dit op een efficiënte manier kunnen realiseren.
Als laatste bouwen we kwaliteitsindicatoren in, plannen we interne audits, bereiden we de organisatie voor op externe audits, geven we je handvatten voor de directiebeoordelingen. Dit doen we met een meerjarenplan en -planning.
Aan de slag met ISO 27001? Denk ook aan deze punten
We hebben voor veel organisaties het spoor uit mogen leggen naar een ISO 27001 certificering. Met deze ervaring komen ook een aantal inzichten die we graag met jou willen delen.
- Besteed aandacht aan de menselijke kant. Informatiebeveiliging wordt grotendeels met technische oplossingen neergezet, maar een druk op de verkeerde knop door een medewerker kan een bedrijf plat leggen. Houd hier rekening mee bij het minimaliseren van risico’s.
- Beschrijf niet alleen de procedures, maar zorg ook voor goede controlemechanismen om te voorkomen dat procedures fout gaan.
- Voorkom handmatige controles en automatiseer technische beheersmaatregelen, zoals wachtwoordbeheer en patchmanagement.
- Zorg voor een goed calamiteitenplan en een back-up/reserve locatie om de informatie te beveiligen tegen bedreigingen van buitenaf.
- Probeer niet alles zelf te doen. Een externe verantwoordelijke voor informatiebeveiliging heeft vaak meer kennis en impact dan iemand die intern verantwoordelijk wordt gemaakt.
- Vertrouw niet blind op ICT- of andere softwareleveranciers, maar maak goede afspraken en zorg dat deze worden vastgelegd in een Service Level Agreement (SLA).