ISO 27001 norm voor informatiebeveiliging

ISO 27001 is de internationale norm die eisen stelt, richtlijnen en noodzakelijke voorwaarden beschrijft die noodzakelijk zijn voor een goed functionerend informatiebeveiligingsmanagementsysteem en op welke manier organisaties hun informatiebeveiliging moeten opzetten, uitvoeren, controleren en continu verbeteren. ISO 27001 heeft als doel bedrijfsgegevens te beveiligen tegen inbreuken en om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen.

Meer informatie?

ISO 27001 informatiebeveiliging

ISO 27001, dé mondiaal erkende norm voor informatiebeveiliging. Met ingang van de Algemene verordening persoonsgegevens (ofwel GDPR) in Europa zijn in veel bedrijven de regels rondom het beschermen van bedrijfsgegevens aangescherpt.
De ISO 27001 norm beschrijft hoe iedere partij overal, zowel in wereldwijde ondernemingen als op lokaal niveau, in elke branche en op vele gebieden procesmatig het beveiligen van informatie kan organiseren en managen. Deze norm is in vele talen vertaald door de vele verschillende nationale normalisatie-instellingen. Het ISO certificaat is dan ook wereldwijd geldig en heeft als doel om systematisch de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen uw organisatie zeker te stellen.
Steeds meer directies kiezen ervoor om de beveiliging van hun informatie te structureren op basis van de overal geaccepteerde ISO 27001 standaard. Deze norm is wereldwijd bij bedrijven, instellingen, de overheid, zorginstellingen, banken en alle mogelijke andere partijen de meest populaire richtlijn voor certificatie van informatiebeveiliging.
Voldoen aan de overal geaccepteerde ISO 27001 normeisen wordt steeds belangrijker voor organisaties want cyberaanvallen worden frequenter en geavanceerder, organisaties verwerken steeds meer gevoelige persoonsgegevens en supply chains worden steeds complexer en kwetsbaarder voor fraude.

ISO 27001 invoeren is voor uw organisatie pure noodzaak, het voorkomt dataverlies en daarmee grote financiële schade en het vertrouwen van klanten is gebaseerd is op een veilige gegevensverwerking. Informatiebeveiliging is zeker ook van belang bij thuiswerken waar de beveiligingsrisico's nog worden vergroot.
Informatiebeveiliging op basis van ISO 27001 beschermt bedrijfsgegevens tegen ongeautoriseerde toegang, voorkomt financiële schade door datalekken, versterkt vertrouwen bij klanten en partners, voldoet aan wettelijke privacy verplichtingen en minimaliseert bedrijfsstilstand door cyberincidenten. ISO 27001 stelt eisen aan een ISMS en kent een structuur waarbij intellectueel eigendom en innovaties beschermt door een verbetering van de interne bewustwording van digitale risico’s.

ISO 27001 gebruiken als leidraad voor informatiebeveiliging maakt het mogelijk om dreigingen tijdig te signaleren en waar nodig te waarschuwen of alarmeren. Hiermee kunnen incidenten niet alleen worden opgemerkt, maar ook effectief worden tegengehouden en afgeweerd.
ISO 27001 informatiebeveiliging zorgt ervoor dat toegang tot systemen zorgvuldig wordt afgesloten en vergrendeld, waardoor ongewenste toegang wordt gebarricadeerd en kritieke informatie optimaal blijft beschermd. Dit geldt zowel voor fysieke beveiliging als voor digitale maatregelen zoals het versleutelen van data.

Omdat ISO 27001 informatiebeveiliging draait om het verminderen van risico’s, stimuleert de norm systematische risicoanalyse, risicobeperking en het mitigeren van dreigingen. Zo ontstaat een organisatie die niet alleen reageert op incidenten, maar deze actief anticipeert en voorkomt.
Met de combinatie van beschermen, bewaken, controleren, afsluiten en preventief optreden biedt ISO 27001 een solide, toekomstbestendige basis voor professionele informatiebeveiliging.

De directie kan een groene uitstraling bereiken door een georganiseerde interne samenwerking op alle niveaus'en alle afdelingen in de organisatie. ISO 27001 vraagt het management om, op basis van risico's, doelstellingen beleid en strategie vast te stellen om de kans op gegevensverlies tijdens de bedrijfsvoering te verminderen. De éénduidige structuur van de aansturing met deze norm maakt integratie met andere managementsystemen eenvoudig.

PDCA

De basis van het door de ISO 27001 norm vereiste systeem waarmee organisaties informatiebeveiliging borgen volgt een vast proces met stappen volgens de PDCA-cyclus (Plan–Do–Check–Act). De PDCA cyclus is een stap voor stap methode die met een juiste volorde van uitvoering zorgt voor continue verbetering van beveiligingsprocessen.
ISO 27001 is een norm die kan worden gezien als een algemene standaard met technische afspraken die consequent worden gevolgd en vastgelegd in een managementsysteem. ISO 27001 informatiebeveiliging is in Nederland voor bepaalde bedrijven een wettelijke verplichting die is vereist om mee te mogen doen aan aanbestedingen. Het opvolgen van de richtlijnen en serieus omgaan met vertrouwelijke gegevens in de ISO 27001 norm kan u dus het meedoen aan aanbestedingen opleveren. De ISO 27001 norm is een maatstaf voor vergelijking van uw organisatie met andere bedrijven en bevat regels waarmee een organisatie op prestaties kan worden beoordeeld met betrekking tot informatiebeveiliging. ISO 27001 is in sommige wetten opgenomen als verplichte richtlijn om informatie zeker te stellen.

ISO 27001 normen

ISO 27001, ontwikkeld door de ISO in Zürich, Zwitserland, heet formeel: ISO 27001 - Informatiebeveiliging, cybersecurity en bescherming van de privacy – Managementsysteem voor informatiebeveiliging.
De ISO 27001 norm maakt deel uit van de ISO 27000-serie én sluit nauw aan op andere normen en richtlijnen, zoals:

ISO 27002 – maatregelen en best practices
ISO 27007 – richtlijnen voor audits
BS 7799 standaard (deel 2) – de voorloper van ISO 27001 norm
BIO, de basis norm voor informatiebeveiliging bij de Nederlandse Overheid
NEN 7510 – norm voor informatiebeveiliging voor de Nederlandse zorgsector

De ISO 27001 norm is beschrijft hoe iedere partij overal, zowel in wereldwijde ondernemingen als op lokaal niveau, in elke branche en op vele gebieden procesmatig met het beveiligen van informatie kan omgaan. Deze norm is in vele talen vertaald door de vele verschillende nationale normalisatie-instellingen. ISO 27001 bevat de High Level Structure (HLS), de basisstructuur met kerneisen voor managementsysteemnormen. De opbouw van deze eenduidige normstructuur maakt verschillen tussen normen kleiner en vergemakkelijkt het integreren van ISO 27001 met andere alle bestaande ISO-managementsystemen.

De ISO 27001 norm voor informatiebeveiliging vraagt een stelselmatige analyse van de werking van Cybersecurity & privacy in de ICT, maar de norm gaat niet alleen over cryptografie en digitale techniek en betreft niet alleen gegevens die bij een inbraak door hackers kunnen worden ontvreemd. De ISO 27001 norm is bedoeld voor alle gevoelige informatie en gevoelige informatie is, naast vastlegging in computersystemen, ook verwerkt in interne mededelingen, berichten, kennisgeving, voorlichting, bekendmaking, info voor de werkwijzen in processen of productie, financiële informatie of andere gevoelige inlichtingen die op papier of in brochures zijn vastgelegd.

NIS2 BIO en ZORGsector

Relatie ISO 27001 met NIS2, BIO en de zorgsector

De NIS2-richtlijn verplicht essentiële en belangrijke organisaties om cyberrisico’s actief te beheersen. Een ISO 27001 informatiebeveiligingsmanagementsysteem is een erkende methode om te voldoen aan de bescherming van ICT gerichte informatie en daarmee aanvallen en inbreuken te voorkomen.
Voor overheden en semipublieke instellingen is de ISO 27001 omgezet naar de BIO (Baseline Informatiebeveiliging Overheid). De structuur van de BIO is gebaseerd op de ISO 27001 informatiebeveiliging. In de zorgsector geldt bovendien dat patientgegevens moeten worden beveiligd omdat dit cruciaal is voor patiëntvertrouwen en naleving van AVG-wetgeving.

Beveiliging

Stappenplan om aan ISO 27001 te voldoen:

Voorbereiden van de invoering en implementatie van een ISMS volgens de norm ISO 27001 voor informatiebeveiliging, cybersecurity en bescherming van de privacy. Dit managementsysteem voor informatiebeveiliging is de basis voor certificering. Met dit managementsysteem voldoet u aan deze norm die u een structuur biedt om kritieke gebieden, die gevaar kunnen opleveren en een bedreiging zijn voor de veiligheid van uw gegevens, te herkennen vervolgens te beschermen om schade te voorkomen.
De scope bepalen en daarmee de grenzen en het gebruik van het Information Security Management System afbakenen. Zo wordt duidelijk welke locaties systemen informatie en werkzaamheden tot dit beveiligingsproject behoren en wat de grenzen voor het certificeringsproject zijn.

Vervolgens samen met uw adviseur:

Voldoen aan de eis van de ISO 27001 norm voor informatiebeveiliging voor het vaststellen van de context van uw organisatie. Dat betekent het identificeren van de gehele omgeving en externe factoren zoals: de wensen en verwachtingen van belanghebbenden (klanten, leveranciers, wetgeving, etc.) en andere factoren waar de organisatie geen invloed op heeft;
Doelstellingen bepalen en de strategie voor informatiebeveiliging opstellen waarbij het beleid moet worden vastgelegd om in de praktijk die doelen te kunnen bereiken;
Identificeren van informatieveiligheidsrisico’s en analyseren van de impact die elk risico kan vormen op de veiligheid van gegevens die u in uw bedrijf beheert;
Bepalen van welke risico’s zullen worden aangepakt en welke maatregelen moeten worden toegepast;
Opstellen van een Verklaring van toepasselijkheid waarin u aangeeft welke beveiligingsmaatregelen uit Annex A van ISO 27001 wel of niet van toepassing zijn op jouw organisatie, en waarom.

Implementatie van voorgaande acties voor invoering ISO 27001:

Beschikbaar stellen van middelen (mensen, tijd, budget);
Medewerkers trainen en bewustwording verhogen;
Interne en externe communicatie regelen;
Beheer van gedocumenteerde informatie bepalen;
KPI’s vaststellen en meetmethoden inclusief een planning voor het monitoren van acties en maatregelen;
Op basis van monitoringgegevens corrigeren, verbeteren en bijsturen.

ISO 27001 certificering

ISO 27001 certificering is een bevestiging dat de eigenschappen en kenmerken van de organisatie voldoen aan de normeisen voor informatiebeveilging. Het ISO certificaat is een garantie naar leveranciers en afnemers die wordt verleend na goedkeuring door de auditor. ISO certificatie is een beoordeling die wordt uitgevoerd door een geaccrediteerde certificatie-instelling die kijkt naar de organisatie eigenschappen met betrekking tot bescherming van gegevens, deze analyseert en vergelijkt met de ISO 27001 norm. Accreditatie is een garantie dat de toetsende instelling werkt conform de eisen van de ISO/IEC 17021-1. Het ISO 27001 certificaat is een kwalificatie van het werken conform de eisen van de ISO standaard. Kwalificatie betekent dat binnen de organisatie kennis en vaardigheden en competenties aanwezig zijn die de organisatie geschikt maken voor het behalen van dit ISO certificaat.

ISO 27001 gaat uit van een holistische benadering van informatiebeveiliging, dus wordt naar alle onderdelen van het gehele beveiligingstraject gekeken omdat alle stukjes beveiliging met elkaar verbonden zijn.
Dus ISO 27001 gaat voor het screenen van zowel de werknemers en ingehuurd personeel als het organisatiebeleid en de in gebruik zijnde technologie. Met ISO 27001 laat u zien dat uw organisatie systematisch omgaat met informatiebeveiliging en stap voor stap, op een gedisciplineerde wijze geplande taken uitvoert. Maatregelen die worden genomen worden in de vorm van acties, besluiten of regels worden na verloop van tijd gecontroleerd op resultaat en blijvende verbetering.
ISO certificering is een bewijs van de deugdelijkheid van de uitvoering van processen binnen uw ISMS en wordt afgegeven na een stap voor stap controle, verificatie van de opeenvolgende activiteiten, en vervolgens een positieve uitkomst van de beoordeling van de juiste werkwijzen door een onpartijdige instelling.
ISO 27001 certificering laat zien dat binnen uw organisatie taken op een consistente wijze, methodisch en consequent worden uitgevoerd. Deze uitvoering wordt logisch met een vaste structuur opgezet om de informatiebeveiliging succesvol te kunnen realiseren.
ISO 27001 certificering is een waarborg door de certificatie instelling die uw klanten garandeert dat uw organisatie maatregelen neemt om informatiebeveiligingsrisico's te beheersen staat in voor een adequate bescherming van gevoelige gegevens en biedt groot vertrouwen aan klanten en partners.

ISO 27001 certificatie is dé norm voor een informatiebeveiligingsmanagementsysteem en is de basis voor een formele certificatie door een onafhankelijke geaccrediteerde instelling. Een ISO 27001 gecertificeerd informatiebeveiligingsmanagementsysteem kan eenvoudig worden geïntegreerd met andere managementsystemen zoals ISO 9001 of ISO 14001.

Voor het behalen van een ISO 27001 certificering volgt u de volgende 9 stappen:

Vertel uw management en medewerkers van alle afdelingen waarom en hoe, u een certificaat wilt behalen;
Definieer de norm(en) die u nodig heeft;
Koop deze normen bij de NEN of NBN via de webshop;
Leg alle processen die gebruikt worden binnen de organisatie vast in een kwaliteitsmanagementsysteem;
Controleer of alle voortbrengingsprocessen voldoen aan de norm;
Pas zo nodig de processen aan om aan de norm te voldoen;
Voeg de procedures toe die de norm vermeld maar die u nog niet gebruikt;
Voer een interne audit uit als controle op het juiste functioneren van de processen;
Wanneer u aan de norm voldoet kun u certificering aanvragen.

Het ISO 27001 certificaat is het formele bewijs in de vorm van een schriftelijke verklaring van compliance met ISO 27001. Dit formele bewijs blijft drie jaar geldig en wordt jaarlijks getoetst tijdens surveillances. na deze drie jaarvolgt een nieuwe certificatie. Het ISO 27001 certificaat toont professionaliteit, volwassenheid van processen en betrouwbaarheid in informatiebeveiliging.

Training en advies

Training, advies en begeleiding

Een succesvolle implementatie van ISO 27001 vraagt om kennis en betrokkenheid. Trainingen combineren theorie en praktijk en zorgen ervoor dat medewerkers begrijpen wat van hen wordt verwacht. Daarnaast biedt ISOMANAGEMENT advies voor een praktische invoering en implementatie van o.a. ISO 27001. Hierbij begeleiden en ondersteunen wij het opzetten, beheren en verbeteren van het ISMS.