Wiki

ISO 27001

ISO 27001 is een internationale standaard voor informatiebeveiliging. Zo helpt het organisaties om de gegevens veilig te houden door de risico’s te identificeren en maatregelen te nemen om deze te beheersen. De norm beschrijft hoe je procesmatig informatie beschermt met een Information Security Management System (ISMS). Het helpt je risico’s beheersen, beleid in te richten en je beveiliging continu te verbeteren. 

ISO 27001 als basis voor veilige bedrijfsvoering

ISO 27001 biedt een gestructureerde aanpak om risico’s zoals datalekken, cyberaanvallen en reputatieschade te voorkomen. De norm helpt organisaties aantoonbaar veilig om te gaan met (persoon)gegevens, en sluit aan bij wet- en regelgeving, waaronder AVG. Hiermee vergroot je niet alleen het vertrouwen van klanten en partners, maar voldoe je ook aan de toenemende eisen rondom het ISO 27001-certificaat van opdrachtgevers bij aanbestedingen en contracten.

Wat is een Information Security Management System?

De kern van ISO 27001 is het ISMS: een systeem voor het beheren en verbeteren van je informatiebeveiliging. Denk aan beleid, risicoanalyses, procedures en controles. Met een goed ingericht ISMS toon je aan dat je bewust structureel bezig bent met beveiliging.

Hoe werkt een ISO27001 certificering?

Certificeren begint met een nulmeting of gap-analyse. Daarna stel je het beleid op, implementeer je de benodigde maatregelen en voer je een interne audit uit. Na goedkeuring door de directie volgt een externe audit. Is alles in orde? Dan ontvang je het certificaat met een geldigheid van drie jaar.

Wat zijn de eisen van ISO 27001?

De norm bevat eisen verdeeld over tien hoofdstukken. Die gaan onder andere over risicobeoordeling, beleidsontwikkeling, organisatorische maatregelen en continue verbetering. Ook moet je een security verantwoordelijke aanstellen die toezicht houdt op de uitvoering van het ISMS.

Basisprincipes ISO 27001

De aanpak rust op twee basisprincipes: risicomanagement en plan-do-check-act. Risicomanagement vormt de eerste stap, waarbij de risico’s rondom databeveiliging inzichtelijk worden gemaakt en aan elk risico een passende securitymaatregel wordt gekoppeld. Plan-do-check-act is vervolgens de methode waarmee de informatiebeveiliging continu wordt getest en verder aangescherpt.

Wie kiest voor een ISO 27001-certificering krijgt het hele systeem doorgelicht en beoordeeld (meer daarover verderop). Wanneer de certificering wordt behaald, is deze drie jaar geldig, waarna opnieuw een audit volgt. Tussentijds vinden er ook controles plaats.

Certificering biedt zekerheid, geen garantie

ISO 27001 helpt je risico’s verkleinen en je weerbaarheid vergroten. Maar absolute veiligheid bestaat niet. Een certificaat voorkomt geen hack, maar laat wel zien dat je er alles aan doet om risico’s te beheersen en snel te kunnen reageren op incidenten. Liever direct een security assessment inplannen? Neem dan contact met ons op.