Informatiebeveiliging, Managed Security, Transitie

ISO 27001, ISO 27002 en NEN 7510: wat is het verschil en wat heb ik nodig?

AuditConnect biedt ook in 2019 ondersteuning bij ENSIA-traject

Informatiebeveiliging wordt steeds belangrijker. Als bedrijf kun je met een certificering aantonen dat je je informatiebeveiliging onder controle hebt, wat vertrouwen schept bij klanten en partners. Maar er zijn verschillende certificeringen, zoals de ISO 27001 en de NEN 7510. Welke moet je hebben en wat zijn de verschillen?

“De ISO 27001 is dé norm voor informatiebeveiliging”, vertelt Jolanda van Drunen van Avensus. “Het helpt bedrijven om informatie beter te beveiligen en om een bepaalde mate van beschikbaarheid, integriteit en vertrouwelijkheid van informatie te kunnen waarborgen.”

De norm vereist dat bedrijven een informatiebeveiligingsmanagementsysteem (ISMS) opzetten, dat ervoor moet zorgen dat je in controle bent over je informatiebeveiliging. “Die systemen worden vaak vormgegeven aan de hand van het werk van Edwards Demming, de Plan-Do-Check-Act cyclus. Daarbij geven we informatiebeveiliging vanuit de strategische visie en missie zoals deze binnen het bedrijf bestaat vorm. Zo zorg je er voor dat het ISMS zo goed mogelijk aansluit bij de organisatie.”

Dat is waar de implementatie van de ISO 27001 begint. Allereerst wordt er samen met de klant en de consultant van Avensus een risicoanalyse gemaakt, waarbij gekeken wordt welke elementen van deze organisatie risico lopen en welke dreigingen er zijn binnen de branche waar het bedrijf zich bevindt. “Aan de hand daarvan bepalen we met elkaar welke maatregelen er nodig zijn”, vertelt Van Drunen.

ISO 27002 en NEN 7510

Dit is ook waar de ISO 27002 om de hoek komt kijken. De ISO 27002 is een bijlage van de ISO 27002, waarin richtlijnen staan voor de implementatie van maatregelen.

“De ISO 27001 beschrijft alleen het managementsysteem en komt met een aantal verplichtingen, zoals het classificeren van informatie en het tonen van leiderschap en betrokkenheid. De ISO 27002 geeft richtlijnen voor hoe een maatregel ingericht kan worden.” Die richtlijnen moeten vaak nog wel aangepast worden aan de organisatie en zijn specifieke eisen en behoeftes.

Naast de ISO 27002 bestaat ook de NEN 7510, die ook gelieerd is aan de ISO 27001. “De NEN 7510 is een aanvulling op de ISO 27001, maar dan specifiek op de zorg gericht. Daarin zitten een aantal zeer specifieke beheersmaatregelen die van toepassing zijn op de zorg”, legt Van Drunen uit. “Het is dus in principe een verbijzondering op de ISO 27001. Patiëntveiligheid speelt bijvoorbeeld een hele grote rol.” De basisprincipes zijn echter hetzelfde.

Naast de NEN 7510 en ISO 27002 zijn er nog allerlei andere bijlages, die specifiek gericht zijn op bepaalde aspecten van informatiebeveiliging of op bepaalde branches. “Er is bijvoorbeeld ook een specifieke norm voor de AVG, wat ook weer een aanvulling biedt op de ISO 27002.” Het is dus van belang om goed uit te zoeken welke certificeringen bij jouw bedrijf passen.

Avensus ondersteunt jouw organisatie met ISO 27001 en NEN7510

Avensus ondersteunt bedrijven bij de implementatie van onder andere de ISO 27001 en NEN7510. Dat begint bij een risicoanalyse en eindigt bij een werkend ISMS waarmee de vereiste maatregelen geïmplementeerd zijn.

Hoe lang zo’n traject precies duurt, hangt af van het bedrijf. Zo spelen onder meer haar grootte en complexiteit, de beschikbaarheid van mensen intern, en de volwassenheid ten aanzien van informatiebeveiliging een rol. “Het hangt allemaal vooral af van de kennis die al aanwezig is binnen een bedrijf”, aldus Van Drunen. “Het kan zijn dat we maar acht keer langs hoeven te komen om een organisatie voor te bereiden op de certificering. Maar bij andere organisaties is dat echt niet voldoende.”

Voor de daadwerkelijke certificering plaats kan vinden, moet eerst nog aangetoond worden dat het ISMS ook echt werkt en het beoogde resultaat op het gebied van beveiliging behaald. “Dat betekent dat je nog zeker drie maanden de werking aan moet kunnen tonen.” Ook moeten er conform de norm interne audits hebben plaatsgevonden en moeten er directiebeoordelingen uitgevoerd zijn.

Avensus kan bij het gehele implementatieproces of onderdelen eruit zoals de interne audits ondersteunen. “Wat ons onderscheidt van anderen, is dat ik pas weg ga als een systeem echt van de organisatie is”, vertelt Van Drunen. “Ik vind het belangrijk dat een organisatie begrijpt waarom dit belangrijk is en weet hoe en dát het ISMS werkt.”

Wil je meer weten over de ISO 27001, ISO 27002, NEN 7510 of andere certificeringen die voor jouw organisatie interessant kunnen zijn? Of heb je hulp nodig bij de implementatie van de normen? We komen graag met je in contact, bel 085-0200070 of mail info@avensus.nl ons om vrijblijvend te praten over de mogelijkheden en oplossingen. Wij helpen je met alle plezier verder!

Meer weten?

Wij helpen je graag verder

+31 (0) 85-0200070
info@avensus.nl

Gerelateerd

Menu