Informatiebeveiliging van een managementsysteem
Aantoonbare gegevens- en informatiebeveiliging
Informatiebeveiliging als onderdeel van de bedrijfscultuur
Effectieve implementatie van een risicobeheerproces
Voortdurende verbetering van uw informatiebeveiligingsniveau

Wat is ISO 27001?
Informatie omringt ons overal en maakt deel uit van elk proces. Soms is die informatie onbeduidend, maar al te vaak is ze kritisch en vertrouwelijk. Om dit belangrijke onderscheid voor uw organisatie te kunnen maken, is het noodzakelijk informatie te classificeren. De technische en organisatorische maatregelen van een Information Security Management System (ISMS) volgens ISO/IEC 27001 zijn namelijk gebaseerd op deze classificatie.
Een ISMS schept het kader voor de bescherming van operationele gegevens en de vertrouwelijkheid ervan. Uw organisatie is beter gewapend tegen mogelijke cyberaanvallen net door de implementatie van de 93 controlepunten van de Annex A van de ISO 27001-norm. In deze context geeft de ISO 27001-certificering een sterk signaal af aan de markt: namelijk dat een onafhankelijke externe evaluatie de doeltreffendheid van uw ISMS bevestigt.
Meer informatie over de norm kan gevonden worden op de website van ISO of op de website van het Nationaal Bureau voor Normalisatie.

Voor wie is een ISO 27001-certificering geschikt in België?
Een ISO 27001-certificaat kan helpen om conform te zijn met bepaalde wetgevingen.
In Europa bijvoorbeeld moeten bedrijven die tot een sector met kritieke infrastructuur (NIS) behoren en een drempel overschrijden, aantonen hoe zij hun informatiebeveiliging waarborgen. NIS-sectoren zijn onder meer energie, water, gezondheid, financiën en verzekeringen, levensmiddelen, vervoer en verkeer, informatietechnologie en telecommunicatie. Het bewijs van de implementatie kan worden geleverd door middel van beveiligingsaudits, tests of certificeringen. Erkende normen zoals ISO 27001 kunnen gebruikt worden als basis voor deze audits.

Waarom ISO 27001?
Naast het op het managementsysteem gerichte deel van de eisen (hoofdstukken 4 tot en met 10) bevat de ISO-norm een uitgebreide lijst van 35 doelen (controls) met 93 concrete technische en organisatorische maatregelen, verdeeld over 4 domeinen. Deze domeinen zijn organisatorische maatregelen, maatregelen gericht op de mens, fysieke maatregelen en technische maatregelen.
Het is bewezen dat het consequent afstemmen van bedrijfsprocessen op ISO 27001 tot een aantal voordelen leidt:
- Voortdurende verbetering van het informatiebeveiligingsniveau
- Vermindering van bestaande cyberrisico's
- Naleving van compliance-vereisten
- Groter bewustzijn onder werknemers
- Hoger vertrouwen van de klant in uw databeveiliging
- Minder tijd besteden aan het invullen ellenlange vragenlijsten
Interne audits en managementbeoordelingen met deelname van het topmanagement zijn de interne hefbomen om dit te bereiken.
Bijkomende positieve aspecten zijn dat belanghebbende partijen zoals toezichthoudende instanties, verzekeringsmaatschappijen, banken en partnerbedrijven een groter vertrouwen in uw bedrijf opbouwen. Een gecertificeerd managementsysteem geeft namelijk aan dat uw organisatie op een gestructureerde manier met risico's omgaat en streeft naar continue verbetering (CIP) op het gebied van informatiebeveiliging.

De link tussen wetgeving en ISO 27001
NISDe NIS-wetgeving die uitbaters van een kritische infrastructuur in de sectoren energie, water, gezondheid, financiën en verzekeringen, levensmiddelen, vervoer en verkeer, informatietechnologie en telecommunicatie een minimum beveiligingsniveau oplegt. ISO 27001 is de standaard die hiervoor gehanteerd wordt, aangevuld met de sectorspecifieke eisen.
NIS-2Daar waar NIS gericht is op de nationale publieke instanties, is er met NIS-2 een volgende stap gezet om ook de privébedrijven te verplichten een minimum niveau van cyberbeveiliging te implementeren. Hier is ISO 27001 een ideale basis om op een structurele manier informatiebeveiliging te garanderen.
Digital Services ActDe DSA heeft tot doel om de online markt te versterken door het creëren van een level playing field voor digitale diensten en het beschermen van de rechten van gebruikers. De DSA is bedoeld om de online markt transparanter te maken en om te zorgen dat digitale diensten en platforms verantwoordelijkheid nemen voor de content die ze aanbieden.
In de context van de DSA kan een organisatie die digitale diensten aanbiedt gebruik maken van ISO 27001 als richtlijn voor het implementeren van een ISMS en het beheersen van informatiebeveiligingsrisico's. De DSA stelt eisen aan de verantwoordelijkheden van digitale diensten en platforms ten aanzien van de beveiliging van persoonlijke gegevens en het naleven van wet- en regelgeving op het gebied van informatiebeveiliging. Als een organisatie voldoet aan de eisen van ISO 27001, kan dit helpen om aan deze verantwoordelijkheden te voldoen.

Hoelang is een ISO 27001-certificaat geldig in België?

Wie mag een certificering volgens ISO 27001 uitvoeren?
Daarnaast legt ISO/IEC 27006 strenge eisen vast waaraan certificatie-instellingen moeten voldoen om een ISMS volgens ISO 27001 te certificeren.
Deze omvatten:
- Bewijs van gespecificeerde auditinspanning
- Eisen voor de kwalificatie van auditors.
DQS is geaccrediteerd door de nationale Duitse accreditatie-instantie DakkS (Deutsche Akkreditierungsstelle GmbH) en daarom bevoegd om audits en certificeringen uit te voeren volgens ISO 27001.
Ongeacht de branche waarin uw bedrijf actief is, kunt u vertrouwen op de onderscheidende expertise van de auditoren van DQS België. Zij hebben vele jaren ervaring in het beoordelen van informatiebeveiligingsmanagementsystemen in verschillende bedrijfstakken.

Hoe verloopt het ISO 27001 audit proces?
Zodra alle vereisten van ISO 27001 zijn geïmplementeerd, kunt u uw managementsysteem laten certificeren. U doorloopt bij DQS een certificeringsproces dat uit meerdere fasen bestaat. Als er al een gecertificeerd managementsysteem in het bedrijf aanwezig is, kan het proces verkort worden.
In de eerste stap bespreekt u met ons uw bedrijf en de doelstellingen van ISO 27001-certificering. Op basis hiervan ontvangt u een gedetailleerde offerte die is afgestemd op de individuele behoeften van uw bedrijf.
De certificatieaudit begint met de systeemanalyse en evaluatie van uw ISMS (auditfase 1). Hier bepaalt de auditor of uw managementsysteem voldoende ontwikkeld is en klaar is voor certificatie. In de volgende stap (systeemaudit fase 2) beoordeelt uw auditor de doeltreffendheid van alle beheerprocessen ter plaatse, waarbij hij de ISO 27001-norm toetst. Het resultaat van de audit wordt gepresenteerd tijdens een slotbijeenkomst. In het geval van afwijkingen moeten actieplannen overeengekomen worden.
Na de certificeringsaudit worden de resultaten geëvalueerd door de onafhankelijke certificeringscommissie van DQS. Als aan alle normeisen is voldaan, ontvangt u het ISO 27001-certificaat.
Na succesvolle certificering worden de belangrijkste onderdelen van uw ISMS tenminste eenmaal per jaar opnieuw ter plaatse geaudit om voortdurende verbetering te garanderen.
Het ISO 27001-certificaat is maximaal drie jaar geldig. Een hercertificering wordt tijdig voor het verstrijken van de geldigheidsduur uitgevoerd om ervoor te zorgen dat aan de vereiste normelementen wordt voldaan. Wanneer aan de eisen is voldaan, wordt een nieuw certificaat afgegeven.

Hoeveel kost een ISO 27001-certificering in België?
De kosten voor certificering volgens ISO 27001 worden vastgesteld aan de hand van onder meer de volgende vijf criteria:
1. De complexiteit van uw managementsysteem voor informatiebeveiliging.
Er wordt rekening gehouden met de gevoeligheid van de data (bijvoorbeeld octrooien, persoonsgegevens, faciliteiten, processen) van uw bedrijf.
2. De kernactiviteiten van uw bedrijf binnen het toepassingsgebied van het ISMS
Op dit punt spelen met name de risico's van uw bedrijfsprocessen een belangrijke rol bij het bepalen van de noodzakelijke auditinspanning. Er wordt rekening gehouden met wettelijke eisen, maar ook met complexe, individuele eisen van klanten.
3. De belangrijkste technologieën en componenten die in uw ISMS worden gebruikt
Tijdens de audit worden zowel de technologie als de afzonderlijke componenten van uw ISMS onderzocht. Daartoe behoren IT-platformen, servers, databases, applicaties en netwerksegmenten. De basisregel hier is: hoe hoger het aandeel van standaardsystemen en hoe lager de complexiteit van uw IT, hoe lager de inspanning. De kosten van een ISO 27001-certificering zijn hier ook van afhankelijk.
4 Het aandeel van softwareontwikkelingen in uw ISMS
Als er geen softwareontwikkeling is en u voornamelijk gestandaardiseerde softwareplatforms gebruikt, is de inspanning van een assessment lager. Wordt uw ISMS gekenmerkt door intensief gebruik van zelfontwikkelde software en wordt deze software gebruikt voor centrale kritische bedrijfsprocessen of is het uw eindproduct, dan zal de inspanning voor certificering hoger zijn.
5 Het aantal medewerkers
Ten slotte is ook het aantal medewerkers van belang, hoe meer medewerkers uw bedrijf telt hoe meer mensen de auditor moet interviewen om een relevante steekproef te kunnen hebben.
Om u een overzicht te kunnen geven van de kosten voor een ISMS-certificering, hebben wij vooraf nauwkeurige informatie nodig over uw bedrijfsmodel en het toepassingsgebied. Op deze manier kunnen wij u een op maat gemaakte offerte toesturen.
