ISO 27001

De internationale basisnorm voor informatiebeveiliging.

Met een ISO 27001 certificaat bewijst uw organisatie dat ze alle passende maatregelen heeft genomen om de risico’s op het gebied van informatiebeveiliging af te dekken. Zo laat u aan uw opdrachtgever zien dat de informatie die u verwerkt, beschikbaar blijft, vertrouwelijk wordt behandeld, actueel is en niet ongemerkt gewijzigd kan worden.    

ISMS
ISO 27001 is de internationale basisnorm voor informatiebeveiliging. Wij richten uw Information Security Management Systeem (ISMS) zo in dat het voldoet aan de eisen uit deze norm.  

Projectmatig inrichten
De belangrijkste onderwerpen die we samen met u projectmatig uitwerken zijn:

  • Informatiebeveiligingsbeleid; de basis voor alle maatregelen.
  • Integrale risicoanalyse; inclusief informatieclassificatie, Business Impact Analyse,
  • Management commitment en betrokkenheid van de medewerkers; de belangrijkste succesfactor. 
  • Interne audit; onafhankelijke "generale repetitie" voor de externe audit.
  • Directiebeoordeling; toets of het beleid wordt uitgevoerd.
  • Business Continuïteit plan; inrichten en testen.
  • Wet- en regelgeving; omgaan met beveiligingsrisico’s en datalekken.
Onderdelen van de ISO 27001 norm

Uw managementsysteem bevat alle maatregelen die uw organisatie heeft genomen op het gebied van informatiebeveiliging. 
Onderwerpen van de norm welke in het managementsysteem worden opgenomen zijn: 

  • Context organisatie: context, verwachtingen, stakeholders, managementsysteem. 
  • Leiderschap: betrokkenheid, beleid, verantwoordelijkheden.  
  • Planning: risicoanalyse, doelen, verbetermaatregelen.  
  • Ondersteuning: middelen, competentie, bewustzijn, communicatie, documentatie. 
  • Uitvoering: operationele planning, behandelen operationele risico’s.  
  • Evaluatie: monitoren, meten, analyseren, evalueren, interne audit, review.  
  • Verbetering: oplossen afwijkingen, corrigerende maatregelen. 


Technische en organisatorische maatregelen
Daarnaast kent de ISO 27001-norm een uitgebreide lijst met eisen welke zijn beschreven in het addendum. Hierbij gaat het om concrete maatregelen die u moet nemen op het gebied van informatiebeveiligingsbeleid, planning en organisatie, logische en fysieke toegangsbeveiliging, encryptie, screening personeel, communicatiebeveiliging, bedrijfscontinuïteit, leveranciersrelaties, etc.  

Wij helpen u stap voor stap tijdens het gehele inrichtingsproces en zorgen ervoor dat uw ISMS voldoet aan de eisen uit de norm en aan de relevante wetgeving zoals bijvoorbeeld de AVG Privacy wetgeving. 


Externe audit

Nadat we samen met u het ISMS hebben ingericht en getest, zal een gekwalificeerd assessor van een certificerende instelling de opzet en werking van uw ISMS controleren. Een ISO-audit bestaat uit twee onderdelen te weten, 

  1. de beoordeling op volledigheid en juistheid van de documentatie, gevolgd door 
  2. een aantal interviews waarbij de auditor de werking van het ISMS beoordeelt. 

De ISO-auditor kijkt daarbij zowel naar het verleden als naar de toekomst. ISO is immers gericht op continue verbetering via de PDCA-cyclus. Na een positieve audit ontvangt u een ISO-certificaat dat drie jaar geldig is. Jaarlijks vinden er tussentijdse audits plaats. 

image description

Meer weten over informatiebeveiliging? Wij helpen u graag.