ISO 27001 

ISO 27001 norm

ISO 27001 is een mondiaal erkende en overal geaccepteerde norm op het gebied van informatiebeveiliging.
De norm is sinds de invoering van de Algemene verordening gegevensbescherming (AVG) gegevensbescherming nog beangrijker. De AVG is een overheidsbesluit van algemene strekking. Het bevat bepalingen voor de bescherming van personen wanneer hun gegevens worden verwerkt door de private sector en het grootste deel van de overheidssector. Deze norm is onderdeel van de ISO 27000 serie. De norm stelt eisen en voorwaarden waaraan moet worden voldaan om informatie op een efficiënte manier te beveiligen.
Die eisen zijn beschreven in een document van 17 pagina's verdeeld in 10 hoofdstukken. De norm is van toepaassing voor alle organisaties ongeacht type, omvang of aard. De norm stelt dat het uitsluiten van één of meer eisen van hoofdstuk 4 tot en met 10 niet aanvaardbaar is als een organisatie naleving van deze norm wil claimen.
Deze norm is een standaard met vaste regels die is opgesteld door experts van de ISO en die overal erkende bruikbare manieren geeft voor het beschermen beveiligen en zeker stellen van informatie.
De eisen van de norm houden ook in het voldoen aan van kracht zijnde relevante wet- en regelgeving en van besluiten en regelingen op lokaal en landelijk niveau. Het management moet aantoonbaar in staat zijn te voldoen aan deze verplichting.
De norm wordt periodiek herzien om up-to-date te blijven bij snelle maatschappelijke veranderingen.
Deze norm wordt gebruikt door bedrijven in verschillende sectoren en toegepast als richtsnoer om op eenduidige wijze hacks te voorkomen en de organisatie weerbaar te maken. Deze norm wordt door bedrijven gebruikt die een systeem willen inrichten waarmee, om ethische, sociale of morele redenen, bedrijfsgegevens en privacygegevens van hun werknemers kunnen worden beschermd.
De populaire norm voor systematische procesmatige informatiebeveiliging heet formeel: NEN-norm NEN-ISO/IEC 27001:2023.

De norm ISO 27001 maakt onderdeel uit van de ISO 27000 serie. De norm ISO 27002 is een belangrijk item uit de hele lijst van normen en is een noodzakelijke aanvulling op de ISO 27001.
ISO normen worden uitgegeven onder licentie door de NEN en zijn auteursrechtelijk beschermd. Deze normen mogen niet worden gekopieerd zonder toestemming van de NEN.

ISO 27001 certificering

De ISO 27001 certificering is een proces in de vorm van een externe audit door een geaccrediteerde certificatie-instelling en heeft een logische volgorde van analyse, verificatie en beoordeling.
De analyse is het systematisch ontleden of onderzoeken van gegevens, processen of situaties om inzicht verkrijgen in de onderdelen en samenhang van het informatiebeveiligingsmanagementsysteem.
De daarop volgende verificatie is het objectief controleren of het informatiebeveiligingsmanagementsysteem correct is ingevoerd op basis van aantoonbare feitelijke gegevens of documentatie. Daarmee wordt bewezen of processen, producten of documenten al dan niet aan de normeisen voldoen. Vervolgens een beoordeling als evaluatie en waardeoordeel of conclusie op basis van de vooraf vastgestelde ISO 27001 norm voor informatiebeveiliging met de daarin opgenomen criteria. Op deze manier wordt vastgesteld of de organisatie voldoet aan verwachtingen en aan de ISO 27001 normeisen.
Bij een positieve uitkomst wordt het ISO 27001 certificaat verleend in de vorm van een schriftelijke verklaring. Het ISO 27001 certificaat is een kwalificatie als erkenning van de competenties vaardigheden en kennis van de organisatie met betrekking tot informatiebeveiliging.
Het ISO 27001 certificaat maakt daarmee aantoonbaar dat jouw organisatie in staat is processen, producten en diensten continu te evalueren op een acceptabel niveau van bescherming van informatie en dit steeds te verbeteren. Het ISO 27001 certificaat blijft drie jaar geldig. Daarna volgt een nieuwe initiële audit voor het behoud van het ISO certificaat.

ISO 27001 beveiliging

ISO 27001 is een ISO-standaard met afspraken voor informatiebeveiliging. In deze norm wordt beschreven hoe u een ISMS kunt inrichten om met behulp van ISO 27002 effectieve beveiligingsmaatregelen te nemen. ISO 27001 beschrijft in een aantal hoofdstukken precies hoe en op welke wijze de gevaren van aanvallen kunnen worden geïdentificeerd en op welke wijze actie kan worden genomen om gegevens veilig te stellen. 
ISO 27001 is een standaard die u helpt bij het beveiligen en verdedigen van de integriteit en beschikbaarheid van uw gegevens. Om deze gegevens te beveiligen en om derden te vrijwaren voor schade, is het belangrijk om zowel technische als organisatorische maatregelen te nemen. ISO 27001 vraagt invoering van sterke wachtwoorden, het gebruik van de tweefactor-authenticatie, het versleutelen van gegevens, regelmatige back-ups maken en vooral ook het up-to-date houden van de gebruikte software. ISO 27001 legt de nadruk op het creëren van bewustzijn bij werknemers en management over de mogelijke bestaande risico's en het volgen van de juiste procedures om gevoelige informatie te beschermen.

ISO 27001 informatie

ISO 27001 stelt de integriteit, vertrouwelijkheid en beschikbaarheid van informatie zeker door te anticiperen op de mogelijkheden van diefstal en verlies en op het nemen van geëigend maatregelen om dit verlies tegen te gaan. Deze wijze van identificatie en de reactie op gevaren, wordt wereldwijd aanvaard als een effectief proces. 
De volledige naam van ISO 27001 is: ISO/IEC 27001:2022 informatiebeveiliging, cyberbeveiliging - informatiebeveiligingsbeheersystemen - vereisten. ISO 27001 stelt dat de informatie, waar derden graag de hand op leggen, in vele vormen in het bedrijf beschikbaar kan zijn. 

Gericht op het volledige informatiebeveiligingsproces
ISO 27001 richt zich niet alleen op IT, maar op alle vormen van informatie, waaronder:

• Digitale gegevens
• Papieren documenten
• Mondelinge informatie (bijv. vergaderingen of telefoongesprekken)

Hiermee is ISO 27001 breed toepasbaar op processen, mensen én technologie.

ISO 27001 versterking van organisatie

Internationale toepasbaarheid
ISO 27001 is wereldwijd erkend en toepasbaar in elke sector. Dit maakt de norm uitermate geschikt voor:

• Multinationale organisaties
• Internationale aanbestedingen
• Vertrouwen winnen bij partners over de hele wereld

ISO 27001 is onderdeel van bredere governance-structuur
Deze norm ondersteunt organisaties bij:

• Voldoen aan wet- en regelgeving (zoals de AVG/GDPR)
• Vormgeven van governance- en compliancekaders
• Beheersen van contractuele eisen m.b.t. data (bijv. in SLA’s of DPIA's).

ISO 27001 certificering

Voor het beveiligen van uw informatie op vele gebiede  vraagt de overal erkende ISO 27001 norm om op een gedisciplineerde regelmatige periodieke wijze controles uit te voeren zoals:

• Regelmatig interne audits uitvoeren om de effectiviteit van het ISMS te toetsen
• Een management review uitvoeren
• Zich voorbereiden op een externe certificatie-audit door een onafhankelijke partij (indien men certificering nastreeft)

Certificatie op basis van de ISO/IEC 27001 gebeurt door certificerende instellingen.
Deze instellingen zijn geaccrediteerd door de Raad van Accreditatie (RvA).
ISO 27001 certificering bestaat uit twee fasen, een vooronderzoek en een implementatiefase. Het ISO certificaat wordt toegekend als de certificerende instelling bij onderzoek constateert dat u serieus omgaat met het beschermen van uw gegevens en aan alle normeisen voldoet.

Met een ISO 27001 certificering laat u zien dat u voldoet aan alle eisen rondom het beveiligen van informatie volgens de richtlijnen van deze mondiaal erkende norm. Het ISO 27001 certificaat geeft uw klanten zekerheid dat u belang hecht aan privacy en zorgvuldig met persoonlijke gegevens omspringt. Het ISO certificaat draagt bij aan uw imago in de markt, levert nieuwe opdrachten op en geeft toegang tot nieuwe aanbestedingen.

Leiderschap en maatregelen

Aandacht voor leiderschap en betrokkenheid van de top
ISO 27001 is gebaseerd op een actieve betrokkenheid van het management bij het zeker stellen van gegevens in welke vorm dan ook en waarbij een ISMS systeem wordt gehanteerd dat is ingericht volgens de eisen van deze norm. Enkele van de belangrijkste eisen zijn:

• Beleid opstellen en goedkeuren
• Rollen en verantwoordelijkheden toewijzen
• Middelen beschikbaar stellen
• Risicoacceptatie expliciet vastleggen

Hiermee voorkomt ISO 27001 dat informatiebeveiliging alleen een “IT-project” is in plaats van een organisatiebreed thema.

Maatregelen
De ISO 27001 norm is overal en op elk gebied en in elke branch bruikbaar en populair. De norm vraagt het veiligstellen van gegevens of eigendommen. Het begint met het analyseren van processen en situaties op mogelijke risico's. Voor het verminderen van risico's zijn veel maatregelen te bedenken die door de directie moeten worden goedgekeurd en ingevoerd. Deze maatregel verhogen dan elk de veiligheid en verminderen het risico en de kans op schade.
ISO 27001 normeisen vragen als algemeen aanvaarde, bruikbare en preventieve maatregelen voor het beveiligen van bedrijfsgegevens bijvoorbeeld:

• Kennis verdedigen door invoering van wachtwoorden als geheime toegangscode via authenticatie en verificatie van identiteit
• Bestanden voorzien van encryptie waarbij de data wordt versleuteld
• interne en externe communicatie vrijwaren van aanvallen
• Alarmsysteem instellen om te waarschuwen bij actuele bedreigingen
• Fysiek slot gebruiken om toegang te beperken
• Actief bewaken en monitoren van de omgeving waar informatie wordt gebruikt
• Firewall plaatsen als barrière tussen netwerk en potentiële bedreigingen als hackers.
• Toezicht houden op maatregelen om veiligheid van informatie te garanderen.

Normversie en Annex A

ISO 27001 is een wereldwijd erkende norm die organisaties helpt organisaties hun informatie te beschermen tegen ongeautoriseerde toegang, verlies of diefstal.  Deze norm is in 2005 vertaald in het Nederlands en uitgegeven als NEN (NEderlandse Norm) onder de naam NEN-EN-ISO/IEC 27001:2005. EN betekent dat de standaard een Europes Norm is. 
Deze norm werd herzien in 2013 met een HLS (High Level Structure) structuur werd ingevoerd om integratie met andere normen zoals de ISO 9001 voor kwaliteitsmanagement en de ISO 14001 voor milieuzorg, te vereenvoudigen. Deze structuur is de manier waarop de norm is opgebouwd en de onderdelen van het geheel samenhangen. Er is dus een relatie tussen alle elementen in de managementsysteem normen.
De actuele Nederlandse versie is nu de NEN-EN-ISO/IEC 27001:2023, gepubliceerd in augustus 2023.
In Europa krijgen de normen het voorvoegsel "EN" zodat binnen de hele EU dezelfde regels gelden.

De ISO 27001 norm bezit een Annex A voor flexibiliteit in beheersmaatregelen

Hoewel Annex A 93 controlemaatregelen bevat (in de 2022-versie), is het geen verplichte set: Organisaties mogen eigen maatregelen kiezen, zolang die risico-gebaseerd en onderbouwd zijn.
De organisatie moet echter wel motiveren waarom bepaalde controls wel of niet van toepassing zijn — dit wordt vastgelegd in de zogeheten verklaring van toepasselijkheid (Statement of Applicability, SoA).

Voor wie is ISO 27001 bedoeld?
De ISO 27001 norm is geschikt voor alle soorten organisaties zoals IT- en softwarebedrijven, zorginstellingen, financiële instellingen, commerciele ondernemingen en nor-profit organisaties, particuliere bedrijven en overheidsinstanties