Home » Nieuws » Nut en noodzaak van de ISO27001 certificering

Nut en noodzaak van de ISO27001 certificering

Ga direct naar de training ISO27001 Foundation.

Informatiebeveiliging staat in de belangstelling!

Vrijwel dagelijks bereiken ons berichten over situaties van ongewenste lekken, hacks, data gijzelingen etcetera. De gevolgen hiervan voor de desbetreffende organisatie en relaties daar waar het om persoonlijke gegevens gaat zijn groot.

De AVG wetgeving versterkt de focus door verplicht te stellen dat datalekken met persoonsgegevens gemeld worden. Boetes op overtredingen van de AVG wetgeving zijn dusdanig hoog dat deze zeker de media halen.

Genoeg reden om al het mogelijke te doen om dit te voorkomen! Hoewel de kosten van informatiebeveiliging als hoog worden ervaren, vallen deze in het niet bij de kosten van een daadwerkelijke lek, hack, gijzeling, diefstal, inbraak en ander ongemak op het gebied van informatiebeveiliging.

ISO27001 ISMS

Het inrichten van een Information Security Management System (ISMS) is een eerste stap om IB gestructureerd in te richten en in te bedden in de organisatie. Met een goed werkend ISMS neemt het risico op een informatiebeveiligingsincident aanzienlijk af. Als dit toch optreedt, weten organisaties direct hoe te handelen om zodoende de schade te beperken.

Voordelen van het ISO27001 certificaat

Door het ingerichte ISMS te laten toetsen aan de NEN-EN-ISO/IEC 27001:2017 normen, weet een organisatie zeker dat zij niets vergeten. Met een ISO27001 gecertificeerd ISMS toont een organisatie aan dat het ISMS voldoet aan de minimale eisen op het gebied van informatiebeveiliging.
Met het certificaat tonen organisaties aan partners en afnemers dat vertrouwelijke informatie veilig is bij hen. Het ISO27001 certificaat biedt om deze reden tevens voordelen bij acquisitie trajecten.

Steeds meer organisaties gaan ertoe over om van hun leveranciers te eisen dat ze voldoen aan eisen rondom de IB. Dat geldt zeker voor overheidsorganisaties die in steeds meer gevallen een ISO27001 certificering eisen van hun leveranciers. Vaak komt deze certificering als knock-out criterium terug in aanbestedingen.

Al met al is in hoog tempo een verschuiving waar te nemen van het hebben van een ISO27001 certificaat als onderscheidende factor naar een ISO27001 certificaat als ‘license to operate’.

Inrichten ISO27001 certificeerbaar ISMS

Ook zonder een formeel ingericht ISMS doen organisaties al veel aan IB. Organisaties maken een dagelijkse backup van hun data, stellen regels op voor medewerkers hoe om te gaan met vertrouwelijke informatie, informatiesystemen hebben een persoonlijk wachtwoord etcetera. Het is dan ook niet nodig om vanuit niets te beginnen bij het inrichten van het ISMS. Echter doordat werkzaamheden vaak gebaseerd zijn op pragmatiek en organisch zijn gegroeid, ontbreken vaak (policy) beschrijvingen en aantoonbare bewijslast.

Elke organisatie is anders en in die zin uniek. Dat geldt ook voor de inrichting van een ISMS. Toch kunnen de volgende stappen onderkend worden die op elke inrichting van toepassing zijn:
• Vaststellen scope, beleid en context
• Analyse van informatiebronnen en systemen, uitvoeren nulmeting
• Selecteren van het risicomodel en opstellen van de risicobeheerstrategie
• Implementeren maatregelen voor de onderkende risico’s
• Creëren en vergroten betrokkenheid onder medewerkers
• Implementeren interne controles (interne audits)
• Opstellen operationele planning van terugkerende activiteiten
• Organiseren externe certificering inclusief voorbereiding
• Opstellen beheersmaatregelen conform de Plan-Do-Check-Act cyclus van het ISMS voor de jaarlijkse (controle)audits

Hoewel in bovenstaande stappen een zekere volgordelijkheid zit, kunnen en zullen diverse stappen ook parallel aan elkaar plaatsvinden. Van toepassing op alle stappen: beoordeel in hoeverre de AVG wetgeving relevant is voor de desbetreffende stap.

Aandachtspunten en valkuilen ISO27001 ISMS

Ervaring leert dat bij het inrichten enkele aandachtspunten en valkuilen regelmatig terugkomen:
• Informatiebeveiliging gaat niet alleen over digitale informatie, het betreft ook hard copies en informatie op bijvoorbeeld white boards
• Informatiebeveiliging is GEEN feestje voor alleen de IT-afdeling, het betreft iedereen in (en buiten) de organisatie die toegang heeft tot informatie, deze leest, bewerkt, bewaart en verplaatst
• Het management is actief betrokken bij IB. Zij heeft een voorbeeldfunctie, geeft sturing aan het IB-beleid en de uitvoering daarvan en beoordeelt regelmatig het ISMS.

Voor wie is een ISO27001 ISMS?

Elke organisatie zou zich regelmatig de volgende twee vragen moeten stellen:
1. Welke informatie (bronnen) heb ik (nodig) voor mijn bedrijfsvoering?
2. Wat zou de invloed zijn op mijn bedrijfsvoering als deze informatie niet meer beschikbaar is, in handen komt van derden of de concurrentie, op straat komt te liggen of niet meer betrouwbaar is?

Indien het antwoord op vraag 2 leidt tot een (ernstige) verstoring van de bedrijfsvoering, dan is het tijd om een ISMS in te richten. Het laten certificeren van het ISMS is de kers op de taart. Het is niet alleen een mooie beloning voor al het werk dat in de inrichting is gaan zitten, het toont naar partners en afnemers aan dat informatiebeveiliging serieus wordt genomen.

De grootte van de organisatie is niet relevant. Ook kleine organisaties voor wie informatiebeveiliging van levensbelang is, moeten een ISMS inrichten. Daarbij is voor kleine organisaties een certificering ook haalbaar. Certificering is zelfs voor kleinere organisaties makkelijker en sneller bereikbaar omdat zij eenvoudiger en met minder maatregelen de beschikbaarheids-, integriteits-, en vertrouwelijkheidsrisico’s kunnen managen.

Ondersteuning door ITMG bij ISO27001 certificering

De eerste keer een eigen ISMS inrichten conform de ISO27001 normen is zonder relevante kennis en ervaring geen sinecure. Het juist interpreteren van de ISO 27001 normen wordt zonder ervaring, kennis en kunde een gok. Idem voor het correct vertalen van dezelfde normen voor de eigen organisatie en weten waar een externe auditor op let.

ITMG heeft consultants die deze kennis, kunde en ervaring hebben en deze hebben ingezet voor verschillende organisaties in de profit-, en non-profit sector.
Deze kennis zet ITMG graag in voor haar relaties als meewerkend consultant of kritisch coach.

Wilt u meer informatie? Neemt u dan vrijblijvend contact op met de IT Management Group!

Eerstvolgende startdata ISO27001 Foundation

_____ _____ _____
_____ _____ _____

Ga naar nieuwsoverzicht