ISO 27001 

ISO 27001 informatie

ISO 27001 is de internationaal erkende norm met eisen voor een informatiebeveiligingsmanagementsysteem.
Een informatiebeveiligingsmanagementsysteem bevat het informatiebeveiligingsbeleid. Dit beleid voor een goede informatiebeveiliging is een systematische en goed doordachte wijze van aanpak voor het bereiken van de informatiebeveiligingsdoelstellingen in de vorm van de gewenste resultaten na een vastgestelde tijd.
Om deze doelstellingen op het gebied van bescherming van bedrijfsgegevens te bereiken moet het management zorgen voor een strategie zodat er aan bepaalde voorwaarden en regels wordt voldaan, zoals de manier waarop en welke middelen wanneer nodig zijn, om de geplande verbetering van de beveiliging van je gegevens te bereiken. De informatiebeveiligingsdoelstellingen moeten SMART (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden). Deze methode helpt om te stellen doelen concreet en haalbaar te maken, zodat achteraf de prestaties in het beschermen van het informatie kunnen worden gemeten.
De basis voor informatiebeveiligingsmanagementsystemen en het bereiken van continue verbetering van het zeker stellen van vertrouwelijke informatie is de ‘Plan-Do-Check-Act’ cyclus (PDCA). 
Het managementsysteem voor informatiebescherming bevat ook aanwijzingen wie de beslissingen neemt en de taken toewijst bij beveiligingsincidenten  om te zorgen voor een gedegen uitvoering van de vastgestelde reactie op hacken en inbraken.

De ISO 27001 norm stelt eisen die, wanneer op de juiste wijze gemanaged en aangestuurd door het management, de volgende positieve informatiebeschermingsresultaten opleveren:

• continue verbetering van de prestaties in het beschermen van bedrijfsgegevens en van alle andere vertrouwelijke informatie zoals privacy gevoelige personeelsgegevens;
• informatiebeveiligingsrisico's voor verlies van data worden onderkend en beheerst;
• er wordt voldaan aan wettelijke eisen zoals in de GDPR / AVG wordt geëist;

Betrouwbaarheid

Informatiebeveiliging volgens de norm ISO 27001 laat zien dat u serieus omgaat met privacy en betrouwbaarheid – en dat vergroot het vertrouwen van klanten en partners in uw betrouwbaarheid.
Betrouwbare informatie is essentieel om goed te kunnen werken. U moet erop kunnen vertrouwen dat informatie klopt (integriteit), dat de informatie beschikbaar is wanneer u die nodig hebt (beschikbaarheid) en dat deze gegevens en kennis alleen zichtbaar is voor de juiste mensen (vertrouwelijkheid). Als de betrouwbaarheid van bedrijfsgegevens niet op orde is, kunnen processen stilvallen, fouten ontstaan of gegevens in verkeerde handen vallen. Informatiebeveiliging zorgt dat dit niet gebeurt.

ISO 27001 beveiliging

Het beschermen van informatie binnen een organisatie wordt ook wel Security Management genoemd. Beschermen is ervoor zorgen dat de betrouwbaarheid van informatie niet in gevaar komt. Een Information Security Management Systeem (ISMS) volgens ISO 27001 helpt de directie om informatie te beschermen. Met een ISMS worden risico’s beheersbaar gemaakt.
Beveiliging van informatie is het nemen van maatregelen om de informatie te beschermen tegen schadelijke invloeden van buitenaf of van binnenuit. Die invloeden waartegen beveiligd moet worden kunnen komen van georganiseerde criminaliteit, inbraak fraude of verduistering. Beveiliging vermindert veiligheidsrisico’s, maakt incidenten minder schadelijk en verhoogt de veiligheid. Bewaken van informatie is een onderdeel van het beveiligen. Bewaken betekent dat systemen of personen voortdurend in het oog worden gehouden.

Risico's

Risico’s

Informatiebeveiliging met de ISO 27001 norm als basis begint bij inzicht in risico’s. Elk bedrijf heeft te maken met risico’s op het gebied van informatie. Denk aan risico's als het verlies van een laptop, phishingmails, menselijke fouten die worden gemaakt of een cyberaanval die gevaar oplevert voor verlies van gegevens. De eerste stap is daarom altijd: inzicht krijgen in de risico’s op datalekken en inbraak en vervolgens een inschatting maken van mogelijke gevolgen. Daarna worden passende maatregelen genomen om die risico’s te verkleinen.

Maatregelen

De ISO 27001 norm voor informatiebeveiliging is niet compleet zonder de norm ISO 27002 die maatregelen geeft voor beveiliging van uw gegevens. Beveiligingsmaatregelen kunnen technische maatregelen zijn om toegang tot informatie te bewaken (zoals firewalls, wachtwoordbeleid of back-ups), maar ook organisatorische maatregelen om op de juiste wijze met informatie om te gaan (zoals duidelijke procedures, bewustwordingstrainingen en toezicht).

Structuur en ISMS

Structuur

Om informatiebeveiliging goed en gestructureerd aan te pakken, gebruiken veel organisaties de internationale ISO 27001-norm.
Deze norm voor informatiebeveiliging heeft een HLS structuur en biedt een duidelijk raamwerk om risico’s te analyseren, beleid vast te stellen, maatregelen te treffen en continu te verbeteren.
De opbouw van de ISO 27001 norm helpt om van informatiebeveiliging geen losse acties te maken, maar een samenhangend geheel waarin alle elementen een compleet continu proces vormen dat onderdeel is van de algehele bedrijfsvoering.

ISMS systeem

Een belangrijk onderdeel van de ISO 27001 norm voor informatiebeveiliging is het ISMS (Information Security Management System). Dit is een best wel complex systeem met de standaard ordening van managementsystemen. In dit ISMS systeem komen alle afspraken, processen en maatregelen bij elkaar. Al deze systeemonderdelen hangen samen, hebben een onderlinge relatie en beïnvloeden elkaar.

organisatie en beheer

Organisatie

Informatiebeveiliging volgens de overal erkende norm ISO 27001 is geen taak binnen de organisatie van alleen de ICT-afdeling. Iedereen in de organisatie speelt een rol: van directie tot medewerker. De bevoegdheden en verantwoordelijkheden voor het verzamelen van informatie, het vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegenen  gebruiken worden vastgelegd in het ISMS. Met deze manier van werken wordt informatiebeveiliging onderdeel van de dagelijkse organisatie processen binnen het bedrijf of instelling  en ontstaat er binnen elke afdeling en op elk niveau een cultuur van bewustzijn en verantwoordelijkheid.
Zo wordt informatiebeveiliging niet iets extra’s, maar gewoon een manier van werken.

Beheer

De norm ISO 27001 geeft het management de taak om de beveiliging van informatie met een ISMS te beheren. Beheren is managen en richting geven door prioriteiten te stellen en te zorgen dat beleid met betrekking tot informatiebeveiliging wordt nageleefd. Regelmatige controles op deze naleving zoals audits, risico-evaluaties en verbeteracties, zorgen ervoor dat de organisatie alert blijft en zich blijft ontwikkelen.
Informatiebeveiliging is volgens de norm geen eindpunt, maar een doorlopend proces van het organiseren van doelstellingen, controle op het behalen ervan, verbeteringen bereiken en opstellen van nieuwe doelen.

Advies

Deskundig advies en ondersteuning

Wilt u uw bedrijfsgegevens beter beschermen en voldoen aan ISO 27001? Onze experts zijn theoretisch deskundig en ervaren in de praktijk. Zij helpen u graag met advies en coaching bij de implementatie en begeleiden bij dd certificatie van uw organisatie. We maken informatiebeveiliging praktisch en begrijpelijk voor iedereen, en stemmen deze af op uw organisatie en werkwijze.

Kosten en rendement

Een goed beveiligingssysteem vraagt een investering, maar de kosten verdienen zich snel terug. U kunt meedoen bij aanbestedingen wat geld oplevert, u voorkomt incidenten wat kosten bespaart, u bespaart dure tijd bij audits, vermindert risico’s op boetes en versterkt uw reputatie als betrouwbare partner.
Kortom: informatiebeveiliging is geen kostenpost, maar een investering met rendement in de toekomst.

ISOMANAGEMENT

ISOMANAGEMENT behoort tot de betere toonaangevende adviesbureaus die u begeleiden en coachen op het gebied van ISO-certificering en u behoeden voor valkuilen bij de implementatie en invoering van uw informatiebeveiligingsmanagementsysteem.
ISOMANAGEMENT werkt samen met ISOZEKER  en biedt een breed dienstenpakket aan waarmee wij organisaties ondersteunen bij het realiseren van hun certificeringsdoelstellingen.

ISOMANAGEMENT staat voor duidelijke communicatie en persoonlijke begeleiding bij het invoerenvan informatiebeveiliging. Wij zorgen dat uw medewerkers grip krijgen op hun werkzaamheden, waardoor tevredenheid en motivatie toenemen. Met ons bedrijf legt u een solide basis voor veilige communicatie en opslag van informatie, duurzame groei en internationale erkenning.

Als specialist in certificering, certificatiebegeleiding en organisatieadvies, zorgt ISOMANAGEMENT voor de volledige opzet en implementatie van uw informatiebeveiligingmanagementsysteem, de analyse en ontwerp en de begeleiding bij externe audits. Uw traject naar ISO 27001 certificering is bij ons in vertrouwde handen.

Actuele norm

De ISO 27001 norm bevat algemeen erkende regels die dienen als richtlijn en maatstaf voor de bescherming van informatie. Deze norm is vastgelegd in een formeel document dat u zowel op papier als digitaal kunt aanschaffen. Deze norm dient om consistentie en veiligheid te garanderen bij het beheersen van de veiligheid van bedrijfsgegevens.
De ISO 27001 norm is in 2023 herzien. De norm is in het Nederlands vertaald door de NEN. Deze Nederlandse update van de ISO 27001 norm heeft in de nieuwe versie een aantal minder belangrijke wijzigingen. De volledige naam van de nieuwe editie van deze norm is nu "NEN-EN-ISO/IEC 27001:2023  Information security, cybersecurity and privacy protection - Information security management systems – Requirements". U kunt nu al starten met de overgang naar de aangepaste norm. De ISO 27001 uitgaven van 2017 en 2013 zijn vervallen en niet meer geldig.