Aantoonbare gegevens- en informatiebeveiliging
Informatiebeveiliging als onderdeel van de bedrijfscultuur
Effectieve implementatie van een risicobeheerproces
Voortdurende verbetering van uw informatiebeveiligingsniveau
Informatie omringt ons overal en maakt deel uit van elk proces. Soms is die informatie onbeduidend, maar al te vaak is ze kritisch en vertrouwelijk. Om dit belangrijke onderscheid voor uw organisatie te kunnen maken, is het noodzakelijk informatie te classificeren. De technische en organisatorische maatregelen van een Information Security Management System (ISMS) volgens ISO/IEC 27001 zijn namelijk gebaseerd op deze classificatie.
Een ISMS schept het kader voor de bescherming van operationele gegevens en de vertrouwelijkheid ervan. Uw organisatie is beter gewapend tegen mogelijke cyberaanvallen net omwille van de implementatie van de 93 controlepunten van de Annex A van de ISO 27001-norm. In deze context geeft de ISO 27001-certificering een sterk signaal af aan de markt: namelijk dat een onafhankelijke externe evaluatie de doeltreffendheid van uw ISMS bevestigt.
In Europa bijvoorbeeld moeten bedrijven die tot een sector met kritieke infrastructuur (NIS) behoren en een drempel overschrijden, aantonen hoe zij hun informatiebeveiliging waarborgen. NIS-sectoren zijn onder meer energie, water, gezondheid, financiën en verzekeringen, levensmiddelen, vervoer en verkeer, informatietechnologie en telecommunicatie. Het bewijs van de implementatie kan worden geleverd door middel van beveiligingsaudits, tests of certificeringen. Voor dit doel kunnen erkende normen zoals ISO 27001 worden gebruikt als basis voor audits.
Naast het op het managementsysteem gerichte deel van de eisen (hoofdstukken 4 tot en met 10) bevat de ISO-norm een uitgebreide lijst van 35 doelen (controls) met 93 concrete technische en organisatorische maatregelen, verdeeld over 4 domeinen. Deze domeinen zijn organisatorische maatregelen, maatregelen gericht op de mens, fysieke maatregelen en technische maatregelen.
Het is bewezen dat het consequent afstemmen van bedrijfsprocessen op ISO 27001 tot een aantal voordelen leidt:
Interne audits en managementbeoordelingen met deelname van het topmanagement zijn de interne hefbomen om dit te bereiken.
Bijkomende positieve aspecten zijn dat belanghebbende partijen zoals toezichthoudende instanties, verzekeringsmaatschappijen, banken en partnerbedrijven een groter vertrouwen in uw bedrijf opbouwen. Een gecertificeerd managementsysteem geeft immers aan dat uw organisatie op een gestructureerde manier met risico's omgaat en streeft naar continue verbetering (CIP) op het gebied van informatiebeveiliging.
NISDe NIS-wetgeving die uitbaters van een kritische infrastructuur in de sectoren energie, water, gezondheid, financiën en verzekeringen, levensmiddelen, vervoer en verkeer, informatietechnologie en telecommunicatie een minimum beveiligingsniveau oplgety. Hier is de ISO 27001 de standaard die wordt gehanteerd aangevuld met de sectorspecifieke eisen.
NIS-2Daar waar NIS gericht is op de nationale publieke instanties, is er met NIS-2 een volgende stap gezet om ook de privébedrijven te verplichten een minimum niveau van cyberbeveiliging te implementeren. Hier is ISO 27001 een ideale basis om op een structurele manier informatiebeveiliging te garanderen.
Digital Services ActDe DSA heeft tot doel om de online markt te versterken door het creëren van een level playing field voor digitale diensten en het beschermen van de rechten van gebruikers. De DSA is bedoeld om de online markt transparanter te maken en om te zorgen dat digitale diensten en platforms verantwoordelijkheid nemen voor de content die ze aanbieden.
In de context van de DSA kan een organisatie die digitale diensten aanbiedt gebruik maken van ISO 27001 als richtlijn voor het implementeren van een ISMS en het beheersen van informatiebeveiligingsrisico's. De DSA stelt eisen aan de verantwoordelijkheden van digitale diensten en platforms ten aanzien van de beveiliging van persoonlijke gegevens en het naleven van wet- en regelgeving op het gebied van informatiebeveiliging. Als een organisatie voldoet aan de eisen van ISO 27001, kan dit helpen om aan deze verantwoordelijkheden te voldoen.
Daarnaast legt ISO/IEC 27006 strenge eisen vast waaraan certificatie-instellingen moeten voldoen om een ISMS volgens ISO 27001 te certificeren.
Deze omvatten:
DQS is geaccrediteerd door de nationale Duitse accreditatie-instantie DakkS (Deutsche Akkreditierungsstelle GmbH) en daarom bevoegd om audits en certificeringen uit te voeren volgens ISO 27001.
Ongeacht de branche waarin uw bedrijf actief is, kunt u vertrouwen op de onderscheidende expertise van de auditoren van DQS. Zij hebben vele jaren ervaring in het beoordelen van informatiebeveiligingsmanagementsystemen in verschillende bedrijfstakken.
Zodra alle vereisten van ISO 27001 zijn geïmplementeerd, kunt u uw managementsysteem laten certificeren. U doorloopt bij DQS een certificeringsproces dat uit meerdere fasen bestaat. Als er al een gecertificeerd managementsysteem in het bedrijf aanwezig is, kan het proces verkort worden.
In de eerste stap bespreekt u met ons uw bedrijf en de doelstellingen van ISO 27001-certificering. Op basis hiervan ontvangt u een gedetailleerde offerte die is afgestemd op de individuele behoeften van uw bedrijf.
De certificatieaudit begint met de systeemanalyse en evaluatie van uw ISMS (auditfase 1). Hier bepaalt de auditor of uw managementsysteem voldoende ontwikkeld is en klaar is voor certificatie. In de volgende stap (systeemaudit fase 2) beoordeelt uw auditor de doeltreffendheid van alle beheerprocessen ter plaatse, waarbij hij de ISO 27001-norm toetst. Het resultaat van de audit wordt gepresenteerd tijdens een slotbijeenkomst. In het geval van afwijkingen moeten actieplannen overeengekomen worden.
Na de certificeringsaudit worden de resultaten geëvalueerd door de onafhankelijke certificeringscommissie van DQS. Als aan alle normeisen is voldaan, ontvangt u het ISO 27001-certificaat.
Na succesvolle certificering worden de belangrijkste onderdelen van uw ISMS ten minste eenmaal per jaar opnieuw ter plaatse geaudit om voortdurende verbetering te garanderen.
Het ISO 27001-certificaat is maximaal drie jaar geldig. Hercertificering wordt tijdig voor het verstrijken van de geldigheidsduur uitgevoerd om ervoor te zorgen dat aan de vereiste normelementen wordt voldaan. Wanneer aan de eisen is voldaan, wordt een nieuw certificaat afgegeven.
De kosten voor certificering volgens ISO 27001 worden vastgesteld aan de hand van onder meer de volgende vier criteria:
1. De complexiteit van uw beheersysteem voor informatiebeveiliging.
Er wordt rekening gehouden met de kritische waarden (bijvoorbeeld octrooien, persoonsgegevens, faciliteiten, processen) van uw bedrijf. De kosten van certificering zijn voornamelijk gebaseerd op de informatiebeveiligingseisen en de mate waarin de vertrouwelijkheid, integriteit en beschikbaarheid (CIA) van informatie in het geding zijn.
2. De kernactiviteiten van uw bedrijf binnen het toepassingsgebied van het ISMS
Op dit punt spelen met name de risico's van uw bedrijfsprocessen een belangrijke rol bij het bepalen van de noodzakelijke auditinspanning. Er wordt rekening gehouden met wettelijke eisen, maar ook met complexe, individuele eisen van klanten.
3. De belangrijkste technologieën en componenten die in uw ISMS worden gebruikt
Tijdens de audit worden zowel de technologie als de afzonderlijke componenten van uw ISMS onderzocht. Daartoe behoren IT-platformen, servers, databases, applicaties en netwerksegmenten. De basisregel hier is: Hoe hoger het aandeel van standaardsystemen en hoe lager de complexiteit van uw IT, hoe lager de inspanning. De kosten van een ISO 27001-certificering zijn hier ook van afhankelijk.
4 Het aandeel van interne ontwikkelingen in uw ISMS
Als er geen interne ontwikkeling is en u voornamelijk gestandaardiseerde softwareplatforms gebruikt, is de inspanning van een assessment lager. Wordt uw ISMS gekenmerkt door intensief gebruik van zelfontwikkelde software en wordt deze software gebruikt voor centrale bedrijfsonderdelen, dan zal de inspanning voor certificering hoger zijn.
Om u een overzicht te kunnen geven van de kosten voor een ISMS-certificering, hebben wij vooraf nauwkeurige informatie nodig over uw bedrijfsmodel en het toepassingsgebied. Op deze manier kunnen wij u een op maat gemaakte offerte toesturen.
