iso 27001/isms information security certification

INTRODUCING ISO 27001/ISMS INFORMATION SECURITY CERTIFICATION 

Information is crucial for any type of business operations, regardless of the type of business activity, the size of the organisation or the industry in which the organisation operates. Due to social developments in the last decade, information security has come to the fore even more emphatically. 

During this period, it was found that hedging concrete risks, such as the lack of relevant and accurate information and data for specific users, or the inappropriate use of confidential business information by third parties, constitutes a successful approach. It also emerged that information management is another critical success factor that determines the relationship with stakeholders. By stakeholders we mean clients, shareholders and/ or government agencies. In addition to business efficiency, reliability, integrity and the company image play an important role. 

ISO 27001/ISMS 

Against this background, the English standard BS 7799-2 came into force in 2005. The international certification standard ISO 27001 (information security) resulted from this. This standard is internationally known as ISMS (Information Security Management System) and is now applied and recognized worldwide. 

SCOPE 

The ISO 27001 certification standard for securing information is generic.  This means the methodology can be applied to any type of organisation, both in the Netherlands and internationally, regardless of the size, number of employees, the sector in which the organisation operates or the nature of the (primary) activities, such as profit, non-profit or government. 

There are specific sectors where the importance of Information Security is even greater. For example, in financial institutions such as banks and insurance companies, healthcare, government institutions and IT companies. This also applies to organisations that manage third-party data, such as IT outsourcing companies. 

STANDARD CONTENT 

The ISO 27001 standard focuses on a process-based approach to planning, implementation, application, monitoring, evaluation, maintenance and (continuous) improvement of the management of information security. 

The standard is structured according to a management system in which the following aspects are central: responsibility of management and the elaboration of policies, identification of (potential) threats, risks and the extent to which these can have consequences for the organisation. Risk management, the setting of concrete objectives in the field of information security, and control and evaluation are also part of the standard. 

CERTIFICATION PROCESS - ISO 27001 

What does this certification process look like? The 27001 certification process is based on an implementation methodology in a fixed cycle of 3 years. In addition, we will assess the organisation in the interim so that we can determine whether the standard requirements are still being met. These audits are called surveillance audits. At the end of the cycle, the certified organisation can start a new cycle of 3 years that starts with a recertification audit. Would you like to receive more detailed information about the practice of this certification? Take a look at our brochure Het Certificatieproces (The Certification Process). You can download it from our website. 

ADDITIONAL STANDARDS 

The ISO 27001 (information security) standard has the same basic structure as the ISO 9001 (quality), ISO 14001 (environment) or ISO 45001 (health & safety) standards. The standard can therefore be used in combination with one or more of these standards. In addition, this standard can be combined with other national, international or industry specific standards, including the ISO 27001 related certification standard for the protection of personal data developed by Bureau Veritas based on the European GDPR or AVG legislation. 

ISO 27001/ISMS 

Tegen deze achtergrond ontstond in 2005 de Engelse norm BS 7799-2. De internationale certificatienorm ISO 27001 (informatiebeveiliging) kwam hieruit voort. Deze norm is internationaal bekend onder de naam ISMS (Information Security Management System) en wordt inmiddels wereldwijd toegepast en erkend. 

TOEPASSINGSGEBIED 

De certificatienorm ISO 27001 voor het beveiligen  van  informatie  is  generiek.  Dat wil zeggen dat de methodiek kan worden toegepast op elk type organisatie, zowel in Nederland als internationaal, ongeacht de omvang, het aantal medewerkers, de sector waarin de organisatie actief is of de aard van de (primaire) activiteiten, zoals profit, non- profit of overheid. 

Er zijn specifieke sectoren waarbij het belang van Informatiebeveiliging nog groter is. Bijvoorbeeld in financiële instellingen zoals banken en verzekeringsmaatschappijen, de gezondheidszorg, overheidsinstellingen en IT-bedrijven. Dit geldt ook voor organisaties die gegevens van derden beheren, zoals IT-outsourcingbedrijven. 

NORMINHOUD 

De norm ISO 27001 is gericht op een procesmatige benadering van planning, implementatie, toepassing, bewaking, evaluatie, onderhoud en (continue) verbetering van het beheer van informatiebeveiliging. 

De norm is gestructureerd  volgens  een  managementsysteem waarin de volgende aspecten centraal staan: verantwoordelijkheid van het management en de uitwerking van beleid, identificatie van (potentiële) bedreigingen, risico’s en de mate waarin deze gevolgen kunnen hebben voor de organisatie. Ook risicomanagement, de vaststelling van concrete doelstellingen op het gebied van informatiebeveiliging en controle en evaluatie maken deel uit van de norm. 

CERTIFICATIETRAJECT ISO 27001 

Hoe ziet dit certificatietraject eruit? Het schema van certificatietraject 27001 is gebaseerd op een uitvoeringsmethodiek in een vaste cyclus van 3 jaar. Daarnaast zullen we de organisatie tussentijds beoordelen zodat we kunnen vaststellen of er nog steeds voldaan wordt aan de eisen van de norm. Deze beoordelingen noemen we surveillance audits. Aan het einde van de periode kan de gecertificeerde organisatie een nieuwe cyclus van 3 jaar opstarten die begint met een hercertificatie audit. Wilt u meer gedetailleerde informatie over de praktijk van deze certificering ontvangen? Bekijk dan onze brochure Het Certificatieproces. Deze kunt u downloaden op onze website. 

AANVULLENDE NORMEN 

De norm ISO 27001 (informatiebeveiliging) kent dezelfde basisstructuur als de normen ISO 9001 (kwaliteit), ISO 14001 (milieu) of ISO 45001 (gezondheid & veiligheid). De norm kan hierdoor in combinatie met een of meer van  deze normen worden ingezet. Daarnaast kan deze norm gecombineerd worden met andere nationale, internationale of branche specifieke normen, waaronder de aan ISO 27001 verwante certificatienorm voor de bescherming van persoonsgegevens die door Bureau Veritas is ontwikkeld op basis van de Europese GDPR of AVG wetgeving.

​​​​​​​Heeft u interesse in een training dan verwijzen wij u graag naar onze trainingswebsite. U kunt vrijblijvend contact met ons opnemen voor informatie en advies op maat. Wij zijn telefonisch te bereiken via het telefoonnummer: +31(0) 88 450 56 00.