ISO 27001

ISO 27001 is dé internationale norm voor informatiebeveiliging en staat voor een effectief managementsysteem (ISMS). Het verkrijgen van het certificaat bevestigt dat aan alle beveiligingseisen is voldaan en dat bedrijfsprocessen adequaat zijn ingericht.

In tegenstelling tot andere ISO-standaarden, zoals ISO 9001 en ISO 14001, volgt de standaard de High Level Structure (HLS). De Annex A van de standaard beschrijft managementdoelstellingen en beheersmaatregelen die in de risicoanalyse dienen te worden opgenomen.

ISO 27001 betreft alle bedrijfsaspecten. Hierbij valt te denken aan een heldere beschrijving van bedrijfsmiddelen, applicaties, governance, gegevensclassificatie, beschrijving van bedrijfsmiddelen en een risicoanalyse. Daarnaast is een lijst van 114 informatiebeveiligingsmaatregelen opgesteld, afhankelijk van de context en risicobereidheid van uw organisatie.

Om dit effectief in te richten en goed te kunnen onderhouden, dienen verbanden te worden gelegd tussen de context, het informatiebeveiligingsbeleid, de risicoanalyse en de onderwerpen uit Annex A. Belangrijke thema’s zijn onder andere bewustzijn van beveiliging, beheer van beveiligingsincidenten, meting van ISO-beheersprestaties en implementatie van een jaarlijkse verbetercyclus (PDCA).

Voor wie is de ISO 27001?

ISO 27001 biedt een gestructureerde aanpak voor bedrijven die hun informatiebeveiliging willen waarborgen en hun bedrijfsrisico’s op het gebied van cyberdreigingen willen verminderen. Daarnaast stellen klanten en relaties in toenemende mate compliance met de ISO 27001-norm als voorwaarde voor levering.

De norm wordt toegepast door een breed scala aan bedrijven die persoonsgebonden gegevens verwerken die onder de Algemene Verordening Gegevensbescherming vallen. Voorbeelden zijn datacenters, web-/softwareontwikkelaars, dienstverleners en verzekeringsmaatschappijen, maar ook financiële instellingen, energiebedrijven, installateurs en andere organisaties hebben raakvlakken met ISO 27001.

De voordelen van ISO 27001 certificering

De voordelen van ISO 27001 zijn onder andere:

1. Het vergroten van de volwassenheid van bestaande processen.
2. Het beter inrichten van beveiligingsmaatregelen, waardoor het risico op cyberdreigingen zoals gijzeling van software wordt verkleind.
3. Het kunnen aantonen aan partners en klanten dat informatiebeveiliging en privacy goed belegd zijn binnen de organisatie.
4. Voldoen aan de steeds vaker gestelde randvoorwaarde van klanten en relaties voor compliance (of certificering) aan ISO 27001 voor levering.
5. Het verbeteren van de continuïteit van de bedrijfsvoering.
6. Het verhogen van het vertrouwen van stakeholders in de organisatie.
7. Het verminderen van de kans op reputatieschade.
8. Het stimuleren van bewustwording en betrokkenheid van medewerkers bij informatiebeveiliging.
9. Het bieden van een gestructureerde en systematische aanpak voor informatiebeveiliging, die op maat kan worden gemaakt voor de organisatie.
10. Het voldoen aan wettelijke en contractuele vereisten op het gebied van informatiebeveiliging.

Organisaties gebruiken vaak ISMS, oftewel het information security management system, als methodologie voor de ISO 27001.

Met een ISMS kunt u informatiebeveiliging effectief inrichten en besturen op basis van de specifieke kenmerken en doelen van uw organisatie. Het ISMS omvat verschillende verplichte activiteiten, zoals het opstellen van een verklaring van toepasselijkheid, het uitvoeren van jaarlijkse interne audits en risicoanalyses. Tijdens een audit moet u aantonen dat alle onderdelen van het ISMS aanwezig zijn.

Het ISMS volgt de PDCA-cyclus, wat inhoudt dat er voortdurend verbeteringen moeten plaatsvinden en dat deze verbeteringen aantoonbaar vastgelegd moeten worden.

Een geïntegreerd ISMS met de procedures en de algehele managementstructuur van uw organisatie is van groot belang. Bij het ontwerpen van processen, informatiesystemen en beheersmaatregelen moet altijd rekening gehouden worden met informatiebeveiliging. Het doel van het ISMS is om voortdurend te beoordelen of beveiligingsmaatregelen passend en effectief zijn, en of deze moeten worden aangepast vanwege veranderende omstandigheden of nieuwe wet- en regelgeving.

Samoerai biedt praktische richtlijnen aan overheidsinstanties en samenwerkingsverbanden om te voldoen aan de geldende regelgeving.

Waar moet een bedrijf aan voldoen voor ISO 27001 certificering? We hebben hieronder een aantal vragen met toelichting opgesteld die u een beeld kunnen geven van de ISO 27001 certificering:

• In hoeverre heeft uw organisatie de context bepaald? Houd daarbij rekening met eisen en verwachtingen van interne en externe stakeholders, regelgeving, ontwikkelingen van buitenaf en concrete kwesties die intern spelen.
• Heeft u het toepassingsgebied van het ISMS duidelijk vastgesteld?
• In welke mate is de directie betrokken bij het informatiebeveiligingsbeleid? Zijn duidelijke regels, rollen en verantwoordelijkheden opgesteld en zijn er voldoende middelen beschikbaar?
• Zijn de risico’s en kansen voor uw organisatie vastgesteld met behulp van een risicoanalyse? Is deze procedure vastgelegd zodat de risicoanalyse in de toekomst kan worden gerepliceerd en vergelijkbare uitkomsten oplevert?
• Zijn alle vastgestelde beheersdoelen beoordeeld op relevantie, toepasbaarheid en indien vereist schriftelijk vastgelegd en geïmplementeerd?
• Worden er interne audits uitgevoerd? Volgens ISO 27001 moeten informatiebeveiligingsdoelen, incidenten en gegevensbeveiligingsprocessen periodiek worden gemeten en gemonitord.
• Vinden er evaluaties plaats over de effectiviteit van de genomen maatregelen op het gebied van gegevensbeveiliging? Denk hierbij aan een periodieke directiebeoordeling.
• Kan uw organisatie aantonen te leren van fouten, klachten en afwijkingen en worden er corrigerende maatregelen getroffen om hiermee om te gaan?

De officiële ISO 27001 norm bevat alle vereisten. Het is van belang om te benadrukken dat de norm op verschillende manieren interpreteerbaar kan zijn en dat het raadzaam is om deskundige ondersteuning in te schakelen bij de implementatie.