Toekomstbestendig advies!

ISO 27001 Certificaat

Wat is ISO 27001 certificering?

Informatiebeveiliging staat voor veel organisaties hoog op de agenda. Steeds meer wordt vanuit de samenleving en ook de overheid gevraagd dat organisaties aantoonbaar hun informatie beveiligen. De kosten van bijv. datalekken door slechte informatiebeveiliging kunnen enorm zijn. De ISO 27001 norm gaat om het vaststellen, implementeren, uitvoeren, bewaken, onderhouden en verbeteren van informatiebeveiliging op basis van een Information Security Management System (ISMS). Je geeft met ISO 27001 certificering richting jouw opdrachtgevers aan dat je de informatie binnen jouw organisatie hebt beveiligd, en daarmee dus ook de gegevens van jouw opdrachtgevers goed heeft beveiligd.

Je wilt een Informatiebeveiligingssysteem conform ISO27001 en zoekt deskundige ondersteuning tot certificering tegen redelijke kosten? Panterra Consultants levert je die graag.

ISO 27001 norm

De ISO 27001 norm bevat o.a. de volgende aspecten met betrekking tot informatiebeveiliging:

  • Beleidsmatig (management)
  • Organisatorisch (verantwoordelijkheden)
  • Bedrijfsmiddelen (infrastructuur, netwerk, systemen en overige bedrijfsmiddelen)
  • Personeel (huisregels, fouten, diefstal, fraude, misbruik)
  • Communicatie en operatie (beleid, beheer van systemen, beheer van processen en procedures)
  • Toegangscontrole (digitaal en fysiek)
  • Systeem- en softwareontwikkeling en onderhoud (documentatie, procedures)
  • Continuïteit (calamiteiten- en noodvoorzieningen)
  • Regelgeving (Wet Computercriminaliteit, AVG)

De ISO 27001 norm stelt dat je een risicoanalyse uitvoert, voor gevonden risico’s beheersmaatregelen selecteert en deze implementeert en beheert.

Vandaag nog een eerst start maken? Neem direct contact op!    Contact pagina 

Stappenplan ISO 27001 certificering

1. GAP Analysis

Het project start met een GAP analysis. Dit geeft inzicht in de huidige status van informatiebeveiliging en wat nodig is om aan de eisen van ISO 27001 te voldoen. In de praktijk blijkt dat organisaties onbewust al veel elementen van de ISO27001 hebben geregeld.

Belangrijk effect van deze eerste fase is bewustwording van de noodzaak van informatiebeveiliging en het begrijpen welke maatregelen hiervoor nodig zijn.

2. Risico-analyse informatiebeveiliging

De risico-analyse informatiebeveiliging is de basis van alle beheersmaatregelen en essentieel dat deze goed wordt uitgevoerd.

  • Risico’s beoordelen op het niveau van vertrouwelijkheid, integriteit en beschikbaarheid.
  • Doelstellingen bepalen om het risico terug te brengen tot een aanvaardbaar niveau.
  • Criteria bepalen voor het accepteren van het risico.
  • Risico’s evalueren.

Na deze fase is de organisatie zich bewust van de risico’s en heeft inzicht in de diverse beheersmaatregelen die nodig zijn.

3. ISMS opzetten

Het ISMS voorziet in een pakket van beheersmaatregelen welke uit de risico-analyse naar voren zijn gekomen. Het ontwerp wordt op maat gemaakt en bevat onder meer de volgende elementen:

  • Beleid en scope
  • Risicomanagement
  • Procedures personeel (bijv. in- en uit dienst, tijdelijk personeel)
  • Fysieke beveiliging (bijv. sloten op deuren en kasten, brandbeveiliging, bezoekersregistratie)
  • Beveiliging van apparatuur (bijv. periodiek onderhoud, hergebruik en vernietiging van apparatuur, omgang met usb/telefoon/tablets/laptop)
  • Beveiliging van systemen (bijv. firewalls, toegangsbeveiliging, softwarebeveiligingsupdates)
  • Beveiliging van gegevens (bijv. clear desk & clear screen, toegangsrechten)
  • Cryptografische beheersmaatregelen
  • Communicatie en medewerkersbewustzijn
  • Continue verbetering (informatiebeveiligingsincidenten)
  • Bedrijfscontinuïteit

Het resultaat van deze fase is een systeem dat aansluit bij de huidige organisatie en risico’s.

4. Implementatie en training

Het kwaliteitssysteem en de maatregelen worden geïmplementeerd door de organisatie zelf.. Om de implementatie te bespoedigen kunnen wij trainingen verzorgen om het inzicht in informatiebeveiliging en bewustwording van omgaan met informatie te verbeteren.

5. Interne audit ISO 27001 en verbeterproces

Nadat het ISMS is ingericht en de maatregelen zijn geïmplementeerd dienen interne audits te worden uitgevoerd Op basis van de resultaten van interne audits kunnen aanpassingen en verbeteringen worden doorgevoerd. De resultaten van de interne audits vormen samen met het risicomanagement de input voor de managementreview.

7. Certificeringsaudit ISO 27001

Wij plannen voor jou de certificeringsaudit. Deze zal bestaan uit een 1e fase en een 2e fase. De 2e fase vindt doorgang als de 1e fase goed is verlopen. De 2e fase is de daadwerkelijke certificeringsaudit. De duur van de 1e fase is meestal 1 dag. De duur van de 2e fase is afhankelijk van de grootte van jouw organisatie.

Zijn wij de partij die jouw bedrijf door de certificering heen gaat ondersteunen?  Neem dan direct contact met ons op!   Contact Pagina 

ISO 27001 – Veel gestelde vragen (FAQ)

  • Wat is ISO 27001 certificering?
  • Is ISO 27001 verplicht?
  • Waar kan ik de norm ISO 27001 downloaden?
  • Wat kost ISO 27001 certificering?
  • Is ISO 27001 ook voor kleine organisaties haalbaar?
  • Wat is het verschil tussen ISO 27001 en ISO 27002?
  • Wat is het verschil tussen ISO 27001 en NEN 7510?
  • Is het risicomanagement ISO 27001 conform ISO 31000?
  • Kunnen ISO 27001 en ISO 9001 worden gecombineerd?
  • Welke normen voor informatiebeveiliging zijn er nog meer naast ISO 27001? En zijn deze te combineren?
  • Voldoe je met ISO 27001 certificaat automatisch aan de eisen van AVG/ GDPR?

Wat is ISO 27001 certificering?

ISO 27001 is dé internationale norm op het gebied van informatiebeveiliging. Met het ISO 27001 certificaat kan aan stakeholders zoals klanten en overheid worden aangetoond dat de organisatie alle facetten van informatiebeveiliging in de organisatie beheerst.

Is ISO 27001 verplicht?

ISO 27001 is niet wettelijk verplicht. Het ISO 27001 certificaat kan wel door jouw klanten of andere stakeholders verplicht gesteld worden.

Waar kan ik de norm ISO 27001 downloaden?

De ISO 27001 kan na betaling worden gedownload bij het Nederlands Normalisatie instituut NEN. Download ISO 27001 norm hier

Wat kost ISO 27001 certificering?

De kosten van ISO 27001 bestaan uit de ondersteuning van een deskundige consultant van Panterra Consultants en daarnaast de kosten van de certificeringsaudit. De kosten zijn afhankelijk van de omvang van de organisatie, de complexiteit van de ICT-infrastructuur en de nulsituatie van de organisatie. Bent u benieuwd naar de investering en wilt u snel inzicht in de kosten? Klik dan op offerte aanvragen en ontvang snel een offerte op maat.

Naast de kosten van de ISO 27001 certificering is het net zo relevant wat de opbrengsten zijn. De kosten van een falende informatiebeveiliging kunnen vele malen hoger zijn dan de investering om het ISO certificaat te behalen. Daarnaast wordt het ISO 27001 certificaat steeds vaker geëist bij aanbestedingen en loopt uw organisatie mogelijk opdrachten mis doordat het ISO 27001 certificaat niet kan worden overlegd .

Is ISO 27001 ook voor kleine organisaties haalbaar?

Het ISO 27001 certificaat is niet alleen bedoeld voor grote organisaties. Er is een duidelijke trend dat het ISO 27001 certificaat steeds vaker geëist wordt van alle toeleveranciers in de ICT of zakelijke dienstverlening. De kosten voor een klein bedrijf zijn beduidend lager dan die voor een grote organisatie, dus is ISO 27001 ook haalbaar voor kleinere organisaties..

Wat is het verschil tussen ISO 27001 en ISO 27002?

De ISO 27001 norm is de norm waar je voor gecertificeerd kunt worden en hiermee kunt aantonen dat ISMS (Information Security Management System) op orde is. De ISO 27002 norm is in feite een verdieping op de ISO 27001. De ISO 27002 bestaat uit een lijst met maatregelen en is een stuk gedetailleerder dan de ISO 27001. Deze zogenaamde controls uit ISO 27002 zijn hetzelfde als die uit Bijlage A van de ISO 27001 norm. In de ISO 27002 zijn deze maatregelen verder in detail uitgewerkt. De ISO 27002 is een hulpmiddel, maar geen verplichting en hierop kan ook niet worden gecertificeerd.

wat is het verschil tussen ISO 27001 en NEN 7510?

NEN 7510 en ISO 27001 zijn allebei normen, die iets zeggen over hoe organisaties zouden kunnen/moeten omgaan met informatiebeveiliging. Het verschil tussen NEN 7510 en ISO 27001 is dat NEN 7510 is toegespitst op de zorg en geen internationale norm is zoals de ISO 27001. De NEN 7510 geldt alleen binnen Nederland.

Kunnen ISO 27001 en ISO 9001 worden gecombineerd?

ISO 9001 is de norm voor kwaliteitsmanagement. De ISO 9001 en de ISO 27001 zijn beiden gebaseerd op de High Level Structure (HLS) en vertonen qua normtekst best veel overlap. De ISO 27001 heeft daarnaast een uitgebreide bijlage A. Dit betekent in de praktijk dat de normen goed met elkaar gecombineerd kunnen worden in één managementsysteem en ook in één certificeringsaudit.

Voldoe je met ISO 27001 certificaat automatisch aan de eisen van AVG/ GDPR?

Nee, niet helemaal De AVG eist registraties die op bepaalde vlakken gecombineerd kunnen worden met onderdelen van de ISO 27001. Daarnaast eist de AVG ook bepaalde protocollen en analyses, die niet voorkomen in de ISO 27001. Wel vereist de ISO 27001 dat de organisatie voldoet aan wet- en regelgeving, en dus ook aan de AVG.

 

DutchEnglishGerman