Onderstaande bijdrage is van een externe partij. De redactie is niet verantwoordelijk voor de geboden informatie.

Hoe werkt dat eigenlijk, ISO 27001-certificering?

De internationaal erkende kwaliteitsnorm ISO 27001 biedt de meest uiteenlopende organisaties een goede basis voor gegevensbeveiliging en de continue verbetering daarvan. De richtlijnen en eisen uit de standaard stellen organisaties in staat informatiebeveiliging structureel te reguleren. Dat maakt ISO 27001-certificering een solide basis voor het beveiligen van bedrijfsinformatie.

Veel organisaties besteden in hun ‘huisregels’ al aandacht aan het veilig en vertrouwd omgaan met bedrijfs- en persoonsgegevens. Met ISO 27001-certificering wordt dit geformaliseerd en kan een organisatie aantonen dat ze volgens de regels omgaat met gevoelige informatie en dat de privacy van medewerkers wordt gewaarborgd. Dit vergroot het vertrouwen van klanten, leveranciers, medewerkers en andere stakeholders.

Stappenplan 

Voor veel organisaties zijn certificeringstrajecten geen dagelijkse kost. Audits door een onafhankelijke certificeerder als Kiwa zouden veel extra werk opleveren en werken volgens een kwaliteitssysteem zou een organisatie minder flexibel maken. Om een beter beeld te geven van wat ISO 27001-certificering nu eigenlijk inhoudt, hebben we hieronder de belangrijkste onderdelen van een stappenplan voor ISO 27001-certificering op een rijtje gezet.

Zorg voor een businesscase

ISO certificering is geen doel, maar een middel. Maak dus een business case met daarin de voordelen die de organisatie hiermee wil bereiken. Dat kan uiteenlopen van voldoen aan wet- en regelgeving tot commerciële motieven.

Draagvlak bij het management

Betrokkenheid van het management is erg belangrijk voor een effectieve invoering van een managementsysteem als de ISO 27001. Dit zorgt er bovendien voor dat informatiebeveiliging in lijn is met de bedrijfsstrategie en helpt bij het toewijzen van de juiste middelen voor het project.

Inventariseer informatiemiddelen 

Om een goed beeld te hebben van wát er precies beschermd moet worden en hoe groot de risico’s zijn, is het belangrijk om vooraf alle informatiemiddelen in beeld te hebben. Denk daarbij aan digitale en fysieke bronnen, applicaties, IT-hardware, etc.

Risicoanalyse 

De risicoanalyse is een van de belangrijkste stappen binnen het certificeringsproces. Hierbij wordt niet alleen bepaald welke incidenten kunnen plaatsvinden, maar ook welke impact kunnen hebben op de organisatie.

Risicobehandelingsplan 

Nadat de risicoanalyse is uitgevoerd, moet een risicobehandelingsplan worden opgesteld. Hierin wordt vastgelegd wie verantwoordelijk is voor de invoering van maatregelen om de vastgestelde risico's te beheersen.

Invoeren ISMS 

Als duidelijk is wát er beveiligd moet worden en wie daarvoor verantwoordelijk is, kan het Information Security Management System (ISMS) worden ingevoerd. Dit bevat een raamwerk voor beleid, procedures, processen, richtlijnen beschrijven. De basis hiervoor wordt beschreven in de norm ISO 27001.

Interne audits 

ISO 27001 draait om een continue ‘plan-do-check-act’-cyclus. Interne audits spelen hierbij een belangrijke rol. Hiermee kan worden vastgesteld of het ISMS voldoet aan de eisen van zowel de organisatie van de ISO 27001 norm.

Procedure voor corrigerende maatregelen 

Als wordt vastgesteld dat de organisatie op een bepaald onderdeel nog niet voldoet aan de norm, moet er een procedure zijn om dit te corrigeren en de oorzaak ervan weg te nemen.

Pre-audit/nulmeting 

Alvorens het daadwerkelijke certificeringsproces in te gaan, is de pre-audit of nulmeting een nuttig instrument om te beoordelen in hoeverre de organisatie voldoet aan eisen.

Certificatie 

Als alle stappen zijn doorlopen en het ISMS draait, is de organisatie klaar voor de feitelijke audit door een externe auditor. Bij goed gevolg leidt dit tot verstrekking van het ISO 27001-certificaat.

Tussentijdse audits 

Het ISO 27001 certificaat is drie jaar geldig. Tussentijds worden er elk tussentijdse audits uitgevoerd om te checken of nog aan alle eisen wordt voldaan.

Meer informatie 

Meer weten over informatiebeveiliging en Kiwa’s services op dit gebied? Check de themapagina cybersecurity op onze website of neem contact op met Kiwa’s Expert Center Cyber Security (cybersecurity@kiwa.com of +31 (0)88 998 3020).

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-03-01T14:38:55.000Z Kiwa Nederland
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.