fbpx

ISO 27001

De internationale norm voor informatiebeveiliging

Zorgen dat uw bedrijfsinformatie geen risico loopt

Meer grip op uw cybersecurity risico’s. De ISO 27001 norm is dé internationale norm voor informatiebeveiliging. De norm helpt u om inzicht te krijgen in uw bedrijfsrisico’s en de passende maatregelen te treffen. Waardoor uw bedrijfskritische informatie optimaal beschikbaar, veilig en kwalitatief op orde is. Met een certificering borgt u dat uw informatieveiligheid goed geregeld is. Zodat u aantoonbaar voldoet aan de eisen en verwachtingen van uw klanten en leveranciers.

De ISO 27001

De ISO 27001 zorgt voor beschikbaarheid, integriteit en vertrouwelijkheid

Een hele mond vol. Maar wel de basis voor alles rond de veiligheid van uw informatie. Wat betekenen deze drie termen?

Beschikbaarheid

Is de informatie beschikbaar op het moment, de tijd, het apparaat en de locatie die u wilt.

Integriteit

Is de informatie die je gebruikt ook juist. Zijn de klantgegevens, verkoopcijfers of onderzoeksresultaten actueel en geven ze het juiste beeld?

Vertrouwelijkheid

Is geregeld dat alleen de juiste mensen toegang hebben tot de informatie. O.a. dat de informatie niet op straat komt te liggen maar ook binnen de organisatie.

Certificeren in 6 heldere stappen

ISO 27001 stappen

1. Nulmeting ISO 27001
Door het uitvoeren van een nulmeting en “gap analyse” is helder waar uw organisatie staat op het gebied van documentatie en implementatie van de normeisen. We stellen een relatiediagram op, het zogenoemde IPPA schema (Informatie-Proces-Proceseigenaar-Assets) als basis voor het handboek en de risicoanalyse. Bovendien leveren we een concrete projectplanning met rolverdeling op voor het inrichten van uw managementsysteem. Zo weet u precies wat er nog gedaan moet worden en wat uw investering is. Op basis van het projectplan ronden wij de implementatie binnen budget en de afgesproken tijd op. 

2. Risicoanalyse informatiebeveiliging
De ISO 27001 norm is een “risk-based” norm waarbij de maatregelen afgestemd moeten zijn op de organisatierisico’s. Samen met uw medewerkers stellen we de kritische onderdelen van uw organisatie, zoals processen, functionarissen en/of middelen vast. Op basis van het verschil tussen uw risicoprofiel en uw risicobereidheid bepalen we samen met u de te nemen technische en organisatorische maatregelen.

3. Managementsysteem (ISMS) opzetten
We ondersteunen u bij het gefaseerd implementeren van alle maatregelen die horen bij een compleet ISMS volgens de ISO 27001 eisen. Daarbij hoort het bepalen van de:

  • Richting          (informatiebeveiligingsbeleid, risicoanalyse, besturing),
  • Inrichting        (ISMS documentatie, processen, procedures en specifieke maatregelen)
  • Verrichting     (bewustwording en competenties).

4. Bewustwording en training
Tijdens de inrichting van uw ISMS betrekken we uw medewerkers actief en begeleiden interactieve workshops, waarbij de impact van informatiebeveiliging op de dagelijkse werkzaamheden centraal staat. Hierdoor neemt de bewustwording bij medewerkers toe. Dit versterkt uw organisatie als het gaat om het omgaan met privacygevoelige- en vertrouwelijke informatie.

5. Interne audit ISO 27001 en directiebeoordeling
We voeren met een onafhankelijke rol uw documentatiebeoordeling uit alsmede interviews op de werking van uw ISMS.

6. Externe audit ISO 27001
We begeleiden u tijdens de externe audit en volgen de bevindingen samen met uw medewerkers op.

Onderhoud ISMS
Nadat u het certificaat heeft ontvangen helpen we u bij het actueel houden van uw ISMS volgens het Plan-Do-Check-Act principe. Daarbij ondersteunen we bij het planmatig uitvoeren van alle jaarlijkse verplichte onderdelen. Zodat u zich kunt focussen op uw kerntaken.

De ISO 27001 Infosheet

Inzicht in de maatregelen die u kunt nemen

De complete en gedetailleerde lijst met alle onderwerpen van de ISO 27001
Een duidelijk overzicht en eerste stap richting uw certificering

Uw ISO 27001 Infosheet

De ISO 27001 kent een aantal belangrijke hoofdstukken

High Level Structure

Net als alle andere ISO normen is de ISO 27001 norm opgesteld volgens de High Level Structure en bevat 10 hoofdstukken met eisen waaraan een organisatie moet voldoen. De belangrijkste onderwerpen die de organisatie moet inrichten en onderhouden, zijn:

1. ONDERWERP EN TOEPASSINGSGEBIED
2. NORMATIEVE WIJZIGINGEN
3. TERMEN EN DEFINITIES
4. CONTEXT ORGANISATIE

Iedere organisatie heeft veel belanghebbende partijen. Van klanten, medewerkers toezichthouders tot belangengroepen of leveranciers. Inzicht in de behoeften en verwachtingen van belanghebbenden is van groot belang. De norm verlangt dat de context en het toepassingsgebied van het managementsysteem voor informatiebeveiliging duidelijk is beschreven in het managementsysteem.

5. LEIDERSCHAP

Uw managementsysteem wordt pas echt succesvol als de organisatieleiding een duidelijk beleid opstelt en ook actief uitdraagt. Persoonlijke betrokkenheid en goed voorbeeldgedrag ​is essentieel. Daarnaast moeten de rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie duidelijk beschreven zijn.

6. PLANNING

De planmatige inrichting en uitvoering van maatregelen om risico’s te beperken en kansen te benutten is vereist. Ook beschrijft een managementsysteem de doelstellingen en de planning om deze doelen te bereiken.

7. ONDERSTEUNING

Een managementsysteem beschrijft welke middelen de organisatie beschikbaar stelt voor het inrichten en continu verbeteren van het managementsysteem. Ook dienen de medewerkers de juiste competenties te bezitten en zich bewust te zijn van de eisen die aan hen gesteld worden. De organisatie moet tevens vaststellen welke interne- en externe communicatie relevant is voor een goed functionerend managementsysteem. Tenslotte stelt de norm eisen aan de aanwezigheid van actuele formeel gedocumenteerde informatie.

8. UITVOERING

Operationele planning en beheersing van gedocumenteerde informatie is nodig om te borgen dat de processen volgens de planning worden uitgevoerd. ​Risicobeoordeling van het aandachtsgebied (bijv. informatiebeveiliging) moet regelmatig uitgevoerd worden. Zeker als zich ingrijpende wijzigingen binnen of buiten de organisatie hebben voorgedaan. De risico’s moeten vervolgens gestructureerd behandeld en gedocumenteerd worden.

9. EVALUATIE VAN DE PRESTATIES

Meten is weten. Daarom moet een organisatie haar prestaties op het gebied van het aandachtsgebied (bijv. kwaliteit of milieu) regelmatig monitoren, meten, analyseren en evalueren. Dit moet worden uitgevoerd via een onafhankelijke interne audit. Bovendien dient periodiek de directie via een Directiebeoordeling de geschiktheid van het managementsysteem te beoordelen.

10. VERBETERING

Wanneer zich een afwijking voordoet moet deze geanalyseerd worden en dienen de oorzaken vastgesteld te worden. Vervolgens moeten er adequate maatregelen genomen worden. De organisatie moet continu haar managementsysteem verder verbeteren. Dit volgens het principe van Plan-Do-Check-Act.

 

Addendum

De ISO 27001 norm bevat naast deze 10 hoofdstukken nog een zeer uitgebreide bijlage (Addendum ISO 27001) met een groot aantal meer gedetailleerde eisen waaraan uw organisatie moet voldoen. Hierbij gaat het om heel concrete technische en organisatorische maatregelen die u moet nemen, zoals:

  • Informatiebeveiligingsbeleid dat aansluit op het organisatiebeleid.
  • De organisatie van verantwoordelijkheden en bevoegdheden.
  • Geschikt personeel dat zich bewust is van de cybersecurity risico’s.
  • Duidelijkheid over de verantwoordelijkheid voor bedrijfsmiddelen.
  • Functie gebaseerde toegang tot informatie.
  • Versleuteling van vertrouwelijke informatie.
  • Effectieve bescherming van de fysieke toegang tot gebouwen en bedrijfsmiddelen.
  • Beveiliging van de bedrijfsvoering, zoals bijvoorbeeld bescherming tegen malware of het inrichten van een back-up.
  • Bescherming van de communicatie binnen de organisatie en met externe partijen.
  • Eisen voor het verkrijgen, ontwikkelen en onderhouden van informatiesystemen.
  • Beveiligen van bedrijfsmiddelen die toegankelijk zijn voor leveranciers.
  • Doeltreffend beheer van informatiebeveiligingsincidenten.
  • Een helder bedrijfscontinuïteitsplan (BCP).

Vastgelegd in het Information Security Management Systeem

Het Information Security Management Systeem (ISMS) is uw structuur en methodiek waarin u alles vastlegt dat u nodig heeft om uw informatie op een goede en veilige wijze te organiseren.
De basis van het ISMS is vergelijkbaar met de managementsystemen voor de andere ISO en NEN normen. Wat de basiselementen zijn leest u op onze speciale pagina over managementsystemen. Daar leest u ook wat erbij komt kijken om een ISMS te implementeren en te onderhouden.

Naar Managementsysteem

Wel of niet certificeren?

In de basis gaat het erom dat uw informatie veilig, goed en toegankelijk is en blijft. Het ISMS helpt u om dat goed en gestructureerd te organiseren. Daar hoeft u geen certificaat voor te halen.

Voor veel organisaties is het echter wel verplicht om objectief te kunnen aantonen dat het thema informatieveiligheid geregeld is volgens een internationaal erkende norm. In dat geval moet een onafhankelijke instantie uw ISMS toetsen. Wij helpen organisaties bij het slim certificeren. Via een projectmatige aanpak met een helder projectplan zorgen we ervoor dat uw certificeringstraject binnen de afgesproken tijd en budget succesvol wordt afgerond. Met als resultaat een ISO 27001 certificaat. Omdat iedere organisatie uniek is bieden we een aanpak op maat. Van “Helpen bij het zelf doen” tot het geheel “Ontzorgen”. Ook meer lezen over onze implementatie pakketen en certificaat garantie? Lees meer.

Persoonlijke ISO 27001 Checklist

Wilt u precies weten in hoeverre uw organisatie al voldoet aan de eisen van de ISO 27001 norm? Ga dan naar de ISO 27001 Checklist. 

Wat levert de ISO 27001 op

R
Het biedt organisaties concrete handvatten hoe men de risico’s op het gebied van informatiebeveiliging kan verkleinen
R
Met het ISO 27001 certificaat toont de organisatie aan dat ze de passende maatregelen heeft genomen op het gebied van informatiebeveiliging en privacy.
R
Het biedt concurrentievoordeel bij offertes en aanbestedingen.
R
Het leidt tot meer bewustwording bij medewerkers waardoor minder fouten en datalekken ontstaan.
R
Het leidt tot minder risico’s als gevolg van een betere beheersing van ICT-systemen en applicaties (logische beveiliging) en van fysieke locaties en apparatuur (fysieke beveiliging).

ISO 27001 advies

Wij adviseren u graag op welke wijze u uw ISMS het beste kunt inrichten. Hoeveel gaat u zelf doen en bij welke onderdelen heeft u liever ondersteuning van een deskundige partij. Dat hangt uiteraard sterk af van de hoeveelheid tijd en specialistische kennis die binnen uw organisatie aanwezig is. De totale inspanning is daarnaast sterk afhankelijk van de omvang en complexiteit van uw organisatie. Wij adviseren u graag over de best passende aanpak voor uw organisatie. Lees meer over de verschillende implementatie maatwerkoplossingen; Van “Helpen” bij het zelf doen, “Samen” werken aan het project” tot geheel “Ontzorgen”.

Meer over de maatwerkaanpak

10 praktische tips

Uit onze dagelijkse praktijk hebben we voor u 10 tips verzameld waarmee uzelf aan de slag kan.

Download

Voor de specialisten onder ons nog enkele zaken

De ISO 27001 bevat een uitgebreide set aan eisen, waaraan uw organisatie moet voldoen. Welke eisen wel of niet voor uw organisatie gelden beschrijft u in de Verklaring Van Toepasselijkheid (VVT). Bijvoorbeeld als u geen softwareapplicaties ontwikkelt, zijn de eisen op dat gebied voor uw organisatie niet relevant en hoeft u hier uiteraard ook geen maatregelen voor in te richten.

Net als de overige ISO-normen bevat de ISO 27001 norm tien hoofdstukken die zijn ingedeeld volgens de High Level Structure.

Daarnaast kent de ISO 27001-norm een uitgebreide lijst met eisen welke zijn beschreven in het addendum. Hierbij gaat het om concrete maatregelen die u moet nemen op het gebied van informatiebeveiligingsbeleid, planning en organisatie, logische en fysieke toegangsbeveiliging, encryptie, screening personeel, communicatiebeveiliging, bedrijfscontinuïteit, leveranciersrelaties, etc.

MEER LEZEN OVER ISO 27001?

Neem een kijkje op de kennispagina ISO 27001

Naar de kennispagina

Information Security Officer

Als uw organisatie verplicht is om een ISO 27001 certificaat te hebben kan het ook zijn dat u verplicht bent om een Security Officer in dienst te hebben. We hebben voor u op een rij gezet in welke gevallen dat zo is. Met daarbij de mogelijkheden om het te organiseren mocht een Security Officer voor u verplicht zijn.
Meer over de Security Officer

MEER WETEN OVER DE ISO 27001?

Bel ons of laat uw gegevens achter dan bellen we u.

Bel me aub!

Privacy instellingen

Bepaal welke cookies u wilt toestaan. U kunt deze instellingen op elk gewenst moment wijzigen. Dit kan er echter toe leiden dat sommige functies niet langer beschikbaar zijn. Raadpleeg de helpfunctie van uw browser voor informatie over het verwijderen van cookies. MEER INFORMATIE OVER DE COOKIES DIE WE GEBRUIKEN.

Met de schuifregelaar kunt u verschillende soorten cookies in- of uitschakelen:

Deze website zal

  • Essentieel: onthoud uw instelling voor cookietoestemming
  • Essentieel: sessiecookies toestaan
  • Essentieel: verzamel informatie die u invoert in een nieuwsbrief met contactformulieren en andere formulieren op alle pagina's
  • Essentieel: houd bij wat u in het winkelwagentje invoert
  • Essentieel: verifiëren dat u bent ingelogd op uw gebruikersaccount
  • Essentieel: onthoud de taalversie die je hebt geselecteerd

Deze website zal niet

  • Onthoud uw inloggegevens
  • Functionaliteit: onthoud sociale media-instellingen
  • Functionaliteit: onthoud geselecteerde regio en land
  • Analyse: bijhouden van uw bezochte pagina's en de genomen interactie
  • Analyses: houd uw locatie en regio bij op basis van uw IP-nummer
  • Analytics: houd de tijd bij die op elke pagina wordt doorgebracht
  • Analytics: verhoog de datakwaliteit van de statistische functies
  • Adverteren: informatie op maat en reclame voor uw interesses op basis van b. de inhoud die u eerder hebt bezocht. (Momenteel gebruiken we geen targeting- of targeting-cookies)
  • Adverteren: verzamel persoonlijk identificeerbare informatie zoals naam en locatie

Deze website zal

  • Essentieel: onthoud uw instelling voor cookietoestemming
  • Essentieel: sessiecookies toestaan
  • Essentieel: verzamel informatie die u invoert in een nieuwsbrief met contactformulieren en andere formulieren op alle pagina's
  • Essentieel: houd bij wat u in het winkelwagentje invoert
  • Essentieel: verifiëren dat u bent ingelogd op uw gebruikersaccount
  • Essentieel: onthoud de taalversie die je hebt geselecteerd
  • Functionaliteit: onthoud sociale media-instellingen
  • Functionaliteit: onthoud geselecteerde regio en land

Deze website zal niet

  • Analyse: bijhouden van uw bezochte pagina's en de genomen interactie
  • Analyses: houd uw locatie en regio bij op basis van uw IP-nummer
  • Analytics: houd de tijd bij die op elke pagina wordt doorgebracht
  • Analytics: verhoog de datakwaliteit van de statistische functies
  • Adverteren: informatie op maat en reclame voor uw interesses op basis van b. de inhoud die u eerder hebt bezocht. (Momenteel gebruiken we geen targeting- of targeting-cookies)
  • Adverteren: verzamel persoonlijk identificeerbare informatie zoals naam en locatie

Deze website zal

  • Essentieel: onthoud uw instelling voor cookietoestemming
  • Essentieel: sessiecookies toestaan
  • Essentieel: verzamel informatie die u invoert in een nieuwsbrief met contactformulieren en andere formulieren op alle pagina's
  • Essentieel: houd bij wat u in het winkelwagentje invoert
  • Essentieel: verifiëren dat u bent ingelogd op uw gebruikersaccount
  • Essentieel: onthoud de taalversie die je hebt geselecteerd
  • Functionaliteit: onthoud sociale media-instellingen Functionaliteit: onthoud geselecteerde regio en land
  • Analyse: bijhouden van uw bezochte pagina's en de genomen interactie
  • Analyse: houd uw locatie en regio bij op basis van uw IP-nummer
  • Analyse: houd de tijd bij die op elke pagina wordt doorgebracht
  • Analyse: verhoog de datakwaliteit van de statistische functies

Deze website zal niet

  • Adverteren: informatie op maat en reclame voor uw interesses op basis van b. de inhoud die u eerder hebt bezocht. (Momenteel gebruiken we geen targeting- of targeting-cookies)
  • Adverteren: verzamel persoonlijk identificeerbare informatie zoals naam en locatie

Deze website zal

  • Functionaliteit: onthoud sociale media-instellingen
  • Functionaliteit: onthoud geselecteerde regio en land
  • Analyse: bijhouden van uw bezochte pagina's en de genomen interactie
  • Analyses: houd uw locatie en regio bij op basis van uw IP-nummer
  • Analytics: houd de tijd bij die op elke pagina wordt doorgebracht
  • Analytics: verhoog de datakwaliteit van de statistische functies
  • Adverteren: informatie op maat en reclame voor uw interesses op basis van b. de inhoud die u eerder hebt bezocht. (Momenteel gebruiken we geen targeting- of targeting-cookies)
  • Adverteren: verzamel persoonlijk identificeerbare informatie zoals naam en locatie

Deze website zal niet

  • Onthoud uw inloggegevens
Opslaan en sluiten