Verwerkt u als organisatie belangrijke of privacygevoelige gegevens voor uw klanten, ontwikkelt u data-verwerkende omgevingen of eisen uw klanten om andere redenen een ISO 27001-certificering? Dan kunt u deze certificering het beste zo inrichten dat het uw bedrijfsvoering ook verder versterkt.
Lees hier meer over wat een ISO 27001 is, hoe u aan deze norm kunt voldoen en hoe wij u daarbij kunnen helpen.
Op deze pagina:
Wat is ISO 27001?
De ISO 27001 is een standaard die gaat over informatiebeveiliging.
U toont hiermee aan dat u vertrouwelijk omgaat met de (persoonlijke) informatie binnen uw organisatie, de informatie op de juiste momenten beschikbaar maakt voor de daarvoor bevoegde personen of partijen én dat u eventuele gevolgen van beveiligingsincidenten kunt managen.
Denk hierbij niet alleen aan persoonsgegevens, maar ook bedrijfskritische gegevens of medische gegevens.
Serieus omgaan met informatie(beveiliging)
De ISO 27001 norm is dus bedoeld voor organisaties die willen aantonen dat zij maatregelen hebben genomen om voor klanten, leveranciers en andere stakeholders de beschikbaarheid, integriteit en vertrouwelijkheid (BIV van informatiebeveiliging) te waarborgen.
Waarom een ISO 27001 certificering?
Er zijn organisaties die de ISO 27001 (en ISO 27002) hanteren als een best-practice, maar die er voor kiezen zich niet te laten certificeren.
In de markt krijgt u wellicht steeds vaker de vraag om aantoonbaar te hebben dat u als organisatie serieus omgaat met informatiebeveiliging. Dit is al lang niet meer alleen voor de zorgsector, financiële sector en toeleveranciers van arbodiensten maar voor iedere partij die te maken heeft met omgaan met en beheer van klantdata. Al dan niet via het leveren van hardware, netwerken en/of software.
Indirect biedt het certificaat dus commerciële kansen voor uw organisatie. Daarnaast kent het behalen van een ISO 27001 certificaat een aantal extra voordelen. Lees hier waarom een ISO 27001 certificering ook voor uw organisatie relevant is.
ISMS als managementsysteem voor informatiebeveiliging
Om gestructureerd aandacht te geven aan beschikbaarheid, integriteit en vertrouwelijkheid van informatie heeft u als organisatie een bepaalde werkwijze bepaald. Binnen de informatiebeveiliging noemen we dit een ISMS (Information Security Management System). Zie het als de belangrijkste maatregelen en de werkwijze om de bedrijfsvoering goed te laten verlopen.
Een ISMS is dan ook continu in ontwikkeling om te acteren op nieuwe inzichten, relevante risico’s en best-practices. De auditor zal tijdens de externe audit uw managementsysteem beoordelen en een passende vertaling naar uw dienstverlening. Het gaat hier voornamelijk over uw afwegingen op risico’s en eisen en verwachtingen van stakeholders en borging van de voor uw organisatie belangrijke maatregelen.
Een verschil met andere ISO-normen is de bijlage A in de ISO 27001. Dit is de Verklaring van Toepasselijkheid (SoA, Statement of Applicability) ofwel een 114-puntenlijst.
Zie het als een checklist om geen onderwerpen te vergeten in het eigen ISMS. De ISO 27002 geeft hierbij implementatierichtlijnen op de 114-punten uit de bijlage A van de ISO 27001. De ISO 27002 is dus niet certificeerbaar maar ‘slechts’ een richtlijn achter de ISO 27001.
Wel certificeerbare normen en steeds vaker een toevoegingen / add-on op de ISO 27001 zijn de ISO 27017 voor clouddiensten, ISO 27018 over privacy bescherming (persoonlijke data in publieke cloud) en de ISO 27701 privacy-informatiemanagement. Wij denken graag met u me welke certificering voor u gewenst of nuttig is. Neem vrijblijvend contact op.
Wat kost een ISO 27001 certificering?
Wij kunnen u op drie verschillende manieren helpen om uw te voldoen aan de eisen van de ISO 27001 norm, namelijk:
- Door voornamelijk een adviserende rol aan te nemen. Ideaal wanneer u het certificaat op -grotendeels- eigen kracht wilt doen. Dit bespaart kosten en geeft u veel kennisoverdracht voor toekomstig beheer.
- Door een combinatie van advies en hulp. Wij fungeren als aanjager en begeleider, waarbij u verantwoordelijk blijft voor de uitvoering van de benodigde stappen.
- Door onze adviseur volledig in te schakelen. Handig wanneer u krap in tijd zit. Wij zorgen ervoor dat alle stappen genomen worden om het certificaat te behalen of te behouden. Snelheid, doorlooptijd en ontzorgen zijn hierbij kernwoorden.
Fijn samengewerkt, vooral de snelle antwoorden op mails en telefoontjes was erg fijn!
C.I.C.K. B.V.
Advies over de ISO 27001 norm
Het opzetten van een ISMS is een verdere invulling en detaillering van uw huidige managementsysteem en bedrijfsvoering. Wij ondersteunen dit graag zoveel mogelijk gericht op uw organisatie in te vullen. Op deze manier is het managen en beheren van uw systeem een overzichtelijke activiteit wat verweven zit in de dagelijkse praktijk.
Wij kunnen aansluiten bij uw reeds bestaande werkwijze of door onze EasyTool systematiek in te zetten. Hierin leggen we op een praktische en effectieve manier uw werkwijze rondom informatiebeveiligingssysteem vast. Uiteraard is de EasyTool-systeem gratis onderdeel van onze dienstverlening en een blijvende meerwaarde voor uw organisatie.
ISO 27001 implementatie bij (grotere) organisaties vergt soms om de juiste interim ondersteuning waarin het bestaande IT-team projectmatig wordt aangestuurd door een ervaren informatiebeveiliging-programma manager. Wij hebben ervaren en deskundige projectleiders die u de projectcoördinatie uit handen kunnen nemen zodat we doelgericht naar certificatie en versterking van uw IT-omgeving werken.
Van Voorst Consult adviseert en begeleidt u graag bij het behalen van het ISO 27001 certificaat, eventuele combinatie met andere ISO-normen en/of interne training. Voor meer informatie of een afspraak, neem vrijblijvend contact op.
Lees ook