Industrie 4.0, de zogenaamde vierde industriële revolutie, staat voor intelligente netwerken van ontwikkeling, productie, logistiek en klanten. Het vertegenwoordigt een veelheid aan informatie en gegevens die vaak van existentiële waarde zijn voor organisaties. De bescherming van hun beschikbaarheid, integriteit en vertrouwelijkheid is een centrale taak. Informatiebeveiliging omvat alle maatregelen die helpen om zich bewust te worden van bestaande risico's, deze te identificeren en passende en geschikte maatregelen te nemen om ze te beschermen.
Door onvoldoende beveiliging van de informatieverwerking lijdt alleen al de Duitse economie jaarlijks miljarden euro's schade. De redenen hiervoor zijn complex en variëren van externe verstoringen, technische fouten, industriële spionage tot misbruik van informatie door voormalige werknemers. Maar alleen wie de uitdagingen onderkent, kan ook passende maatregelen nemen. Een goed gestructureerd managementsysteem voor informatiebeveiliging volgens de internationaal erkende ISO 27001-norm is een optimale basis voor de effectieve implementatie van een holistische beveiligingsstrategie. Wat houdt dit precies in en waar moet rekening mee worden gehouden? Hier vindt u antwoorden op belangrijke vragen over ISO 27001.
INHOUD
- Wat is informatiebeveiliging?
- Wat zijn de beschermingsdoelen van informatiebeveiliging?
- Wat is een managementsysteem voor informatiebeveiliging?
- Voor welke organisaties is ISO 27001 nuttig?
- Wat zijn de voordelen van een managementsysteem voor informatiebeveiliging?
- Wat is de rol van mensen?
- ISO 27001 - vragen over de inleiding
- Waarom ISO 27001 certificering?
- DQS - wat wij voor u kunnen doen
Wat is informatiebeveiliging?
Het antwoord op deze vraag is vrij eenvoudig in termen van de internationale familie van normen voor informatiebeveiliging ISO 2700x:
"Informatie is data die van waarde is voor de organisatie."
ISO/IEC 27000:2020-06: Informatietechnologie - Beveiligingstechnieken - Beheersystemen voor informatiebeveiliging - Overzicht en vocabulaire.
U ziet, informatie is een bedrijfsmiddel dat niet in handen mag vallen van onbevoegden en dat passende bescherming vereist.
Informatiebeveiliging is dus alles wat te maken heeft met de bescherming van het informatievermogen van uw onderneming. De doorslaggevende factor daarbij is zich bewust te zijn van de risico's die er in de context van de onderneming bestaan, of deze risico's aan het licht te brengen en ze met passende, op de behoeften afgestemde maatregelen tegen te gaan.
"Informatiebeveiliging is geen IT-beveiliging"
IT-beveiliging heeft alleen betrekking op de beveiliging van de ingezette technologie en niet op de te beschermen bedrijfsmiddelen. Organisatorische overwegingen, bijvoorbeeld toegangsbevoegdheden, verantwoordelijkheden of goedkeuringsprocedures, alsmede psychologische aspecten, spelen eveneens een essentiële rol bij informatiebeveiliging. Veilige IT beschermt echter ook de informatie in het bedrijf.
Wat zijn de beschermingsdoelstellingen van informatiebeveiliging?
Volgens de internationale norm ISO/IEC 27001 bestaan de beschermingsdoelstellingen voor informatiebeveiliging uit drie hoofdaspecten:
- Vertrouwelijkheid - bescherming van vertrouwelijke informatie tegen ongeoorloofde toegang, hetzij om redenen van gegevensbeschermingswetgeving, hetzij op basis van handelsgeheimen die vallen onder bijvoorbeeld een Trade Secrets Act. Het is het niveau van vertrouwelijkheid dat hier van belang is.
- Integriteit - het minimaliseren van eventuele risico's, het zorgen voor volledigheid en betrouwbaarheid van alle gegevens en informatie.
- Beschikbaarheid - het waarborgen van toegang en bruikbaarheid voor geautoriseerde toegang tot informatie, gebouwen en systemen. Dit is essentieel voor de instandhouding van processen.
Gecertificeerde informatiebeveiliging volgens ISO 27001
Bescherm uw informatie met een managementsysteem dat voldoet aan internationale normen ✓ DQS biedt meer dan 35 jaar ervaring in certificering ✓
- Ontdek meer op de product pagina van ISO 27001
Belangrijke vragen over informatiebeveiliging
- Wat zijn de waarden van mijn bedrijf?
- Welke bedrijfswaarden moeten worden beschermd?
- Aan welke aanvallen staan de bedrijfsmiddelen bloot?
- Wie heeft belang bij de bescherming van deze informatie?
- Wat zijn passende maatregelen?
Wat is een managementsysteem voor informatiebeveiliging?
Een managementsysteem voor informatiebeveiliging (Information Security Management System, ISMS) volgens ISO/IEC 27001 definieert richtlijnen, regels en methoden om de beveiliging van informatie die het beschermen waard is in een organisatie te waarborgen. Het biedt een model voor de invoering, implementatie, bewaking en verbetering van het beschermingsniveau - volgens de systematische procedure van de PDCA-cyclus (Plan-Do-Check-Act) die we kennen van ISO 9001.
Het doel is potentiële risico's te identificeren en te analyseren en ze beheersbaar te maken door middel van passende maatregelen.
Waardevolle kennis
De nieuwe ISO 27001:2022 brengt veel veranderingen met zich mee
In de 45 minuten durende opname van ons webinar "What's changing with the new ISO/IEC 27001:2022" krijgt u informatie over de essentiële vereisten van de nieuwe norm, wijzigingen in de Annex A maatregelen en data en deadlines voor de overgang.
- Voor meer informatie en om de opname te bekijken.
Waarom is informatiebeveiligingsmanagement belangrijk?
Succesvolle organisaties maken gebruik van de structuur en transparantie van moderne managementsystemen om bedreigingen op te sporen en de inzet van eigentijdse beveiligingssystemen doelgericht te maken. De kern van een managementsysteem voor informatiebeveiliging is de beveiliging van uw eigen informatiemiddelen, zoals intellectuele eigendom, financiële en personeelsgegevens, maar ook informatie die u door klanten of derden is toevertrouwd.
"Informatiebeveiliging betekent altijd het beschermen van belangrijke informatie of gegevens van waarde."
De risico's waaraan de te beschermen gegevens worden blootgesteld, zijn talrijk. Zij kunnen het gevolg zijn van materiële, menselijke en technische bedreigingen voor de veiligheid. Maar alleen een holistische, preventieve managementsysteembenadering van een ISMS kan het hele spectrum van bedreigingen aanpakken en de bedrijfscontinuïteit van een bedrijf waarborgen.
Voor welke organisaties is ISO 27001 nuttig?
Het antwoord op die vraag is heel eenvoudig: voor iedereen. ISO 27001 kan in principe in alle organisaties worden toegepast, ongeacht hun type, omvang en bedrijfstak. En: alle organisaties profiteren van de voordelen van een gestructureerd managementsysteem. De implementatie van een ISMS wordt beïnvloed door de volgende factoren:
- De eisen en bedrijfsdoelstellingen
- De beveiligingsbehoeften
- De toegepaste bedrijfsprocessen
- De omvang en structuur van de organisatie
Wat zijn de voordelen van een managementsysteem voor informatiebeveiliging?
Een belangrijke vraag. ISO 27001 formuleert de eisen voor het systematisch ontwerpen en implementeren van een procesgericht managementsysteem voor informatiebeveiliging. Door deze holistische aanpak kunnen doorslaggevende voordelen worden behaald:
- De beveiliging van gevoelige informatie wordt een integraal onderdeel van de processen van de onderneming
- Preventieve waarborging van de beschermingsdoelen vertrouwelijkheid, beschikbaarheid en integriteit van informatie
- Behoud van bedrijfscontinuïteit door voortdurende verbetering van het beveiligingsniveau
- Sensibilisering van werknemers en aanzienlijk verhoogd veiligheidsbewustzijn op alle niveaus van de onderneming
- Invoering van een doeltreffend risicomanagementproces
- Opbouwen van vertrouwen met belanghebbende partijen (bijv. aanbestedingen) door aantoonbaar veilig omgaan met gevoelige informatie
- Naleving van relevante compliance-eisen, meer zekerheid van handelen en rechtszekerheid
Hoe kunnen potentiële risico's worden beheerd?
Beveiligingsrisico's kunnen voortvloeien uit materiële, menselijke en technische bedreigingen. Om een traceerbaar en passend beveiligingsniveau in de organisatie te bereiken, is een welomschreven risicobeheerproces of -methode voor risicobeoordeling, risicobehandeling en risicobewaking vereist. ISO/IEC 27005 biedt een goede leidraad voor risicomanagement op het gebied van informatiebeveiliging.
Welke rol spelen mensen?
Mensen zijn ook een risicofactor, omdat de omgang met gevoelige informatie zonder uitzondering alle werknemers en partners van een bedrijf aangaat. Zij vormen een verhoogd veiligheidsrisico, hetzij door onwetendheid, hetzij door menselijke fouten. Maar slechts weinig organisaties regelen wie toegang mag krijgen tot welke informatie, en hoe daarmee moet worden omgegaan.
"De nieuwe bron van macht is niet langer geld in handen van enkelen, maar informatie in handen van velen." John Naisbitt, *1929, Amerikaan. Futuroloog
Bindende regelgeving en een uitgesproken bewustzijn van alle zorgen op het gebied van informatiebeveiliging zijn daarom een basisvoorwaarde. De aanpassing van het bedrijfsbeleid of de ontwikkeling van een passend informatiebeveiligingsbeleid wordt hierbij als essentieel beschouwd. De noodzakelijke sensibilisering van medewerkers op alle (management)niveaus is een zaak van de baas en kan bijvoorbeeld plaatsvinden door middel van trainingen, workshops of persoonlijke gesprekken.
Leestip: Informatiebeveiligingsincidenten: medewerkers als succesfactor
ISO 27001 - implementatievragen
De vraag of een bedrijf al een managementsysteem moet hebben ingevoerd, bijvoorbeeld volgens ISO 9001, kan duidelijk met "nee" worden beantwoord. ISO 27001 is een generieke norm en staat - zoals alle normen voor managementsystemen - op zichzelf. Dit betekent dat een organisatie op elk moment en onafhankelijk van bestaande structuren een managementsysteem voor informatiebeveiliging kan opzetten en implementeren.
Niettemin hebben bedrijven die beschikken over een kwaliteitsmanagementsysteem volgens ISO 9001 al een goede basis gelegd voor de stapsgewijze invoering van alomvattende informatiebeveiliging.
ISO 27001 is qua structuur en aanpak gebaseerd op de verplichte basisstructuur voor alle procesgerichte managementsysteemnormen, de High Level Structure. Dit biedt u bijgevolg de mogelijkheid om een beheersysteem voor informatiebeveiliging gemakkelijk te integreren in een reeds bestaand managementsysteem. Ook een gezamenlijke certificering volgens ISO 27001 met ISO 20000-1 (IT Service Management) of ISO 22301 (Business Continuity Management) door DQS is mogelijk.
Welke documenten kunnen de invoering ondersteunen?
De basis voor de invoering van een holistisch managementsysteem voor informatiebeveiliging is bij voorkeur de internationale normfamilie ISO/IEC 2700x. Deze is bedoeld om organisaties van alle soorten en maten te ondersteunen bij de invoering en het beheer van een ISMS. De mate van implementatie binnen de organisatie kan worden gecontroleerd door middel van een interne audit.
Handige onderdelen van de normenreeks zijn
- ISO/IEC 27000:2018: Informatietechnologie - Beveiligingstechnieken - Managementsystemen voor informatiebeveiliging - Overzicht en vocabulaire
- ISO/IEC 27001:2013: Informatietechnologie - Beveiligingstechnieken - Managementsystemen voor informatiebeveiliging - Eisen (De nieuwe versie van deze standaard werd gepubliceerd in oktober 2022, meer informatie volgt)
- ISO/IEC 27002-02 - Informatiebeveiliging, cyberveiligheid en privacybescherming - Informatiebeveiligingscontroles. ISO 27002 definieert een brede catalogus van algemene beveiligingsmaatregelen die zijn ontworpen om organisaties te helpen de eisen in bijlage A van ISO 27001 uit te voeren.
- ISO/IEC 27003:2017: Informatietechnologie - Beveiligingstechnieken - Managementsystemen voor informatiebeveiliging - Richtlijnen
- ISO/IEC 27004-2016: Informatietechnologie - Beveiligingstechnieken - Informatiebeveiligingsmanagement - Monitoring, meting, analyse en evaluatie
- ISO/IEC 27005:2018: Informatietechnologie - Beveiligingstechnieken - Risicomanagement van informatiebeveiliging
Alle normen zijn beschikbaar op de website van ISO.
ISO 27001 - vragen over de Chief Information Security Officer
Is er voor ISO 27001 een CISO nodig? Het antwoord is "ja".
Een van de taken binnen het managementsysteem voor informatiebeveiliging is de benoeming van een CISO door het topmanagement. De CISO is de contactpersoon voor alle IT-beveiligingskwesties. Hij of zij moet worden geïntegreerd in alle ISMS-processen en nauw samenwerken met de IT-managers - bijvoorbeeld bij de selectie van nieuwe IT-componenten en IT-toepassingen.
ISO 27001 in de praktijk
De DQS Audit Guide (gebaseerd op ISO 27001:2013)Profiteer van goede audit vragen en mogelijk bewijsmateriaal over geselecteerde controles uit bijlage A.Opgesteld door experten.
Het is meer dan alleen een checklist. Download nu
Waarom ISO 27001-certificering?
Certificering op basis van een geaccrediteerde procedure is het bewijs dat een managementsysteem en maatregelen zijn geïmplementeerd om informatiemiddelen systematisch te beschermen. Met het ISO 27001 certificaat laat u "zwart op wit" zien dat u dit systeem met succes hebt opgezet en dat u zich inzet voor de continue verbetering ervan.
Het DQS-certificaat, dat wereldwijd wordt gewaardeerd, is de zichtbare uitdrukking van een neutrale beoordeling en versterkt het vertrouwen in uw bedrijf. Dit is een marktvoordeel en biedt een goede voorwaarde bij aanbestedingen en beveiligingskritische klantenbusiness, zoals financiële dienstverleners.
ISO 27001 - vragen over het certificeringsproces
Alle managementsystemen die op basis van internationale regels (ISO 17021) worden beoordeeld door een geaccrediteerde certificatie-instelling zoals DQS, doorlopen hetzelfde certificatieproces.
De initiële certificatie bestaat uit de systeemanalyse (fase 1-audit) en de systeemaudit (fase 2-audit), waarbij de auditors ter plaatse controleren of het algemene systeem goed functioneert en of alle eisen zijn geïmplementeerd. Het certificaat is vervolgens drie jaar geldig.
Om de geldigheid gedurende de hele periode te kunnen garanderen, moet het managementsysteem jaarlijks worden geverifieerd. In het eerste en tweede jaar na afgifte van het certificaat voeren DQS-auditors daarom verkorte ISMS-audits uit (periodieke audits), waarbij zij bijvoorbeeld kijken naar de effectiviteit van belangrijke systeemonderdelen of van corrigerende maatregelen. De her-certificering vindt dan na drie jaar plaats.
Bedrijven die al een bestaand managementsysteem hebben, moeten hun auditprogramma's combineren en een gezamenlijke certificering van hun geïntegreerd managementsysteem (Integrated Management System, IMS) aanvragen.
Is matrixcertificering mogelijk?
Matrixcertificering is mogelijk voor bedrijven met meerdere vestigingen. In principe gelden voor ISO 27001 dezelfde eisen als voor andere ISO-normen, zoals ISO 9001 of ISO 14001. DQS kan zorgen voor de integratie van ISO 27001 in bestaande matrixprocedures, d.w.z. het gezamenlijke externe auditeren met de andere normen.
Wat zijn de voordelen van ISO 27001 ten opzichte van TISAX?
TISAX® (Trusted Information Security Assessment Exchange) werd ontwikkeld als een industriestandaard specifiek voor de automobielindustrie en afgestemd op de industriespecifieke behoeften. De basis voor een TISAX® assessment is de VDA Information Security Assessment (VDA ISA) testcatalogus, die onder andere is gebaseerd op de eisen van ISO 27001 of ISO 27002 en deze uitbreidt met onderwerpen zoals prototypebescherming of gegevensbescherming.
Meer waardevolle kennis vindt u op onze TISAX® productpagina.
Het doel van TISAX® is om uitgebreide (informatie)beveiliging te garanderen voor alle stadia in de toeleveringsketen. Bovendien vereenvoudigt registratie in een database de wederzijdse erkenningsprocedure. TISAX® wordt echter alleen erkend in de automobielindustrie. Klanten uit andere bedrijfstakken erkennen mogelijk alleen ISO 27001 als bewijs van een ISMS.
DQS - wat wij voor u kunnen doen
DQS is uw specialist voor audits en certificeringen voor managementsystemen en -processen. Met meer dan 35 jaar ervaring en de knowhow van 2.500 auditors wereldwijd, zijn wij uw competente certificatiepartner en bieden wij antwoorden op alle ISO 27001-vragen.
Wij auditeren volgens zo'n 200 erkende normen en voorschriften en volgens normen die specifiek zijn voor bedrijven en verenigingen. Wij waren de eerste Duitse certificatie-instelling die in december 2000 een accreditatie ontving voor BS 7799-2, de voorganger van ISO/IEC 27001. Deze expertise is nog steeds een uiting van ons wereldwijde succesverhaal.
Wij beantwoorden graag uw vragen
Hoeveel werk moet u verrichten om uw ISMS gecertificeerd te krijgen volgens ISO 27001? Laat u gratis en vrijblijvend informeren.
Wij verheugen ons op een gesprek met u.