Wat is ISO 27001?

De normen uit deze serie helpen bij het beveiligen van onder andere financiële informatie, werknemersgegevens en informatie die aan derden wordt toevertrouwd. ISO komt van de naam van de organisatie die wereldwijd de normen uitgeeft naar de verschillende landen, de International Standardization Organization en NEN is dan de Nederlandse instelling die zorgt dat de norm wordt vertaald en beschikbaar is voor de Nederlandse markt. 

In de ISO 27001 norm staat beschreven hoe informatie procesmatig beveiligd kan worden. Ook stelt de norm eisen voor het vaststellen, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Management Systeem. In het geval van deze norm heet dat systeem ISMS (Information Security Management System). Hieronder valt onder andere het periodiek uitvoeren van een risicoanalyse waarmee risico’s rondom de informatiebeveiliging worden weggenomen. 

ISO 27001 voor welke organisaties? 

De ISO 27001 norm is nuttig voor elke organisatie die wil aantonen dat zij serieus omgaat met informatiebeveiliging. Dit kunnen ICT-bedrijven zijn, maar ook andere instellingen die met vertrouwelijke informatie omgaan, zoals de overheid, banken, verzekeraars, opleidingscentra, onderwijsinstellingen en zorginstellingen. Voor zorginstellingen bestaat een aangepaste versie op de ISO 27001 norm. Dit is de NEN 7510. Deze norm betreft alleen informatiebeveiliging in de zorg. Voor alle andere instellingen geldt de ISO 27001 norm. 

ISO 27001 certificaat 

Wanneer uw organisatie voldoet aan alle eisen van de NEN-ISO-27001 norm, kan een ISO 27001 certificaat worden aangevraagd. Een ISO 27001 certificaat wordt door een onafhankelijke, onpartijdige en deskundige instelling afgegeven. Organisaties met een ISO 27001 certificaat tonen aan dat ze het informatieproces beheersen en dat ze gegevens goed beveiligen. Dit biedt zekerheid, met name aan de klanten. 

Wat zijn de voordelen van ISO 27001? 

• Overtuigen van klanten, werknemers en andere belanghebbenden dat de organisatie zorgvuldig omgaat met informatie;
• Versterken van de geloofwaardigheid van de onderneming;
• Aantonen van naleving van wet- en regelgeving;
• Beklemtonen van het belang van informatiebeveiliging binnen de organisatie;
• Verminderen van risico’s door een goed proces voor gegevensbeveiliging;
• Optimaliseren en efficiënter maken van interne processen tijdens de voorbereiding op certificering.

Wat zijn de eisen van ISO 27001? 

De ISO 27001 norm bestaat uit 10 hoofdstukken. De norm is te verkrijgen via de NEN. In hoofdstuk 4 tot en met 10 worden de eisen beschreven waaraan moet worden voldaan voor de certificering. Hieronder een overzicht per hoofdstuk:

Hoofdstuk 4: Context van de organisatie

• Inzicht verkrijgen in de organisatie en haar context;
• Behoeften en verwachtingen van belanghebbenden vaststellen;
• Relevante belanghebbenden identificeren en hun eisen bepalen;
• Toepassingsgebied van het ISMS vaststellen;
• ISMS inrichten, implementeren, onderhouden en continu verbeteren.

Hoofdstuk 5: Leiderschap

• Directie moet leiderschap en betrokkenheid tonen met betrekking tot het ISMS;
• Ervoor zorgen dat ISMS-eisen worden nageleefd;
• Benodigde middelen beschikbaar stellen;
• Het belang van het ISMS communiceren;
• Continu verbeteren bevorderen;
• Vaststellen van een passend informatiebeveiligingsbeleid dat wordt gecommuniceerd en beschikbaar is voor belanghebbenden.

Hoofdstuk 6: Planning

• Maatregelen nemen om risico’s te beperken;
• Risicobeoordelingsprocedure definiëren met risicocriteria;
• Risico’s identificeren, analyseren en evalueren;
• Informatiebeveiligingsdoelstellingen vaststellen;
• Plannen maken: wat moet er gedaan worden, welke middelen zijn nodig, wie is verantwoordelijk.

Hoofdstuk 7: Ondersteunende processen

• Benodigde middelen beschikbaar stellen voor het ISMS;
• Competentie van medewerkers vaststellen en waarborgen;
• Eisen voor bewustzijn (kennis van beleid en gevolgen niet-naleving);
• Eisen voor interne en externe communicatie;
• Beheer van gedocumenteerde informatie (creëren, actualiseren en beheren).

Hoofdstuk 8: Uitvoering

• Operationele planning en controle uitvoeren;
• Realiseren van maatregelen zoals gepland in hoofdstuk 6;
• Risicobeoordeling uitvoeren en resultaten bewaren;
• Risico’s voor informatiebeveiliging behandelen.

Hoofdstuk 9: Evaluatie van prestaties

• Monitoren, meten, analyseren en evalueren van het ISMS;
• Vaststellen wie, wat en wanneer metingen plaatsvinden;
• Uitvoeren van interne audits om naleving te controleren;
• Directiebeoordeling door de directie van de effectiviteit van het ISMS en identificeren van verbeterkansen.

Hoofdstuk 10: Verbetering

• Reageren op afwijkingen en corrigerende maatregelen nemen;
• Voorkomen dat afwijkingen zich herhalen door oorzaken te achterhalen en aan te pakken;
• Waar nodig het ISMS aanpassen om continue verbetering te waarborgen.