Informatiebeveiliging

Wat is ISO 27001?

NEN-ISO-27001 is de internationale standaard voor informatiebeveiliging. De norm is een onderdeel van de ISO 27000 serie.

De normen uit deze serie helpen bij het beveiligen van onder andere financiële informatie, werknemersgegevens en informatie die aan derden wordt toevertrouwd. ISO komt van de naam van de organisatie die wereldwijd de normen uitgeeft naar de verschillende landen, de International Standardization Organization en NEN is dan de Nederlandse instelling die zorgt dat de norm wordt vertaald en beschikbaar is voor de Nederlandse markt. 

In de ISO 27001 norm staat beschreven hoe informatie procesmatig beveiligd kan worden. Ook stelt de norm eisen voor het vaststellen, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Management Systeem. In het geval van deze norm heet dat systeem ISMS (Information Security Management System). Hieronder valt onder andere het periodiek uitvoeren van een risicoanalyse waarmee risico’s rondom de informatiebeveiliging worden weggenomen. 

ISO 27001 voor welke organisaties? 

De ISO 27001 norm is nuttig voor elke organisatie die wil aantonen dat zij serieus omgaat met informatiebeveiliging. Dit kunnen ICT-bedrijven zijn, maar ook andere instellingen die met vertrouwelijke informatie omgaan, zoals de overheid, banken, verzekeraars, opleidingscentra, onderwijsinstellingen en zorginstellingen. Voor zorginstellingen bestaat een aangepaste versie op de ISO 27001 norm. Dit is de NEN 7510. Deze norm betreft alleen informatiebeveiliging in de zorg. Voor alle andere instellingen geldt de ISO 27001 norm. 

ISO 27001 certificaat 

Wanneer uw organisatie voldoet aan alle eisen van de NEN-ISO-27001 norm, kan een ISO 27001 certificaat worden aangevraagd. Een ISO 27001 certificaat wordt door een onafhankelijke, onpartijdige en deskundige instelling afgegeven. Organisaties met een ISO 27001 certificaat tonen aan dat ze het informatieproces beheersen en dat ze gegevens goed beveiligen. Dit biedt zekerheid, met name aan de klanten. 

Wat zijn de voordelen van ISO 27001? 

Klanten, werknemers en andere belanghebbenden worden overtuigd dat uw organisatie zorgvuldig omgaat met de informatie die aan hen wordt verstrekt. Het ISO 27001 certificaat ondersteunt de geloofwaardigheid van de onderneming, stelt vast dat uw organisatie aan de wetgeving en regelgeving voldoet, toont aan dat informatiebeveiliging belangrijk is binnen uw organisatie en een goed proces voor gegevensbeveiliging verkleint de risico’s. In de voorbereiding op een ISO 27001 certificering worden alle processen binnen het bedrijf opnieuw nagelopen en geoptimaliseerd. Dit zorgt voor een efficiëntere aansturing van het management. 

Wat zijn de eisen van ISO 27001? 

De ISO 27001 norm bestaat uit 10 hoofdstukken. De norm is te verkrijgen via de NEN. In hoofdstuk 4 tot en met 10 worden de eisen beschreven waaraan moet worden voldaan voor de certificering. 

Hoofdstuk 4 gaat over de context van de organisatie. De belangrijkste eisen uit dit hoofdstuk zijn inzicht verkrijgen in de organisatie, de context en de behoeften en verwachtingen van belanghebbenden. Voor dit laatste moet de organisatie vaststellen welke belanghebbenden relevant zijn voor het ISMS en welke eisen van deze belanghebbenden relevant zijn. Ook moet de organisatie het toepassingsgebied van het ISMS vaststellen en het ISMS inrichten, implementeren, onderhouden en blijven verbeteren. 

In hoofdstuk 5 staan de eisen opgesteld betreft leiderschap. Hierin staat dat de directie leiderschap en betrokkenheid moet tonen met betrekking tot het ISMS door onder andere te realiseren dat de eisen van het ISMS worden nageleefd, ervoor te zorgen dat de nodige middelen beschikbaar zijn, het belang van het ISMS te communiceren en continue verbetering te bevorderen. Over het beleid wordt in dit hoofdstuk vermeld dat de directie een informatiebeveiligingsbeleid moet vaststellen dat onder andere aan de volgende eisen moet voldoen: het informatiebeveiligingsbeleid past bij het doel van de organisatie, biedt het juiste kader voor het vaststellen van doelstellingen, wordt binnen de organisatie gecommuniceerd en is beschikbaar gesteld voor belanghebbenden, waaronder klanten. 

In hoofdstuk 6 zijn eisen van toepassing over planning. Dit houdt in dat de organisatie maatregelen moet nemen om risico’s te beperken, een risicobeoordelingsprocedure moet definiëren waarin de risicocriteria worden vastgesteld en waarin de risico’s worden geïdentificeerd,  geanalyseerd en geëvalueerd. Verder moeten ze informatiebeveiligingsdoelstellingen vaststellen en een aantal zaken betreft planning vaststellen, zoals: Wat moet er worden gedaan? Welke middelen zijn er nodig? Wie is er verantwoordelijk? 

Hoofdstuk 7 bevat eisen over de ondersteunende processen. Er wordt beschreven dat de organisatie middelen beschikbaar moet stellen die nodig zijn voor het ISMS. Verder moet er vastgesteld worden welke competentie er nodig is en ervoor zorgen dat de betreffende medewerkers competent zijn. De organisatie moet bovendien voldoen aan de eisen over bewustzijn ( informatiebeveiligingsbeleid, gevolgen van het niet voldoen aan de eisen van het ISMS), communicatie (interne en externe communicatie)  en gedocumenteerde informatie (creëren, actualiseren en beheren). 

Het volgende hoofdstuk is hoofdstuk 8. In dit hoofdstuk wordt beschreven wat de eisen zijn over de uitvoering. Hieronder valt operationele planning, risicobeoordeling van informatiebeveiliging en risico’s behandelen. Onder operationele planning wordt verstaan dat de organisatie de in hoofdstuk 6 opgestelde maatregelen moet realiseren en een planning moet opstellen om  de vastgestelde doelstellingen te bereiken. De risicobeoordeling houdt in dat de organisatie een risicobeoordeling moet uitvoeren en de resultaten hiervan moet bewaren. 

Hoofdstuk 9 gaat over evaluatie van de prestaties. Monitoren, meten, analyseren en evalueren vallen hieronder. Dit betekent dat de organisatie moet vaststellen wie, wat en wanneer deze metingen worden uitgevoerd, geanalyseerd en geëvalueerd.  Verder hoort ook een interne audit en directiebeoordeling bij de evaluatie. Een interne audit houdt in dat er binnen de organisatie gekeken wordt of er nog wordt voldaan aan alle eisen van de ISO 27001 certificering en de directiebeoordeling houdt in dat de directie de effectiviteit van het managementsysteem beoordeeld en kijkt welke kansen voor verbetering er zijn. 

Het laatste hoofdstuk, hoofdstuk 10, gaat over verbetering. De eisen van dit hoofdstuk gaan over afwijkingen en corrigerende maatregelen, en continue verbetering. Wanneer er een afwijking is moet de organisatie hierop reageren en indien nodig maatregelen treffen om de afwijking te beheersen. Ook moet de organisatie zorgen dat de afwijking zich niet herhaalt door de oorzaak weg te nemen. Om dit te doen moet de oorzaak vastgesteld worden en moet er worden gekeken of deze afwijking zich opnieuw zou kunnen voordoen. Waar nodig moet de organisatie wijzigingen aanbrengen in het ISMS. 

Ondersteuning van Kader

Meer weten over ISO 27001?

Neem contact op met de adviseurs van Kader!

Contact
Nieuw

Onze nieuwste artikelen

Informatiebeveiliging: ISMS maakt het verschil

Lees verder

Whitepaper: Informatiebeveiliging met ISO 27001 of NEN 7510

Lees verder

Krijgt mijn organisatie straks te maken met de nieuwe NIS2-richtlijn?

Lees verder

Persoonlijk

Innovatief

Pragmatisch

Vakkundig