Informatiebeveiliging met ISO 27001 norm - ISOMANAGEMENT

ISO 27001 verplicht?

ISO 27001 is in principe niet wettelijk verplicht, maar kan wél indirect vereist zijn. Organisaties die gevoelige informatie verwerken of samenwerken met overheden, banken of zorginstellingen krijgen steeds vaker de eis om aantoonbaar informatiebeveiliging op orde te hebben met een ISO 27001 certificaat als bewijs. In het kader van de Europese NIS2-richtlijn is ISO 27001 een belangrijke manier om aan de zorgplicht en meldplicht te voldoen.

Informatie zeker stellen

ISO 27001 is de wereldwijd erkende norm voor informatiebeveiliging. Deze standaard is een formele specificatie met afspraken die zijn gemaakt door experts van normalisatie instellingen over criteria en methoden voor het managen van informatie bescherming. Deze algemeen geaccepteerde norm heeft grote waarde als richtlijn voor bedrijven om hun processen voor informatiebeveiliging te verbeteren en te harmoniseren en kan ook dienen als maatstaf voor certificering en onderlinge vergelijking van bedrijven.

ISO 27001 informatiebeveiliging is de norm voor Cybersecurity & privacy in de ICT maar gaat niet alleen over cryptografie en digitale techniek of over gegevens die bij een inbraak door hackers kunnen worden ontvreemd.
Informatie Technologie (IT) speelt een grote rol zowel bij inbraak als bij beveiliging van computersystemen.
Sinds de Algemene Verordening Gegevensbescherming of AVG van kracht is moeten de regels voor gegevensbescherming in bedrijven worden aangescherpt.
Deze informatie betreft alle persoons- en bedrijfsgegevens in de vorm van  georganiseerde data opgeslagen in databases, die kennis van onbevoegde derden kunnen vergroten. Informatie is daarnaast ook verwerkt in interne mededelingen, berichten, kennisgeving, voorlichting, bekendmaking, info voor de werkwijzen in processen of productie, financiële informatie of andere gevoelige inlichtingen die op papier of in brochures zijn vastgelegd.

Het doel van informatiebeveiliging is om de vertrouwelijkheid, beschikbaarheid en integriteit van alle informatie binnen uw organisatie zeker te stellen.
De norm biedt uw organisatie een procesmatige aanpak van informatiebeveiliging. Deze aanpak volgt stap voor stap, met een bewust gekozen, logische volgorde, een goede voorbereiding op een goede zorg voor de veiligheid van uw gegevens. De norm vraagt het nemen van de volgende stappen: 1. analyse van risico’s en zwakke plekken, 2. anticiperen op dreigingen en 3. Het nemen van adequate maatregelen ter beveiliging van uw gegevens en waarborgen van de integriteit van uw informatie.
ISO 27001 helpt u met het bereiken van een organisatiestructuur waarbij alle werknemers in elke afdeling en al uw personeel in teamverband kan werken  aan een zekerstelling van uw bedrijfsinformatie.

Het strategisch managen en beheersen van uw doelstelling op het gebied van informatiebeveiliging verbetert de interne samenwerking. De managementactiviteiten binnen het managementsysteem voor informatiebeveiliging (ISMS) kunnen worden geïntegreerd met de strategie en doelstellingen binnen bestaande systemen voor kwaliteitsmanagement en milieubeheersing.

NIS2 BIO en ZORGsector

ISO 27001 is een essentiële norm voor organisaties die hun informatiebeveiliging serieus nemen. Het biedt een gestructureerde aanpak om informatie te beschermen en te beheren terwijl certificering volgens ISO 27001 een belangrijke troef kan zijn in de bestaande zakelijke verhoudigen. 

Relatie ISO 27001 met NIS2, BIO en de zorgsector

De NIS2-richtlijn verplicht essentiële en belangrijke organisaties om cyberrisico’s actief te beheersen. ISO 27001 is een erkende methode om te voldoen aan de bescherming van ICT gerichte informatie aanvallen en inbreuken.
Voor overheden en semipublieke instellingen is de BIO (Baseline Informatiebeveiliging Overheid) van toepassing. De structuur van de BIO is gebaseerd op ISO 27001. In de zorgsector geldt bovendien dat patientgegevens moeten worden beveiligd omdat dit cruciaal is voor patiëntvertrouwen en naleving van AVG-wetgeving.

Beveiliging

Datadiefstal, cybercriminaliteit en aansprakelijkheid voor privacy-lekken zijn risico's waar alle organisaties tegenwoordig rekening mee moeten houden. Met ISO 27001 kunt u de weerbaarheid van uw organisatie tegen cyberaanvallen vergroten door snel te reageren op veranderende veiligheidsrisico’s. Met invoering van deze norm vermindert u de dreiging van aanvallen en inbraak en staat uw organisatie paraat voor steeds groeiende dreigingen. U slaat informatie op een veilige manier op, bewaakt de toegang tot gegevens en krijgt het vertrouwen van belanghebbenden omdat u kunt aantonen informatie veilig en betrouwbaar te beheren.

nieuwste versie

Wat is de nieuwste versie van ISO 27001?

ISO 27001 heeft als meest recente versie de NEN-EN-ISO/IEC 27001:2013, uitgegeven in het Nederlands in 2013.
Deze norm heeft een Annex A met beheersmaatregelen. De Annex A is een bijlage van de ISO 27001 norm en bevat een lijst met beheersmaatregelen of ‘controls’ .
ISO 27001 norm heeft een bijbehorende norm ISO 27002 (uitleg en invulling van maatregelen). De aanvulling op ISO 27001 beschrijft de maatregelen om aan de eisen van ISO 27001 te voldoen en helpt zaken als afpersing, diefstal van data en uitval van ict-diensten voorkomen.

Waar koop je de norm?

De normen ISO 27001 en ISO 27002 zijn te koop via de NEN (www.nen.nl) of via de ISO-webshop (www.iso.org). Let op: dit zijn betaalde documenten die gebruikt worden voor implementatie en auditdoeleinden.

Eenvoudige integratie met andere normen

ISO 27001 bevat de zogeheten High Level Structure (HLS). Met deze HLS indeling is ISO 27001 eenvoudig te combineren met andere normen zoals ISO 9001 (kwaliteit), ISO 14001 (milieu) of ISO 45001 (veiligheid). Dit maakt integratie in een breder managementsysteem efficiënt en logisch.

invoering

Hoe implementeer je ISO 27001?

De implementatie bestaat uit de volgende stappen:

1. Beveiliging informatie door risicoanalyse en contextbepaling;
2. Opstellen beleid en ISMS om structuur aan te brengen in bescherming van gegevens;
3. Selecteren en toepassen van beheersmaatregelen (Annex A / ISO 27002) voor de bescherming;
4. Bewijslast en documentatie opbouwen;
5. Interne audit en management review
6. Certificeringsaudit informatiebeveiliging door externe instantie

Naleving en beleid

Een sterke informatiebeveiliging, inclusief databeveiliging en digitale bescherming, begint met een helder beleid – een duidelijke strategische aanpak en effectieve richtlijnen. Alleen dan garandeer je continuïteit, bedrijfszekerheid en daarmee operationele voortgang.
ISO 27001 draait om volledige compliance, ofwel structurele naleving en juridische conformiteit. Via een interne audit, die fungeert als controle op een juiste uitvoering, toets je periodiek de opvolging van jouw beleid en uitvoering.

ISO 27001 certificering

Na de invoering wordt een interne audit uitgevoerd en een directiebeoordeling. Vervolgens wordt het certificaat aangevraagd bij een certificatie-instelling.Het informatiebeveiligingsbeleid en de uitvoering daarvan worden getoetst door deze onafhankelijke certificerende instantie. Er wordt gekeken of het ISMS voldoet aan de eisen uit de norm en effectief functioneert. Bij een positief oordeel ontvang je het certificaat.
Het behalen van een ISO 27001 certificaat helpt u bij het veilig stellen van bedrijfsinformatie en met behulp van certificering gaat u meer bewust zorgvuldig om met privacygegevens. U start met het behalen van het certificaat door iedereen binnen de organisatie te informeren over het belang van informatiebeveiliging. Maak intern afspraken over het beschermen van informatie op de werkplek en zorg dat bij certificatie deze afspraken kunnen worden aangetoond. Ga serieus om met beveiligingsmaatregelen en geef het goede voorbeeld zodat tijdens de certificatie iedereen begrijpt hoe belangrijk het certificaat is. Stel iemand verantwoordelijk voor het beheren van het beveiligingssysteem zodat u kunt aantonen aan klanten en prospects kunt aantonen dat hun informatie binnen uw organisatie veilig is.