1. Informatiebeveiliging
  2. ISO 27001

ISO 27001

Het organiseren van informatiebeveiliging wordt steeds complexer en een systematische aanpak voor de beveiliging van informatie is daarom een noodzaak geworden. De norm ISO/IEC 27001 is bedoeld om u te helpen met het opzetten en onderhouden van een ‘managementsysteem voor informatiebeveiliging.

Wat is ISO 27001?

De norm ISO/IEC 27001 gaat over informatiebeveiliging. Wat wordt daar onder verstaan? Het begrip informatiebeveiliging kan worden opgesplitst in de volgende drie dimensies:

  • Het behoud van de vertrouwelijkheid van informatie.
  • Het behoud van de integriteit (de juistheid) van informatie.
  • Het behoud van de beschikbaarheid van informatie.

Informatiebeveiliging gaat over de bescherming van alle soorten informatie binnen een vooraf gekozen toepassingsgebied. Daarbij hoeft het niet alleen om het beschermen van klantdata te gaan, maar bijvoorbeeld ook over het vertrouwelijk, integer en beschikbaar houden van uw bedrijfsgegevens.

Het organiseren van informatiebeveiliging wordt steeds complexer en een systematische aanpak voor de beveiliging van informatie is daarom een noodzaak geworden. De norm ISO/IEC 27001 is bedoeld om u te helpen met het opzetten en onderhouden van een ‘managementsysteem voor informatiebeveiliging’. Voor dit systeem wordt vaak de afkorting ISMS gebruikt (van het Engelse ‘Information Security Management System’).

Nadat u het ISO/IEC 27001-certificaat heeft behaald, start een driejarige certificatiecyclus, waarvan uw certificaat de ingangsdatum en vervaldatum vermeldt. De driejarige certificatiecyclus omvat controle-audits in het eerste en tweede jaar na de certificatiebeslissing, en een hercertificatieaudit in het derde jaar voordat de certificatie verloopt.

  • Download de ISO 27001 whitepaper

    In deze whitepaper wordt er dieper ingegaan op de ISO 27001 norm. Hierin wordt onder meer de opbouw van de norm en risicobeoordeling besproken.

ISO 27001 Implementatie

Ook al heeft een organisatie haar zaken prima op orde, het implementeren van een ‘certificaatwaardig’ managementsysteem voor informatiebeveiliging kost doorgaans behoorlijk wat tijd. Natuurlijk kan een set met standaarddocumenten u een heel eind op weg helpen, maar een managementsysteem is veel meer dan een handboek met beleid, processen en procedures. Het opzetten van een certificaatwaardig managementsysteem duurt in de praktijk meestal ongeveer een half jaar.

AuditConnect heeft de kennis en expertise in huis om u te helpen bij het inrichten en implementeren van uw ISO/IEC 27001-managementsysteem:

  • Implementatie van een certificaatwaardig systeem, inclusief het leveren van templates, bijvoorbeeld voor beleid en procedures.
  • Begeleiding bij het uitvoeren van een gap-analyse en/of risicobeoordeling volgens de eisen van de norm.
  • Het uitvoeren van een interne audit volgens de eisen van de norm en op het niveau van een certificatie-audit.
  • Begeleiding bij het uitvoeren van een directiebeoordeling volgens de eisen van de norm.
  • Ondersteuning bij het opstellen van gedocumenteerde informatie.

ISO 27001 Norm

De norm ISO/IEC 27001 is een document van ongeveer 30 pagina’s dat te koop is via de website van NEN. Vooral voor beginners is de norm niet eenvoudig te doorgronden. Hij bevat geen lijstjes met onderwerpen die u kunt afvinken en geeft nauwelijks uitleg over wat u precies moet doen. Het is de bedoeling dat u zelf betekenis geeft aan de norm, een betekenis die past bij uw specifieke activiteiten, verplichtingen, risico’s en doelstellingen.

In de hoofdstukken 0 t/m 3 van de norm ISO/IEC 27001 vindt u inleidende teksten. Het kan verhelderend zijn om deze teksten te lezen. In de hoofdstukken 4 t/m 10 van de norm staan de eisen beschreven waaraan u moet voldoen ‘om conformiteit met de norm te kunnen claimen’, ofwel, om te mogen beweren dat uw managementsysteem voor informatiebeveiliging aan de norm voldoet. De norm kent ook nog een Bijlage-A met 114 beheersmaatregelen die u kunt toepassen om risico’s te beheersen.

Soms denken organisaties dat ze aan de norm ISO/IEC 27001 voldoen omdat ze (een deel van) de 114 beheersmaatregelen hebben geïmplementeerd die in Bijlage-A staan. In werkelijkheid voldoet een organisatie pas aan de norm als er ook een managementsysteem voor informatiebeveiliging is geïmplementeerd volgens de eisen in de hoofdstukken 4 t/m 10.

ISO 27001 certificering

Voor het laten certificeren van uw managementsysteem voor informatiebeveiliging moet u een certificatie-instelling (CI) inschakelen. Daarvoor kunt kiezen uit meerdere CI’s. Op het moment dat u CI uitnodigt voor het uitvoeren van een certificatie-audit, dan moet u klaar zijn om te kunnen aantonen dat uw managementsysteem aan alle eisen van de norm voldoet. AuditConnect begeleidt u stap-voor-stap naar dat belangrijke moment.

Een initiële certificatie-audit is de audit die uitgevoerd moet worden om voor de eerste keer een ISO/IEC 27001-certificaat te kunnen ontvangen. Implementaties die onder begeleiding van AuditConnect plaatsvinden, komen in de praktijk gemakkelijk en probleemloos door certificatie-audits. Dat betekent niet dat er nooit afwijkingen zijn, tenslotte zijn er altijd mogelijkheden voor verbetering, maar die punten lossen we samen met u op.

Nadat u het ISO/IEC 27001-certificaat heeft behaald, start een driejarige certificatiecyclus, waarvan uw certificaat de ingangsdatum en vervaldatum vermeldt. De driejarige certificatiecyclus omvat controle-audits in het eerste en tweede jaar na de certificatiebeslissing, en een hercertificatieaudit in het derde jaar voordat de certificatie verloopt.

Wat kunnen wij nog meer voor jou betekenen?

ISO 14001

ISO 14001 is net als ISO 9001 gericht op het proces dat een product voortbrengt, niet het product zelf. Het is een compilatie van normen m.b.t. milieubeheer

ISO 9001

Deze wereldwijd meest ingezette norm voor kwaliteitsbeheersing is gericht op het inzichtelijk maken of een organisatie in staat is om te voldoen aan de eisen die aan haar worden gesteld.

NEN 7510

Dé norm voor Informatiebeveiliging binnen de zorgsector in Nederland. Gebaseerd op ISO 27001 met extra aandachtspunten specifiek bedoeld voor de zorg.

Het Team

De consultants van Avensus hebben jarenlange ervaring in het pragmatisch en doeltreffend ondersteunen van een breed scala aan organisaties en hun leveranciers rondom het vraagstuk Informatiebeveiliging, Kwaliteit- en Milieumanagement. Bij bijna alle klanten zetten we tijdens een implementatie traject aan de hand van de betreffende norm in gezamenlijkheid met de klant een managementsysteem op.

Door deze opgebouwde kennis en ervaring hebben de consultants ook zeer praktische suggesties t.a.v. de inrichting van de processen en vele voorbeelden van documenten die bij de implementatie gebruikt kunnen worden. Daarnaast is het merendeel van de consultants Lead Auditor en zijn zij goed op de hoogte van het verloop en de vereisten van een certificeringstraject.

Avensus heeft de kennisexperts in huis: implementatie specialisten, consultants, lead auditors en trainers op het gebied van managementsystemen: ISO 9001, ISO 14001, ISO 20000, ISO 22301, ISO 26000, ISO 27001, ISO 31000, NEN 7510, etc.

Internal auditing ISO 27001

Voor het uitvoeren van interne audits, third party audits, supplier audits, reviews en het opstellen van verbeterplannen bieden wij graag de ondersteuning van onze consultants/lead auditors aan. Van het verzorgen van een incidentele audit tot en met het opstellen en uitvoeren van een meerjarenplanning van alle audits en reviews. Bij AuditConnect bent u aan het juiste adres.

Onderhoud ISO 27001

Maak gebruik van onze expertise. Ook voor het onderhouden, integreren en verbeteren van uw bestaande managementsysteem of -systemen. Wij maken graag een resultaatgericht plan van aanpak.

Nieuws & Blog

Bekijk alles
Menu