ISO 27001: De internationale standaard voor informatiebeveiliging
ISO 27001 is de meest gebruikte norm ter wereld voor informatiebeveiliging. Wie ISO 27001 gecertificeerd is, laat zien dat hij informatie systematisch beschermt op de drie kernpijlers: vertrouwelijkheid, integriteit en beschikbaarheid. Geen eenmalig project, maar een doorlopend managementsysteem (ISMS) dat meebeweegt met de organisatie.
Voor steeds meer organisaties is ISO 27001 geen keuze meer, maar een voorwaarde. Klanten vragen erom, aanbestedingen eisen het, en in sommige sectoren is het de facto de standaard.
Voor wie is ISO27001 relevant?
1.
Organisaties die werken met gevoelige klant- of bedrijfsinformatie.
2.
IT-dienstverleners en SaaS-bedrijven die hun klanten willen aantonen dat security op orde is.
3.
Bedrijven die aanbestedingen willen winnen waarin ISO 27001 als eis staat.
4.
Organisaties die werken met persoonsgegevens en hun AVG-naleving willen ondersteunen met een erkend kader.
5.
Bedrijven die onder NIS2 (CBW) vallen en een gestructureerde basis voor cybersecurity nodig hebben.
De route naar certificering
ISO 27001 vraagt om een Information Security Management System (ISMS): een geheel van beleid, processen, rollen en maatregelen om informatie te beschermen. De norm bestaat uit twee delen.
De kern van ISO 27001: op basis van je risicoanalyse bepaal je welke maatregelen nodig zijn, je voert ze in en blijft toetsen of het werkt. Een externe certificatie-instelling controleert dat jaarlijks.
-
Hier staan de eisen voor het managementsysteem zelf: context bepalen, leiderschap, planning, ondersteuning, uitvoering, evaluatie en verbetering. De Plan-Do-Check-Act-cyclus die ervoor zorgt dat het systeem blijft werken. Deze structuur is gelijk met vele andere ISO-normen.
-
Een referentielijst van 93 mogelijke beheersmaatregelen, verdeeld over vier thema's: organisatorische, mensgerichte, fysieke en technologische maatregelen. Welke maatregelen je toepast, hangt af van je risico's. Niet alle 93 zijn voor iedereen relevant.
Hoe helpt Rethink bij ISO 27001?
Wij begeleiden organisaties van de eerste oriëntatie tot en met certificering, volgens ons vijf-fasenmodel. Een ISO 27001-implementatietraject loopt typisch door de eerste vier fasen, met een doorlooptijd van zes tot twaalf maanden afhankelijk van scope en omvang.
Na certificering kunnen we ook het beheer overnemen via onze CISO- of Security Officer-rol. Zo blijft het managementsysteem ook na de externe audit werken zoals het bedoeld is.
Veelgestelde vragen
-
Een typisch traject duurt zes tot twaalf maanden, afhankelijk van de omvang en complexiteit van je organisatie. Kleine organisaties met een eenduidig proces kunnen sneller, organisaties met meerdere vestigingen of complexe IT-omgevingen hebben vaak meer tijd nodig.ere
-
ISO 27001 is de norm waarop je gecertificeerd kunt worden. Die bevat de eisen voor het managementsysteem. ISO 27002 is een richtlijn die beheersmaatregelen uit Annex A van ISO 27001 verder toelicht. Je certificeert dus tegen 27001 en gebruikt 27002 als naslagwerk.
-
Nee. Welke maatregelen je toepast, bepaal je op basis van je risicoanalyse. Voor elke maatregel die je niet toepast, leg je uit waarom dat verantwoord is. Dat leg je vast in de Verklaring van Toepasselijkheid (VvT).
-
Het eerste jaar is de certificeringsaudit. Daarna zijn er jaarlijkse tussentijdse audits (surveillance audits) en elke drie jaar een hercertificeringsaudit.
-
Ja, en dat raden we vaak aan. ISO 27001 combineert goed met NEN 7510 (zorg), ISO 9001 (kwaliteit), ISO 27701 (privacy) en ISAE 3402 of SOC 2. Eén integraal managementsysteem dat aan meerdere normen voldoet scheelt overlap en dubbel werk.
10+ Jaar
ervaring
Expertise
Menselijk &
pragmatisch
Geperfectioneerde aanpak
Bij 100+
organisaties
Bewezen succes
Klaar om te beginnen?
Een eerste gesprek kost je niks. We brengen je specifieke situatie in kaart, geven een eerlijk beeld van wat erbij komt kijken en of wij de juiste partij zijn. Geen verkooppraatje, gewoon een open gesprek.
