Datalekken, persoonsgegevens en inloggegevens die ‘op straat liggen’, het is bijna dagelijks nieuws. Het belang van goede informatiebeveiliging neemt al jaren sterk toe, mede ingegeven door de AVG-wetgeving en toenemende automatisering.
Een systeem voor informatiebeveiliging, wat houdt dat eigenlijk in? In de ISO 27001 zijn de eisen opgenomen waar zo’n systeem aan moet voldoen. We hebben het voor je samengevat, zodat je snel kunt kijken wat de eisen zoal inhouden.
Datalekken, persoonsgegevens en inloggegevens die ‘op straat liggen’, is natuurlijk wat je wilt voorkomen als organisatie. Het belang van goede informatiebeveiliging neemt al jaren sterk toe, mede ingegeven door de AVG-wetgeving en toenemende automatisering. Maar ook beveiliging tegen het verloren gaan van gegevens wordt steeds belangrijker en het beschermen van systemen en data tegen indringers
De ISO 27001 is de belangrijkste norm gericht op informatiebeveiliging, met zowel organisatorische, fysieke als technische onderwerpen. De ISO 27001 is daarmee een handig hulpmiddel voor organisaties om hun informatiebeveiliging als een managementsysteem op orde te krijgen. ISO 27001 is geen wetgeving, maar een standaard die de organisatie zichzelf oplegt.
Het voldoen aan de ISO 27001 helpt de organisatie (onder meer) om te bepalen aan welke wet- en regelgeving de organisatie moet voldoen en de organisatie zo in te richten dat er aan voldaan wordt. De norm geeft aan, aan welke eisen het managementsysteem voor informatiebeveiliging moet voldoen en wat er geregeld moet worden. En hoewel er ruimte is zelf te bepalen hoe de organisatie er aan wil voldoen zijn er, anders dan bij ISO 9001, nadrukkelijkere eisen waar het systeem aan moet voldoen.
De ISO 27001 is de belangrijkste norm gericht op informatiebeveiliging, met zowel organisatorische, fysieke als technische onderwerpen. De ISO 27001 is daarmee een handig hulpmiddel voor organisaties om hun informatiebeveiliging als een managementsysteem op orde te krijgen. ISO 27001 is geen wetgeving, maar een standaard die de organisatie zichzelf oplegt.
Het voldoen aan de ISO 27001 helpt de organisatie (onder meer) om te bepalen aan welke wet- en regelgeving de organisatie moet voldoen en de organisatie zo in te richten dat er aan voldaan wordt. De norm geeft aan, aan welke eisen het managementsysteem voor informatiebeveiliging moet voldoen en wat er geregeld moet worden. En hoewel er ruimte is zelf te bepalen hoe de organisatie er aan wil voldoen zijn er, anders dan bij ISO 9001, nadrukkelijkere eisen waar het systeem aan moet voldoen.
De ISO 27001-norm is, net als andere ISO-normen, ingericht volgens de High Level Structure (inmiddels in nieuwe ISO-normen de Harmonised Structure). Daardoor zal de norm voor een groot deel bekende kost zijn voor organisaties die al ISO 9001-gecertificeerd zijn.
Zo moet er bijvoorbeeld beleid worden ontwikkeld, doelstellingen worden bepaald en moeten context, risico’s en kansen worden vastgesteld. Tevens moet worden bepaald welke competenties nodig zijn en welke middelen. Ook interne audits en de periodieke management review zijn in beide normen een vereiste.
De Plan-Do-Check-Act-cyclus is, net als bij ISO 9001, de basis van het systeem voor informatiebeveiliging, afgekort ook wel het ISMS, dat staat voor Information Security Management System. Dit houdt in, dat de organisatie beleid vaststelt en doelen formuleert: wat willen we bereiken met ons ISMS? Beleid en doelstellingen worden bepaalt op basis van een contextanalyse: wie zijn onze stakeholders, wat zijn hun wensen en eisen, welke risico’s lopen we op het gebied van informatiebeveiliging, en wat zijn de maatregelen die we daarvoor (willen) treffen?
De norm eist dat de doelstellingen meetbaar worden geformuleerd, zodat achteraf kan worden vastgesteld of en in welke mate het gewenste resultaat is behaald. Dit betekent dat doelstellingen worden uitgedrukt in termen van geld, tijd, aantallen, percentages en/of bepaalde kwalitatieve kenmerken. En vervolgens is het zaak de resultaten te monitoren: hoe meet je of je de gestelde doelen realiseert? En door prestaties te meten en evalueren, is het de bedoeling dat de organisatie continu verbetering aanbrengt.
ISO 27001 stelt eisen zoals ook ISO 9001 ze stelt: er moeten zaken georganiseerd worden. Het verschil in de eisen is, naast uiteraard het onderwerp van de norm, dat ISO 27001 veel strikter is in wat gedocumenteerd moet worden.
Zo moeten er bijvoorbeeld schriftelijke procedures zijn, een risicoanalyse en, één van de belangrijkste documenten in het ISMS, een Verklaring van Toepasselijkheid. In een Verklaring van Toepasselijkheid neem je op, welke eisen uit de norm van toepassing zijn, welke niet, en met welke reden de eisen worden in- en uitgesloten.
Het opzetten en invoeren van een ISMS is een belangrijke stap. Certificering kan dan de volgende stap zijn in de verdere professionalisering ervan en heeft de volgende voordelen:
Heb je interesse in certificering volgens de ISO 27001? Of wil je weten hoe certificering werkt? Download dan het ISO 27001 E-book, lees onze FAQ’s of neem contact met ons op voor meer informatie.
Wat houdt het eigenlijk in om een systeem voor informatiebeveiliging op te zetten, met ISO 27001 als hulpmiddel? EIK certificering heeft het voor je samengevat in een Fastread. Voor organisaties die aan het verkennen zijn, maar ook als je al op weg bent en anderen wilt meenemen in het proces: die kunnen dan met de Fastread een beeld krijgen van wat het inhoudt.
Wil je je graag verder verdiepen in certificering? In onze artikelen lees je alles wat je wilt weten voordat je aan de slag gaat met de certificatie!
