CERTIFICERING INFORMATIEBEVEILIGING  ISO 27001/ISMS 

Certificering informatiebeveiliging 
iso 27001/isms 

INTRODUCTIE CERTIFICERING INFORMATIEBEVEILIGING ISO 27001/ISMS 

Informatie is van cruciaal belang voor iedere vorm van bedrijfsvoering, ongeacht het type bedrijfsactiviteit, de omvang van de organisatie of de branche waarin de organisatie actief is. Door maatschappelijke   ontwikkelingen in het laatste decennium is de beveiliging van informatie nog nadrukkelijker op de voorgrond getreden. 
 
In deze periode bleek dat het afdekken van concrete risico’s, zoals het ontbreken van relevante en accurate informatie en gegevens voor specifieke gebruikers, of het ongepast gebruik van vertrouwelijke bedrijfsinformatie door derden, een succesvolle aanpak vormt. Ook kwam naar voren dat informatiemanagement een andere kritische succesfactor is die bepalend is in de relatie met stakeholders. Met stakeholders bedoelen we belanghebbenden, zoals  opdrachtgevers,  aandeelhouders  en/ of overheidsinstanties. Naast bedrijfsmatige efficiency spelen daarbij betrouwbaarheid, integriteit en het bedrijfsimago een belangrijke rol. 

ISO 27001/ISMS 

Tegen deze achtergrond ontstond in 2005 de Engelse norm BS 7799-2. De internationale certificatienorm ISO 27001 (informatiebeveiliging) kwam hieruit voort. Deze norm is internationaal bekend onder de naam ISMS (Information Security Management System) en wordt inmiddels wereldwijd toegepast en erkend. 

TOEPASSINGSGEBIED 

De certificatienorm ISO 27001 voor het beveiligen  van  informatie  is  generiek.  Dat wil zeggen dat de methodiek kan worden toegepast op elk type organisatie, zowel in Nederland als internationaal, ongeacht de omvang, het aantal medewerkers, de sector waarin de organisatie actief is of de aard van de (primaire) activiteiten, zoals profit, non- profit of overheid. 

Er zijn specifieke sectoren waarbij het belang van Informatiebeveiliging nog groter is. Bijvoorbeeld in financiële instellingen zoals banken en verzekeringsmaatschappijen, de gezondheidszorg, overheidsinstellingen en IT-bedrijven. Dit geldt ook voor organisaties die gegevens van derden beheren, zoals IT-outsourcingbedrijven. 

NORMINHOUD 

De norm ISO 27001 is gericht op een procesmatige benadering van planning, implementatie, toepassing, bewaking, evaluatie, onderhoud en (continue) verbetering van het beheer van informatiebeveiliging. 

De norm is gestructureerd  volgens  een  managementsysteem waarin de volgende aspecten centraal staan: verantwoordelijkheid van het management en de uitwerking van beleid, identificatie van (potentiële) bedreigingen, risico’s en de mate waarin deze gevolgen kunnen hebben voor de organisatie. Ook risicomanagement, de vaststelling van concrete doelstellingen op het gebied van informatiebeveiliging en controle en evaluatie maken deel uit van de norm. 

CERTIFICATIETRAJECT ISO 27001 

Hoe ziet dit certificatietraject eruit? Het schema van certificatietraject 27001 is gebaseerd op een uitvoeringsmethodiek in een vaste cyclus van 3 jaar. Daarnaast zullen we de organisatie tussentijds beoordelen zodat we kunnen vaststellen of er nog steeds voldaan wordt aan de eisen van de norm. Deze beoordelingen noemen we surveillance audits. Aan het einde van de periode kan de gecertificeerde organisatie een nieuwe cyclus van 3 jaar opstarten die begint met een hercertificatie audit. Wilt u meer gedetailleerde informatie over de praktijk van deze certificering ontvangen? Bekijk dan onze brochure Het Certificatieproces. Deze kunt u downloaden op onze website. 

AANVULLENDE NORMEN 

De norm ISO 27001 (informatiebeveiliging) kent dezelfde basisstructuur als de normen ISO 9001 (kwaliteit), ISO 14001 (milieu) of ISO 45001 (gezondheid & veiligheid). De norm kan hierdoor in combinatie met een of meer van  deze normen worden ingezet. Daarnaast kan deze norm gecombineerd worden met andere nationale, internationale of branche specifieke normen, waaronder de aan ISO 27001 verwante certificatienorm voor de bescherming van persoonsgegevens die door Bureau Veritas is ontwikkeld op basis van de Europese GDPR of AVG wetgeving.

​​​​​​​Heeft u interesse in een training dan verwijzen wij u graag naar onze trainingswebsite. U kunt vrijblijvend contact met ons opnemen voor informatie en advies op maat. Wij zijn telefonisch te bereiken via het telefoonnummer: +31(0) 88 450 56 00.