ISO 27001 

ISO 27001

ISO 27001 is de internationale standaard voor informatiebeveiliging. Deze standaard voor certificering van informatiebeveiliging is de basis voor bescherming van vertrouwelijke gegevens. Het is een norm die helpt informatiebeveiliging structureel aan te pakken en een goed systeem voor informatiebeveiliging (ISMS) op te zetten om je risico's te identificeren en maatregelen te nemen.

In een wereld waar informatie en gegevens overal digitaal stromen, wordt het beschermen en veiligstellen van mensen, gegevens en eigendommen steeds belangrijker. ISO 27001 is dé internationale standaard voor certificatie van informatiebeveiliging, is erkend in praktisch alle landen en gepubliceerd n tientallen talen, waaronder het Nederlands en toepasbaar op iedereen en overal op deze planeet.

Of u nu een bedrijf, instelling, vereniging of commerciële onderneming bent, met deze norm voldoet u aan de strengste eisen, normen en relevante wet- en regelgeving. ISO 27001 certificaat is meer dan een label – het is een geaccepteerd principe en een strategische keuze voor organisaties die veiligheid serieus nemen.

ISO 27001 certificering is zekerstelling en behalen van een bewijs voor het ontwikkelen en telkens verbeteren van een goedgekeurd informatiebeveiligingssysteem. Met het certificaat wekt u vertrouwen bij klanten en het is een garantie naar opdrachtgevers dat aan u toevertrouwde data veilig zijn.
De norm biedt een systematische structurele aanpak voor het op een gedisciplineerde wijze beschermen, beheersen en waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. ISO 27001 is toepasbaar op organisaties van elke omvang branche en sector. 
Bescherming van informatie betekent ervoor zorgen dat uw data niet in gevaar komt door bijvoorbeeld toepassing van versleuteling of een firewall. Het voorkomen van blootstelling aan diefstal is de beste bescherming.
Bewaking  van vertrouwelijke data betekent fysieke controle op het volgen van instructies en het voortdurend in het oog houden van de wijze van omgang met data door het eigen personeel.

ISO 27001 norm

ISO 27001 is een set van afspraken die onder consensus van alle leden zijn vastgelegd in de normalisatiecommissie van de ISO.
 ISO 27001 is een norm van de ISO en IEC in samenwerking met de NEN en NBN, normalisatie instellingen in Nederland en België.
Deze norm specificeert eisen voorwaarden en regels voor de organisatie en wordt overal geaccepteerd en erkend als dé richtlijn voor informatiebeveiliging op basis van in consensus gemaakte afspraken door een ISO normalisatie commissie.
Deze norm is feitelijk een handleiding met richtlijnen voor invoering van een managementsysteem. Dit systeem is een gebruiksaanwijzing gevat in de vorm van schriftelijke instructies en procedures voor informatiebeveiliging.

De ISO 27001 norm is een gestandaardiseerde gedragscode die samenhangt met een bij grote bedrijven gebruikelijke digitale en schriftelijke ethiek in de omgang met vertrouwelijke informatie.  De norm beschrijft de principes van deze methode die in elke organisatie op een eigen manier kan worden uitgewerkt. ISO 27001 is opgebouwd volgens de Level Structure (HLS), de basisstructuur voor het opzetten van managementsysteemnormen.

De actuele norm NEN-EN-ISO/IEC 27001:2023 verscheen in een Nederlandse vertaling in augustus 2023 en is nu de laatst herziene versie. 
ISO 27001 is onderdeel van de een grotere serie normen die elke aparte norm een ander aspect van informatiebeveiliging weergeeft.

Bij de aanschaf van ISO 27001 ontvangt u een digitaal document onder licentie. Deze norm kunt u online bij de NEN kunt kopen. U kunt ook een abonnement nemen. De kosten zijn verwaarloosbaar vergeleken met de voordelen.

ISO 27001 bevat een voorwoord, definities en een aantal hoofdstukken met eisen voor organisaties die een certificaat willen aanvragen. De norm beschrijft het invoeren en implementeren en onderhouden van een ISMS en is opgebouwd volgens de HLS (High Level Structure).

ISO/IEC 27001 is ontwikkeld door Technical Committee ‘ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection’. ISO 27001 is vertaald in het Nederlands en in augustus 2023 gepubliceerd door de NEN.
De actuele versie van ISO 27001 is: NEN-EN-ISO/IEC 27001:2023 - Information security, cybersecurity and privacy protection.

ISO 27001 structuur

ISO 27001 vraagt van uw organisatie een informatiebeveiliging die procesmatig is ingericht. Processen worden vastgelegd in een vaste structuur van procedures werkwijzen. De procedures geven aan wie verantwoordelijk en bevoegd is om bepaalde stappen in het proces uit te voeren.

Het management van de organisatie stelt de context van het bedrijf vast, bepaald de doelstellingen voor informatiebeveiliging op basis van KPI’s Key performance indicators en geeft leiding volgens een tevoren vastgelegd beleid en marktstrategie om de continuïteit te verzekeren en een bepaalde omzet te behalen. Het beheer van de organisatie omvat ook opleiding en training van personeel in zorg voorvertrouwelijke data.
De implementatie van een ISMS (informatiebeveiligingssysteem) in de organisatie heeft de ISO 27001 richtlijnen als basis en daarmee de HLS (High Level Structure) zodat integratie met andere managementsystemen eenvoudiger wordt.  In dit systeem zijn de delen van onderling verschillende normen eenvoudig samen te voegen.

ISO 27001 is bruikbaar voor alle typen organisaties  in elke branche of sector en van elke omvang of aard. Het geld voor commerciële ondernemingen overheidsinstanties non-profitorganisaties en stichtingen.
Alle belanghebbenden zoals organisatie stakeholders, leveranciers en afnemers zijn blij met uw certificaat.
Het ISO 27001 certificaat is ook goed voor uw imago van betrouwbare partij, is een must bij aanbestedingen en levert nieuwe opdrachten op.

ISO 27001 risico's beheersen

Risico’s Beheersen met Standaard Methode en Preventieve Maatregelen

Informatiebeveiliging is tegenwoordig een veelbesproken onderwerp op managementmeetings. De beveiliging gaat over het voorkomen van dreigingen. ISO 27001 biedt een standaard methode en richtsnoer voor preventie, controle en snelle reactie op bedreigingen. Dit omvat onder meer:

• Encryptie van gevoelige data
• Firewall-instellingen als digitale muur
• Inzet van een slot-mechanisme (digitaal of fysiek)
• Continue bewaking van netwerken en systemen
• Ingrijpen bij elk incident volgens een opgesteld noodplan

Het systeem houdt bedreigingen buiten en zorgt ervoor dat uw informatie binnen toleranties blijft. Denk aan de bescherming van persoonsgegevens, private data, e-mails, berichten, handleidingen, interne presentaties, lesstof voor trainingen, specificaties van producten, en andere kritieke documenten.

ISO 27001 benchmark

Beveiliging is Meer dan Technologie – Het is een Maatschappelijke Verantwoordelijkheid

ISO 27001 is gebaseerd op waarden als vertrouwelijkheid, integriteit en beschikbaarheid. Deze ethische, sociale en morele uitgangspunten zijn inmiddels een normaal gangbaar, breed geaccepteerd principe.

Het is een benchmark binnen de sector voor hoe bedrijven met data omgaan. Het gaat niet alleen om techniek, maar ook om bewustwording, transparantie en verantwoord gedrag. Denk aan het toewijzen van rechten, opstellen van instructies, training van personeel, en snelle alarmering via een goed functionerende alarmcentrale.

ISO 27001 internationaal management

Wereldwijde Reikwijdte, Lokale Relevantie

ISO 27001 is een hulpmiddel voor het op een gedisciplineerde wijze vorm geven en structureren van informatiebeveiliging.
Deze ISO 27001 is een norm van de internationale organisatie ISO met hoofdzetel in Genève, Zwitserland. ISO 27001 wordt wereldwijd gebruikt, er zijn veel landen betrokken bij de opstelling en iedere groep of onderneming op elk gebied profiteert van deze internationale maatstaf.

Met het juiste beleid en strategie en het door het management van de organisatie beschikbaar stellen van de juiste middelen bereikt u uw doelstellingen op het gebied van informatiebeveiliging.

Uw intellectueel eigendom, verworven ervaring, feitenkennis en eventuele nieuwe ontwikkelingen en concepten worden adequaat beschermd tegen interne en externe bedreigingen.

ISO 27001 certificering

ISO 27001 certificering is een onderzoek controle en verificatie ,door een onafhankelijke certificatie instelling, of uw organisatie voldoet aan de normeisen. Wanner de auditor constateert dat u op de juiste wijze invulling geeft aan de voorwaarden van de norm ontvangt u het ISO 27001 certificaat. Het ISO certificaat geeft uw klanten zekerheid dat vertrouwelijke gegevens  bij u in goede handen zijn.  ISO 27001 certificering bestaat uit een driejarige cyclus. Dit houdt in dat u, als u het certificaat heeft behaald, drie jaar gecertificeerd bent. Vervolgens wordt er ieder jaar een tussentijdse audit uitgevoerd om te verifiëren of u nog aan alle eisen voldoet. Na drie jaar moet u opnieuw een initiële audit laten uitvoeren door een onpartijdige geaccrediteerde certificatie instelling.

ISO 27001 conclusie

Conclusie: Uw Zekerheid Begint met ISO 27001

Informatiebeveiliging is geen bijzaak meer. Met ISO 27001 investeert u in een toekomstbestendige, betrouwbare en maatschappelijk verantwoorde manier van werken.

U creëert een systeem van afweer, controle, alarm en continue toezicht dat uw organisatie beschermt tegen risico’s. Dit is niet alleen normaal gangbaar, maar noodzakelijk.

Maak uw organisatie klaar voor de toekomst — kies voor de kracht van ISO 27001. Neem vandaag nog contact met ons op voor advies, implementatie of training op maat.

ISO 27001 START

Om ISO 27001 in te voeren, begin je bij de basis:

• Management Commitment - Zorg dat directie/management 100% achter dit traject staat. Zonder hun support wordt het lastig.
• Huidige situatie in kaart brengen (GAP-analyse) - Wat heb je al geregeld en wat nog niet? Denk aan policies, processen, techniek, bewustzijn, etc.
• Scope bepalen - Wat ga je certificeren? De hele organisatie? Een afdeling? Alleen IT-systemen?
• Risicoanalyse & Risk Treatment Plan - Je moet aantonen dat je informatiebeveiligingsrisico’s in kaart hebt gebracht en maatregelen neemt.
• Rollen & verantwoordelijkheden - Wie wordt jouw ISO-coördinator, Security Officer, interne auditor?

Voor het plannen van ISO 27001 certificering denk je aan de volgende items:

• ISMS opzetten en Information Security Management System structureren
• Beleidsdocumenten & procedures schrijven: beveiligingsbeleid, toegangsbeleid, incidentmanagement, etc.
• Stakeholders in kaart brengen: klanten, leveranciers, medewerkers, toezichthouders
• Risicoanalyse uitvoeren: assets, bedreigingen, kwetsbaarheden en impact bepalen
• Awareness programma: medewerkers trainen en bewust maken
• Interne audits: zelf toetsen of je aan ISO 27001 voldoet
• Management review: evaluatie met directie of alles werkt zoals bedacht
• Externe audit plannen: door een certificerende partij (bijvoorbeeld BSI, TÜV, Kiwa)
• Continue verbetering: PDCA-cyclus implementeren (Plan-Do-Check-Act)

: