Informatiebeveiliging met een managementsysteem

Het onderwerp "Informatiebeveiliging" wordt steeds urgenter voor bedrijven in hun digitale transformatie. Zonder voldoende veiligheidsmaatregelen bestaat het risico van gegevensverlies en gegevensdiefstal door hackers, van bedrijfsstoringen als gevolg van aanvallen via het web of misbruik van gegevens. Een optie voor een gestructureerde aanpak is een Information Security Management System (ISMS) volgens ISO 27001.

Aantoonbare gegevens- en informatiebeveiliging

Beveiliging als onderdeel van de bedrijfscultuur

Effectieve implementatie van een risicobeheerproces

Voortdurende verbetering van uw beveiligingsniveau

Business10.png
Loading...

Wat is ISO 27001?

ISO/IEC 27001 is de toonaangevende internationale norm voor de implementatie van een holistisch managementsysteem voor informatiebeveiliging. De norm richt zich op het identificeren, beoordelen en beheren van risico's voor informatieverwerkende processen. De beveiliging van vertrouwelijke informatie wordt benadrukt als een belangrijk strategisch element.

Informatie omringt ons overal en maakt deel uit van elk proces. Soms is die informatie onbeduidend, maar al te vaak is ze kritisch en vertrouwelijk. Om dit belangrijke onderscheid voor uw organisatie te kunnen maken, is het noodzakelijk informatie te classificeren. De beschermende maatregelen van een Information Security Management System (ISMS) volgens ISO/IEC 27001 zijn namelijk gebaseerd op deze classificatie.

Een ISMS schept het kader voor de bescherming van operationele gegevens en de vertrouwelijkheid ervan. Tegelijkertijd waarborgt de wereldwijd erkende norm de beschikbaarheid van de IT-systemen die betrokken zijn bij bedrijfsprocessen. In deze context geeft de ISO 27001-certificering een sterk signaal af aan de markt: namelijk een onafhankelijke externe evaluatie en bevestiging van de doeltreffendheid van uw ISMS.

Met EN ISO/IEC 27001:2017-06 is een door het Europees Comité voor Normalisatie (CEN) gecoördineerde versie gepubliceerd. Deze combineert de twee correcties (corrigenda) Cor 1:2014 en Cor 2:2015. De wijzigingen die samenhangen met de correctie omvatten alleen een verbeterde beschrijving van de bijbehorende eisen, maar geen nieuwe, aanvullende eisen. Certificaten volgens de versie ISO/IEC 27001:2013 behouden dus hun geldigheid.

Meer tonen
Minder tonen
SEO19.png
Loading...

Voor wie is een certificering volgens ISO 27001 geschikt?

De ISMS-norm ISO 27001 is wereldwijd van toepassing. Het biedt bedrijven van alle groottes en sectoren een kader voor het plannen, implementeren en bewaken van hun informatiebeveiliging. De eisen zijn toepasbaar en gelden voor private en overheidsbedrijven, evenals voor non-profitorganisaties.

In Europa bijvoorbeeld moeten bedrijven die tot een sector met kritieke infrastructuur (NIS) behoren en een drempel overschrijden, aantonen hoe zij hun informatiebeveiliging waarborgen. NIS-sectoren zijn onder meer energie, water, gezondheid, financiën en verzekeringen, levensmiddelen, vervoer en verkeer, informatietechnologie en telecommunicatie. Het bewijs van de implementatie kan worden geleverd door middel van beveiligingsaudits, tests of certificeringen. Voor dit doel kunnen erkende normen zoals ISO 27001 worden gebruikt als basis voor audits.

Meer tonen
Minder tonen
Business11.png
Loading...

Wat maakt de ISO 27001-norm nuttig voor mijn bedrijf?

De invoering van een ISMS volgens ISO/IEC 27001 is een strategische beslissing voor uw bedrijf. Het voldoen aan de eisen van de norm moet aansluiten bij de specifieke situatie van het bedrijf. De implementatie in het bedrijf hangt af van de behoeften en doelen, de beveiligingseisen en de organisatorische processen, alsmede van de omvang en structuur van het bedrijf.

Bijzonder waardevol voor de praktijk is de implementatie van de maatregelen in bijlage A van de norm. Naast het op het managementsysteem gerichte deel van de eisen (hoofdstukken 4 tot en met 10) bevat de ISO-norm een uitgebreide lijst van 35 doelen (controls) met 114 concrete maatregelen voor een grote verscheidenheid aan veiligheidsaspecten, verdeeld over 14 hoofdstukken in bijlage A. De maatregelen moeten worden geïmplementeerd als onderdeel van het managementsysteem, voor zover ze relevant zijn voor uw bedrijf.

Het is bewezen dat het consequent afstemmen van bedrijfsprocessen op ISO 27001 tot een aantal voordelen leidt:

  • Voortdurende verbetering van het beveiligingsniveau
  • Vermindering van bestaande risico's
  • Naleving van compliance-vereisten
  • Groter bewustzijn onder werknemers
  • Grotere klanttevredenheid

Interne audits en managementbeoordelingen met deelname van het topmanagement zijn de interne hefbomen om dit te bereiken.

Andere positieve aspecten zijn dat belanghebbende partijen zoals toezichthoudende instanties, verzekeringsmaatschappijen, banken en partnerbedrijven een groter vertrouwen in uw bedrijf opbouwen. Een gecertificeerd managementsysteem geeft immers aan dat uw organisatie op een gestructureerde manier met risico's omgaat en continue verbetering (CIP) onderschrijft, waardoor ze beter bestand is tegen ongewenste invloeden.

 

Meer tonen
Minder tonen
Business36.png
Loading...

Wie mag certificering volgens ISO 27001 uitvoeren?

Om een managementsysteem voor informatiebeveiliging te kunnen certificeren, moet de betreffende certificeringsinstantie zelf geaccrediteerd zijn volgens ISO/IEC 17021 en ISO/IEC 27006. ISO/IEC 17021 regelt onderwerpen die verband houden met conformiteitsbeoordeling, in het bijzonder eisen voor certificatie-instellingen die managementsystemen auditen en certificeren.

Daarnaast legt ISO/IEC 27006 strenge eisen vast waaraan certificatie-instellingen moeten voldoen om een ISMS volgens ISO 27001 te certificeren.

Deze omvatten:

  • Bewijs van gespecificeerde auditinspanning
  • Eisen voor de kwalificatie van auditors.

DQS is geaccrediteerd door de nationale Duitse accreditatie-instantie DakkS (Deutsche Akkreditierungsstelle GmbH) en daarom bevoegd om audits en certificeringen uit te voeren volgens ISO 27001.

Ongeacht de branche waarin uw bedrijf actief is, kunt u vertrouwen op de onderscheidende expertise van de auditoren van DQS. Zij hebben vele jaren ervaring in het beoordelen van informatiebeveiligingsmanagementsystemen in verschillende bedrijfstakken.

Meer tonen
Minder tonen
Business28.png
Loading...

Hoe werkt ISO 27001-certificering?

Zodra alle vereisten van ISO 27001 zijn geïmplementeerd, kunt u uw managementsysteem laten certificeren. U doorloopt bij DQS een certificeringsproces dat uit meerdere fasen bestaat. Als er al een gecertificeerd managementsysteem in het bedrijf aanwezig is, kan het proces verkort worden.

In de eerste stap bespreekt u met ons uw bedrijf en de doelstellingen van ISO 27001-certificering. Op basis hiervan ontvangt u een gedetailleerde offerte die is afgestemd op de individuele behoeften van uw bedrijf.

Een projectplanningsbijeenkomst kan nuttig zijn voor grotere projecten, bijvoorbeeld om agenda's en de uitvoering van audits met meerdere locaties of divisies beter op elkaar af te stemmen. De pre-audit biedt u de mogelijkheid om de sterke punten en het potentieel voor verbetering van uw managementsysteem vooraf te identificeren. Beide diensten zijn optioneel.

De certificatieaudit begint met de systeemanalyse en evaluatie van uw ISMS (auditfase 1). Hier bepaalt de auditor of uw managementsysteem voldoende ontwikkeld is en klaar is voor certificatie. In de volgende stap (systeemaudit fase 2) beoordeelt uw auditor de doeltreffendheid van alle beheerprocessen ter plaatse, waarbij hij de ISO 27001-norm toetst. Het resultaat van de audit wordt gepresenteerd tijdens een slotbijeenkomst. In het geval van afwijkingen moeten actieplannen overeengekomen worden.

Na de certificeringsaudit worden de resultaten geëvalueerd door de onafhankelijke certificeringscommissie van DQS. Als aan alle normeisen is voldaan, ontvangt u het ISO 27001-certificaat.

Na succesvolle certificering worden de belangrijkste onderdelen van uw ISMS ten minste eenmaal per jaar opnieuw ter plaatse geaudit om voortdurende verbetering te garanderen.

Het ISO 27001-certificaat is maximaal drie jaar geldig. Hercertificering wordt tijdig voor het verstrijken van de geldigheidsduur uitgevoerd om ervoor te zorgen dat aan de vereiste normelementen wordt voldaan. Wanneer aan de eisen is voldaan, wordt een nieuw certificaat afgegeven.

Banking13.png
Loading...

Wat kost een ISO 27001-certificering?

De vier beoordelingscriteria

Hoewel de ISO 27001-audit moet worden uitgevoerd volgens bepaalde specificaties, zijn de kosten afhankelijk van verschillende factoren, zoals de complexiteit van uw organisatie. Daarom is er geen pasklare offerte voor een bepaald bedrijf.

De kosten voor certificering volgens ISO 27001 worden vastgesteld aan de hand van onder meer de volgende vier criteria:

1. De complexiteit van uw beheersysteem voor informatiebeveiliging.

Er wordt rekening gehouden met de kritische waarden (bijvoorbeeld octrooien, persoonsgegevens, faciliteiten, processen) van uw bedrijf. De kosten van certificering zijn voornamelijk gebaseerd op de informatiebeveiligingseisen en de mate waarin de vertrouwelijkheid, integriteit en beschikbaarheid (CIA) van informatie in het geding zijn.

2. De kernactiviteiten van uw bedrijf binnen het toepassingsgebied van het ISMS

Op dit punt spelen met name de risico's van uw bedrijfsprocessen een belangrijke rol bij het bepalen van de noodzakelijke auditinspanning. Er wordt rekening gehouden met wettelijke eisen, maar ook met complexe, individuele eisen van klanten.

3. De belangrijkste technologieën en componenten die in uw ISMS worden gebruikt

Tijdens de audit worden zowel de technologie als de afzonderlijke componenten van uw ISMS onderzocht. Daartoe behoren IT-platformen, servers, databases, applicaties en netwerksegmenten. De basisregel hier is: Hoe hoger het aandeel van standaardsystemen en hoe lager de complexiteit van uw IT, hoe lager de inspanning. De kosten van een ISO 27001-certificering zijn hier ook van afhankelijk.

4 Het aandeel van interne ontwikkelingen in uw ISMS

Als er geen interne ontwikkeling is en u voornamelijk gestandaardiseerde softwareplatforms gebruikt, is de inspanning van een assessment lager. Wordt uw ISMS gekenmerkt door intensief gebruik van zelfontwikkelde software en wordt deze software gebruikt voor centrale bedrijfsonderdelen, dan zal de inspanning voor certificering hoger zijn.

Om u een overzicht te kunnen geven van de kosten voor een ISMS-certificering, hebben wij vooraf nauwkeurige informatie nodig over uw bedrijfsmodel en het toepassingsgebied. Op deze manier kunnen wij u een op maat gemaakte offerte toesturen.

Meer tonen
Minder tonen
Business2.png
Loading...

Wat u van ons kunt verwachten

  • Meer dan 35 jaar ervaring in de certificering van managementsystemen en -processen
  • De auditoren en experts zijn sectorspecialisten met een sterke technische kennis
  • Audits met toegevoegde waarde voor uw bedrijf
  • Certificaten met internationale aanvaarding
  • Expertise en accreditaties voor alle relevante normen
  • Persoonlijke, vlotte ondersteuning door onze specialisten - regionaal, nationaal en internationaal
  • Individuele aanbiedingen met flexibele contractvoorwaarden en geen verborgen kosten
Loading...

Offerteaanvraag

Uw lokale contactpersoon

"Wij maken graag een offerte op maat voor de ISO 27001-certificering van uw ISMS."