Certificering informatiebeveiliging
iso 27001/isms
INTRODUCTIE CERTIFICERING INFORMATIEBEVEILIGING ISO 27001/ISMS
Informatie is van cruciaal belang voor iedere vorm van bedrijfsvoering, ongeacht het type bedrijfsactiviteit, de omvang van de organisatie of de branche waarin de organisatie actief is. Door maatschappelijke ontwikkelingen in het laatste decennium is de beveiliging van informatie nog nadrukkelijker op de voorgrond getreden.
In deze periode bleek dat het afdekken van concrete risico’s, zoals het ontbreken van relevante en accurate informatie en gegevens voor specifieke gebruikers, of het ongepast gebruik van vertrouwelijke bedrijfsinformatie door derden, een succesvolle aanpak vormt. Ook kwam naar voren dat informatiemanagement een andere kritische succesfactor is die bepalend is in de relatie met stakeholders. Met stakeholders bedoelen we belanghebbenden, zoals opdrachtgevers, aandeelhouders en/ of overheidsinstanties. Naast bedrijfsmatige efficiency spelen daarbij betrouwbaarheid, integriteit en het bedrijfsimago een belangrijke rol.
ISO 27001/ISMS
Tegen deze achtergrond ontstond in 2005 de Engelse norm BS 7799-2. De internationale certificatienorm ISO 27001 (informatiebeveiliging) kwam hieruit voort. Deze norm is internationaal bekend onder de naam ISMS (Information Security Management System) en wordt inmiddels wereldwijd toegepast en erkend.
TOEPASSINGSGEBIED
De certificatienorm ISO 27001 voor het beveiligen van informatie is generiek. Dat wil zeggen dat de methodiek kan worden toegepast op elk type organisatie, zowel in Nederland als internationaal, ongeacht de omvang, het aantal medewerkers, de sector waarin de organisatie actief is of de aard van de (primaire) activiteiten, zoals profit, non- profit of overheid.
Er zijn specifieke sectoren waarbij het belang van Informatiebeveiliging nog groter is. Bijvoorbeeld in financiële instellingen zoals banken en verzekeringsmaatschappijen, de gezondheidszorg, overheidsinstellingen en IT-bedrijven. Dit geldt ook voor organisaties die gegevens van derden beheren, zoals IT-outsourcingbedrijven.
NORMINHOUD
De norm ISO 27001 is gericht op een procesmatige benadering van planning, implementatie, toepassing, bewaking, evaluatie, onderhoud en (continue) verbetering van het beheer van informatiebeveiliging.
De norm is gestructureerd volgens een managementsysteem waarin de volgende aspecten centraal staan: verantwoordelijkheid van het management en de uitwerking van beleid, identificatie van (potentiële) bedreigingen, risico’s en de mate waarin deze gevolgen kunnen hebben voor de organisatie. Ook risicomanagement, de vaststelling van concrete doelstellingen op het gebied van informatiebeveiliging en controle en evaluatie maken deel uit van de norm.
CERTIFICATIETRAJECT ISO 27001
Hoe ziet dit certificatietraject eruit? Het schema van certificatietraject 27001 is gebaseerd op een uitvoeringsmethodiek in een vaste cyclus van 3 jaar. Daarnaast zullen we de organisatie tussentijds beoordelen zodat we kunnen vaststellen of er nog steeds voldaan wordt aan de eisen van de norm. Deze beoordelingen noemen we surveillance audits. Aan het einde van de periode kan de gecertificeerde organisatie een nieuwe cyclus van 3 jaar opstarten die begint met een hercertificatie audit. Wilt u meer gedetailleerde informatie over de praktijk van deze certificering ontvangen? Bekijk dan onze brochure Het Certificatieproces. Deze kunt u downloaden op onze website.
AANVULLENDE NORMEN
De norm ISO 27001 (informatiebeveiliging) kent dezelfde basisstructuur als de normen ISO 9001 (kwaliteit), ISO 14001 (milieu) of ISO 45001 (gezondheid & veiligheid). De norm kan hierdoor in combinatie met een of meer van deze normen worden ingezet. Daarnaast kan deze norm gecombineerd worden met andere nationale, internationale of branche specifieke normen, waaronder de aan ISO 27001 verwante certificatienorm voor de bescherming van persoonsgegevens die door Bureau Veritas is ontwikkeld op basis van de Europese GDPR of AVG wetgeving.
Heeft u interesse in een training dan verwijzen wij u graag naar onze trainingswebsite. U kunt vrijblijvend contact met ons opnemen voor informatie en advies op maat. Wij zijn telefonisch te bereiken via het telefoonnummer: +31(0) 88 450 56 00.