Wat is ISO 27001?
ISO 27001 is de internationale standaard voor informatiebeveiliging. Kern van de ISO 27001 is het beschermen van de vertrouwelijkheid, integriteit en de beschikbaarheid van informatie. Daarnaast geeft het belanghebbenden het vertrouwen dat informatierisico’s onder controle zijn.
Je leest hieronder meer over ISO 27001, wat het voor je organisatie betekent en wat Organisatieadviesbureau De Vaart daarbij kan betekenen. Wil je meer informatie over deze norm of hoe wij dat borgen bij onze klanten? Maak een vrijblijvende afspraak met één van onze ervaren adviseurs.
Voordelen ISO 27001
Iedere organisatie heeft te maken met informatie. Dat kan vertrouwelijke informatie zijn, denk hierbij onder andere aan persoonsgegevens, klantgegevens en ordergegevens. Maar het kan ook van essentieel belang zijn dat die informatie op het juiste moment beschikbaar is, bijvoorbeeld als die informatie geraadpleegd moet worden om een besluit te maken. Daarnaast is het vaak ook van belang dat die informatie correct (integer) is. Denk aan de gevolgen van het maken van een financiële investering op basis van de verkeerde cijfers.
Daarom is het van belang om goed na te denken welke eisen er zijn met betrekking tot de verschillende informatie binnen de organisatie. Dit is precies wat wij doen bij het implementeren van een managementsysteem voor informatiebeveiliging conform de ISO 27001 norm.
Het behalen van een ISO 27001 certificaat heeft verschillende voordelen, zowel extern als intern:
Externe voordelen ISO 27001 certificering
Met een ISO 27001 certificering laat je aan de buitenwereld zien dat je de zaken op orde hebt op het gebied van informatiebeveiliging. De partijen met wie je samenwerkt geef je hiermee het vertrouwen dat je op de juiste manier omgaat met de informatie die zij je toevertrouwen en dat je in staat bent om de beschikbaarheid, integriteit en vertrouwelijkheid van die informatie te waarborgen.
Het ISO-certificaat geeft aan dat je de juiste maatregelen toepast om risico’s op het gebied van informatiebeveiliging te beheersen. We zien daarom steeds meer dat het hebben van een ISO 27001 certificering een belangrijke eis is voor klanten om voor een partij te kiezen.
Interne voordelen ISO 27001
Naast externe voordelen, brengt het implementeren van een ISO 27001 managementsysteem en het certificeren hiervan ook vele interne voordelen op. Het systeem dat we bouwen geeft de handvatten om eens kritisch naar de eigen organisatie te kijken en verbetering door te voeren, niet alleen tijdens de implementatie, maar juist ook daarna. Op die manier ben je als organisatie in staat om continu te blijven verbeteren op het gebied van informatiebeveiliging en informatiemanagement. Denk aan zaken zoals:
- Is het voor iedereen binnen de organisatie duidelijk op welke manier we met informatie om moeten gaan?
- Is onze organisatiestructuur logisch en is voor iedereen duidelijk wat er van hem/haar wordt verwacht om de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie te kunnen waarborgen?
- Zijn onze medewerkers bewust van de risico’s en weten ze hoe ze moeten handelen in verschillende situaties?
- Hebben we de juiste technische en organisatorische maatregelen getroffen om correct om te gaan met de informatie die we beheren, of om dit correct te beschermen?
- Zijn we in staat om informatiebeveiligingsincidenten, of zelfs datalekken te voorkomen? En als het toch voorkomt, weten we dan wat we moeten doen om de impact te minimaliseren en het in de toekomst te voorkomen?
- Zijn onze (werk)processen rondom informatiebeveiliging efficiënt?
- Is onze ICT infrastructuur op de meest effectieve manier ingericht om correct om te gaan met informatie en om dit naar behoren te beschermen?
Bij interne voordelen van een ISO 27001 certificaat, gaat het onder andere om:
- het inzichtelijk maken van risico’s rondom informatiebeveiliging en het implementeren van organisatorische en technische maatregelen om de kans op, of de impact van deze risico’s te minimaliseren.
- het bieden van duidelijke richtlijnen en afspraken, waardoor het voor iedere medewerker duidelijk is hoe zij om dienen te gaan met informatie in verschillende situaties middels een informatiebeveiligingsmanagementsysteem.
- het bieden van handvatten om de organisatie en processen structureel en continu te verbeteren.
- het voldoen aan wet- en regelgeving omtrent privacy.
Hoe behaal je een ISO 27001 certificaat?
In het kort komt het erop neer dat er voor een ISO 27001 certificering een informatiebeveiligingsmanagementsysteem opgezet en geïmplementeerd moet worden dat voldoet aan de eisen van de ISO 27001 norm. Nadat het informatiebeveiligingsmanagementsysteem 3 maanden in gebruik is, wordt het managementsysteem en hoe de organisatie hieraan opvolging geeft, beoordeeld door een certificerende instelling door middel van een externe audit.
Wanneer uit deze externe audit blijkt dat je werkt conform de eisen van de ISO 27001 norm en de eigen processen binnen het informatiebeveiligingsmanagementsysteem, krijgt jouw organisatie voor 3 jaar het ISO 27001 certificaat uitgereikt. Waarbij jaarlijks, door de certificerende instantie, getoetst wordt of er nog wordt voldaan aan de eisen van de ISO 27001 norm.
Onze adviseurs hebben reeds jarenlange ervaring met alles wat komt kijken bij het opzetten van een informatiebeveiligingsmanagementsysteem. Wij begeleiden je organisatie daarom graag bij het opzetten en implementeren van het managementsysteem voor ISO 27001.
Hoe zet je een managementsysteem op?
De Vaart kan je ondersteunen bij het opzetten van een informatiebeveiligingsmanagementsysteem dat aan de ISO 27001 voldoet. Wij hebben al meer dan 500 bedrijven geholpen en durven daarom te garanderen dat het gewenste certificaat behaald wordt!
Onze aanpak bij het opstellen van een managementsysteem is dat we de norm in de eerste instantie opzij leggen en jullie beleid, organisatie en processen als uitgangspunt nemen.
In onderstaand overzicht is te zien in welke 9 stappen wij samen zorgen voor een informatiebeveiligingsmanagementsysteem dat voldoet aan alle eisen en waarmee je organisatie klaar is voor certificering.
9 StappenplanWat kan je van De Vaart verwachten?
Bij Organisatieadviesbureau De Vaart kan je terecht voor certificeringadvies en organisatieadvies. Wij begeleiden je bij jouw vraagstukken naar een oplossing die écht werkt voor jouw specifieke situatie. Er is geen sprake van een standaard werkwijze, maar we werken volgens een op maat gemaakt plan voor de organisatie.
In het geval van certificeringsadvies, volgen we niet standaard de eisen van de norm. We volgen de behoeften en wensen van jouw organisatie en zorgen er vervolgens voor dat je daarmee ook voldoet aan de norm, met als resultaat: het gewenste certificaat. Maar het belangrijkste resultaat gaat verder dan dat. De processen – intern en extern – zullen beter verlopen, je blijft interne efficiëntieslagen maken en kostenbesparingen worden mogelijk gemaakt.
Wil je meer weten over onze werkwijze? Klik dan hier.
Onze werkwijzeDirect contact met één van onze adviseurs.
Bel naar 010 26 88 015 of stuur een mail naar info@devaart.nl en stel je vraag geheel vrijblijvend.
Informatiebeveilingsmanagement
Binnen elke organisatie is het belangrijk om veilig om te gaan met data en vertrouwelijke informatie. Op basis van wet- en regelgeving en eigen wensen en voorkeuren is het belangrijk om aandacht te besteden aan informatiebeveiliging.
Het beginpunt van de continue beveiliging binnen ISO 27001 is het maken van een risico inventarisatie. Hierin worden alle risico’s rondom informatiebeveiliging beoordeeld en krijgen alle risico’s een waarde (kans x effect).
Zodra de risico’s inzichtelijk zijn is de volgende stap binnen ISO 27001 om maatregelen te implementeren om deze risico’s tot een aanvaardbaar niveau te brengen en te houden. Dit kunnen zowel organisatorische maatregelen zijn, zoals het vaststellen van een duidelijk beleid met gedragsrichtlijnen, als technische maatregelen zijn, zoals het inrichten van een goede backup cyclus of het monitoren van de werkstations op virussen en malware.
Afhankelijk van het vastgestelde risico zullen er meer of minder beheersmaatregelen genomen moeten worden om te zorgen dat het tot een acceptabel niveau wordt teruggebracht. Met andere woorden totdat de organisatie “in control” is.
Wat is een informatiebeveiligingsmanagementsysteem?
Een informatiebeveiligingsmanagementsysteem systeem richt zich op het beschermen van de vertrouwelijkheid, integriteit en de beschikbaarheid van informatie, en geeft belanghebbenden het vertrouwen dat risico’s worden beheerd. Daarnaast zorgt het voor het optimaliseren van het beleid, interne organisatie en bedrijfsprocessen met als doel het correct omgaan met de verschillende soorten informatie in verschillende situaties en de eigen producten en diensten continu te verbeteren op het gebied van informatiebeveiliging. Dit fundament levert meer grip op de dagelijkse werkzaamheden en biedt een duidelijke koers naar de toekomst.
Een informatiebeveiligingsmanagementsysteem is een set van organisatie- en procesbeschrijving die een leidraad vormt voor de beheersing van de activiteiten. De structuur die De Vaart hanteert voor een ISO 27001 certificering is opgebouwd uit een drietal niveaus: beleid, organisatie en proces. Hieronder is ieder niveau kort beschreven.
Het beleidsniveau voor ISO 27001
Een beleidsverklaring met concrete actieplannen en KPI’s die de organisatie hanteert om de doelstellingen ten aanzien van informatiebeveiliging te behalen.
Het organisatieniveau voor ISO 27001
Op dit niveau wordt de organisatie in kaart gebracht. Denk hierbij aan het opstellen van een organogram, functieprofielen en vergaderoverzicht. Het opstellen van een procedure indiensttreding, opleiden en awareness (bewustzijn) activiteiten.
Het procesniveau voor ISO 27001
Het in kaart brengen van relevante onderdelen van het dagelijkse proces, zoals bijvoorbeeld procedures verkoop, onboarding van nieuwe klanten, ontwikkeling van producten, inkoop en leveranciersmanagement.
Het managementsysteem voor ISO 27001 certificering heeft met deze drie niveaus een overzichtelijke en efficiënte opzet. Deze opzet borgt continue verbetering van de effecten van de bedrijfsvoering op de geleverde kwaliteit, werkbaarheid en veiligheid.
Onze adviseurs werken in house, waardoor er korte lijntjes
zijn en we echt aanwezig zijn in de organisatie.
Begeleiding bij ISO 27001 certificering
De Vaart zorgt er – zoals hierboven weergegeven – in 9 stappen voor dat je organisatie een certificaat in handen heeft.
Je kunt hierbij kiezen voor de ontzorgvariant – waarbij wij het voortouw nemen en het systeem met je opzetten – of voor de variant waarbij je alleen een stukje begeleiding wilt en zelf het systeem gaat opzetten.
Onze service stopt niet bij het opzetten van een managementsysteem of het geven van advies. Samen met jou en je medewerkers zorgen we ook voor de implementatie van de benodigde oplossingen en bereiden we jullie voor op de externe ISO 27001 audit. We werken altijd vanuit het bedrijfsbelang. We zien de organisatie als klant, niet de directeur of een individu. Natuurlijk worden de dagelijkse werkzaamheden zo min mogelijk belemmerd.
ISO 27001 certificaat: 3 jaar geldig
Voldoet het ISO 27001 managementsysteem aan de eisen van de ISO 27001 norm, is het managementsysteem 3 maanden in gebruik en is het door een certificerende instelling getoetst? Bij het behalen van deze toetsing, wordt de organisatie voorgedragen voor een ISO 27001 certificering en kan je het ISO 27001 certificaat binnen aantal weken verwachten.
ISO 27001 certificering is een driejarige cyclus met jaarlijkse audits. Dit wil zeggen dat het certificaat 3 jaar geldig is. Ieder jaar komt de certificerende instantie weer kort langs om te toetsen of de organisatie zich nog steeds aan het eigen informatiebeveiligingsmanagementsysteem houdt.
ISO 27001 integreren in bestaand managementsysteem
De ISO 27001 norm heeft dezelfde bekende High Level Structure (HLS structuur) waarop andere normen zoals ISO 9001, ISO 14001 (link) en ISO 45001 ook zijn gebaseerd. Dit betekent dat deze norm eventueel gemakkelijk is te integreren in een reeds bestaand managementsysteem. Om te voldoen aan de ISO 27001 norm zullen we de organisatie begeleiden bij het opzetten, implementeren, monitoren, onderhouden en verbeteren van een informatiebeveiligingsmanagementsysteem.
ISO 27001 consultants met ruime ervaring
De consultants van De Vaart hebben een relevante HBO of WO opleiding genoten. Doordat we allerlei verschillende soorten bedrijven in ons klantenbestand hebben, beschikken ze over een brede basiskennis. Je krijgt altijd een consultant toegewezen die bij jou en je bedrijf past. Dit doen we voor een optimale samenwerking tussen jou, je medewerkers en onze organisatie. Periodiek bespreken we met onze consultant de voortgang zodat we de kwaliteit van het project kunnen waarborgen. Indien wenselijk kunnen we een tweetal consultants inzetten voor je organisatie.
Informatie en advies over ISO 27001
Heb je nog vragen over ISO 27001? Neem contact op met één van onze adviseurs door te bellen naar 010 26 88 015 of mail naar info@devaart.nl om te horen wat wij voor jouw organisatie kunnen betekenen. Onze adviseurs voorzien je graag en geheel vrijblijvend van het juiste advies.
Wij helpen je graag meer grip te krijgen op je organisatie.