1. Informatiebeveiliging
  2. ISO 27001

ISO 27001

Het organiseren van informatiebeveiliging wordt steeds complexer en een systematische aanpak voor de beveiliging van informatie is daarom een noodzaak geworden. De norm ISO/IEC 27001 is bedoeld om je te helpen met het opzetten en onderhouden van een managementsysteem voor informatiebeveiliging.

Een duidelijk beeld krijgen waar jouw organisatie zich op dit moment bevindt? Vraag dan nu een GAP Analyse ISO 27001 aan.

ISO 27001 Implementatie

Ook al heeft een organisatie haar zaken prima op orde, het implementeren van een ‘certificaatwaardig’ managementsysteem voor informatiebeveiliging kost doorgaans behoorlijk wat tijd. Natuurlijk kan een set met standaarddocumenten u een heel eind op weg helpen, maar een managementsysteem is veel meer dan een handboek met beleid, processen en procedures. Het opzetten van een certificaatwaardig managementsysteem duurt in de praktijk meestal ongeveer een half jaar.

Avensus heeft de kennis en expertise in huis om je te helpen bij het inrichten en implementeren van jouw ISO/IEC 27001-managementsysteem:

  • Implementatie van een certificaatwaardig systeem, inclusief het leveren van templates, bijvoorbeeld voor beleid en procedures.
  • Begeleiding bij het uitvoeren van een gap-analyse en/of risicobeoordeling volgens de eisen van de norm.
  • Het uitvoeren van een interne audit volgens de eisen van de norm en op het niveau van een certificatie-audit.
  • Begeleiding bij het uitvoeren van een directiebeoordeling volgens de eisen van de norm.
  • Ondersteuning bij het opstellen van gedocumenteerde informatie.

ISO 27001 Norm

De norm ISO/IEC 27001 is een document van ongeveer 30 pagina’s dat te koop is via de website van NEN. Vooral voor beginners is de norm niet eenvoudig te doorgronden. Hij bevat geen lijstjes met onderwerpen die je kunt afvinken en geeft nauwelijks uitleg over wat je precies moet doen. Het is de bedoeling dat je zelf betekenis geeft aan de norm, een betekenis die past bij jouw specifieke activiteiten, verplichtingen, risico’s en doelstellingen.

In de hoofdstukken 0 t/m 3 van de norm ISO/IEC 27001 vindt u inleidende teksten. Het kan verhelderend zijn om deze teksten te lezen. In de hoofdstukken 4 t/m 10 van de norm staan de eisen beschreven waaraan je moet voldoen ‘om conformiteit met de norm te kunnen claimen’, ofwel, om te mogen beweren dat jouw managementsysteem voor informatiebeveiliging aan de norm voldoet. De norm kent ook nog een Bijlage-A met 114 beheersmaatregelen die je kunt toepassen om risico’s te beheersen.

Soms denken organisaties dat ze aan de norm ISO/IEC 27001 voldoen omdat ze (een deel van) de 114 beheersmaatregelen hebben geïmplementeerd die in Bijlage-A staan. In werkelijkheid voldoet een organisatie pas aan de norm als er ook een managementsysteem voor informatiebeveiliging is geïmplementeerd volgens de eisen in de hoofdstukken 4 t/m 10.

ISO 27001 certificering

Voor het laten certificeren van jouw managementsysteem voor informatiebeveiliging moet je een certificatie-instelling (CI) inschakelen. Daarvoor kunt kiezen uit meerdere CI’s. Op het moment dat je CI uitnodigt voor het uitvoeren van een certificatie-audit, dan moet je klaar zijn om te kunnen aantonen dat jouw managementsysteem aan alle eisen van de norm voldoet. Avensus begeleidt je stap-voor-stap naar dat belangrijke moment.

Een initiële certificatie-audit is de audit die uitgevoerd moet worden om voor de eerste keer een ISO/IEC 27001-certificaat te kunnen ontvangen. Implementaties die onder begeleiding van Avensus plaatsvinden, komen in de praktijk gemakkelijk en probleemloos door certificatie-audits. Dat betekent niet dat er nooit afwijkingen zijn, tenslotte zijn er altijd mogelijkheden voor verbetering, maar die punten lossen we samen met je op.

Nadat je het ISO/IEC 27001-certificaat heeft behaald, start een driejarige certificatiecyclus, waarvan jouw certificaat de ingangsdatum en vervaldatum vermeldt. De driejarige certificatiecyclus omvat controle-audits in het eerste en tweede jaar na de certificatiebeslissing, en een hercertificatieaudit in het derde jaar voordat de certificatie verloopt.

"*" indicates required fields

Download de ISO 27001 whitepaper

In deze whitepaper wordt er dieper ingegaan op de ISO 27001 norm. Hierin wordt onder meer de opbouw van de norm en risicobeoordeling besproken.
Naam*
We willen u graag op de hoogte houden van gerelateerde informatie. Geeft u ons toestemming om u per e-mail op de hoogte te houden?

Wat is ISO 27001?

De norm ISO/IEC 27001 gaat over informatiebeveiliging. Wat wordt daar onder verstaan? Het begrip informatiebeveiliging kan worden opgesplitst in de volgende drie dimensies:

  • Het behoud van de vertrouwelijkheid van informatie.
  • Het behoud van de integriteit (de juistheid) van informatie.
  • Het behoud van de beschikbaarheid van informatie.

Informatiebeveiliging gaat over de bescherming van alle soorten informatie binnen een vooraf gekozen toepassingsgebied. Daarbij hoeft het niet alleen om het beschermen van klantdata te gaan, maar bijvoorbeeld ook over het vertrouwelijk, integer en beschikbaar houden van jouw bedrijfsgegevens.

Het organiseren van informatiebeveiliging wordt steeds complexer en een systematische aanpak voor de beveiliging van informatie is daarom een noodzaak geworden. De norm ISO/IEC 27001 is bedoeld om je te helpen met het opzetten en onderhouden van een ‘managementsysteem voor informatiebeveiliging’. Voor dit systeem wordt vaak de afkorting ISMS gebruikt (van het Engelse ‘Information Security Management System’).

Nadat het ISO/IEC 27001-certificaat behaald is, start een driejarige certificatiecyclus, waarvan jouw certificaat de ingangsdatum en vervaldatum vermeldt. De driejarige certificatiecyclus omvat controle-audits in het eerste en tweede jaar na de certificatiebeslissing, en een hercertificatieaudit in het derde jaar voordat de certificatie verloopt.

Wat kunnen wij nog meer voor jou betekenen?

ISO 14001

ISO 14001 is net als ISO 9001 gericht op het proces dat een product voortbrengt, niet het product zelf. Het is een compilatie van normen m.b.t. milieubeheer

ISO 9001

Deze wereldwijd meest ingezette norm voor kwaliteitsbeheersing is gericht op het inzichtelijk maken of een organisatie in staat is om te voldoen aan de eisen die aan haar worden gesteld.

NEN 7510

Dé norm voor Informatiebeveiliging binnen de zorgsector in Nederland. Gebaseerd op ISO 27001 met extra aandachtspunten specifiek bedoeld voor de zorg.

Het Team

De consultants van Avensus hebben jarenlange ervaring in het pragmatisch en doeltreffend ondersteunen van een breed scala aan organisaties en hun leveranciers rondom het vraagstuk Informatiebeveiliging, Kwaliteit- en Milieumanagement. Bij bijna alle klanten zetten we tijdens een implementatie traject aan de hand van de betreffende norm in gezamenlijkheid met de klant een managementsysteem op.

Door deze opgebouwde kennis en ervaring hebben de consultants ook zeer praktische suggesties t.a.v. de inrichting van de processen en vele voorbeelden van documenten die bij de implementatie gebruikt kunnen worden. Daarnaast is het merendeel van de consultants Lead Auditor en zijn zij goed op de hoogte van het verloop en de vereisten van een certificeringstraject.

Avensus heeft de kennisexperts in huis: implementatie specialisten, consultants, lead auditors en trainers op het gebied van managementsystemen: ISO 9001, ISO 14001, ISO 20000, ISO 22301, ISO 26000, ISO 27001, ISO 31000, NEN 7510, etc.

Internal auditing ISO 27001

Voor het uitvoeren van interne audits, third party audits, supplier audits, reviews en het opstellen van verbeterplannen bieden wij graag de ondersteuning van onze consultants/lead auditors aan. Van het verzorgen van een incidentele audit tot en met het opstellen en uitvoeren van een meerjarenplanning van alle audits en reviews. Bij Avensus bent u aan het juiste adres.

Onderhoud ISO 27001

Maak gebruik van onze expertise. Ook voor het onderhouden, integreren en verbeteren van uw bestaande managementsysteem of -systemen. Wij maken graag een resultaatgericht plan van aanpak.

Nieuws & Blog

Menu