ISO 27001-certificering van de informatiebeveiliging door een vrouw met een laptop in een serverruimte

Behaal je ISO 27001 met DQS Nederland

Til de informatiebeveiliging van uw bedrijf naar een hoger niveau met ISO 27001
Uw aanvraag


Informatiebeveiliging met een managementsysteem

Het onderwerp "Informatiebeveiliging" wordt steeds urgenter voor bedrijven in hun digitale transformatie. Zonder voldoende veiligheidsmaatregelen bestaat het risico van gegevensverlies en gegevensdiefstal door hackers, van bedrijfsstoringen als gevolg van aanvallen via het web of misbruik van gegevens. Een optie voor een gestructureerde aanpak is een Information Security Management System (ISMS) volgens ISO 27001.

Aantoonbare gegevens- en informatiebeveiliging

Informatiebeveiliging als onderdeel van de bedrijfscultuur

Effectieve implementatie van een risicobeheerproces

Voortdurende verbetering van uw informatiebeveiligingsniveau

Business10.png

Wat is ISO 27001?

ISO/IEC 27001 is de internationale norm voor de implementatie van een managementsysteem voor informatiebeveiliging. De norm richt zich op het invoeren van best practises omtrent informatieveiliging. Dit zowel voor bedrijfskritische data, persoonsgegevens als de data die u eventueel voor uw klanten verwerkt.  De beveiliging van data moet vandaag aanzien worden als een belangrijk strategisch element.

Informatie omringt ons overal en maakt deel uit van elk proces. Soms is die informatie onbeduidend, maar al te vaak is ze kritisch en vertrouwelijk. Om dit belangrijke onderscheid voor uw organisatie te kunnen maken, is het noodzakelijk informatie te classificeren. De technische en organisatorische maatregelen van een Information Security Management System (ISMS) volgens ISO/IEC 27001 zijn namelijk gebaseerd op deze classificatie.

Een ISMS schept het kader voor de bescherming van operationele gegevens en de vertrouwelijkheid ervan. Uw organisatie is beter gewapend tegen mogelijke cyberaanvallen net omwille van de implementatie van de 93 controlepunten van de Annex A van de ISO 27001-norm. In deze context geeft de ISO 27001-certificering een sterk signaal af aan de markt: namelijk dat een onafhankelijke externe evaluatie de doeltreffendheid van uw ISMS bevestigt.

Meer tonen
Minder tonen
SEO19.png

Voor wie is een certificering volgens ISO 27001 geschikt?

De ISMS-norm ISO 27001 is wereldwijd van toepassing. Het biedt bedrijven van alle groottes en sectoren een kader voor het plannen, implementeren en bewaken van hun informatiebeveiliging. De eisen zijn toepasbaar en gelden voor private en overheidsbedrijven, evenals voor non-profitorganisaties.

In Europa bijvoorbeeld moeten bedrijven die tot een sector met kritieke infrastructuur (NIS) behoren en een drempel overschrijden, aantonen hoe zij hun informatiebeveiliging waarborgen. NIS-sectoren zijn onder meer energie, water, gezondheid, financiën en verzekeringen, levensmiddelen, vervoer en verkeer, informatietechnologie en telecommunicatie. Het bewijs van de implementatie kan worden geleverd door middel van beveiligingsaudits, tests of certificeringen. Voor dit doel kunnen erkende normen zoals ISO 27001 worden gebruikt als basis voor audits.

Meer tonen
Minder tonen
Business11.png

Wat maakt de ISO 27001-norm nuttig voor mijn bedrijf?

De invoering van een ISMS volgens ISO/IEC 27001 is een strategische beslissing voor uw bedrijf. Het voldoen aan de eisen van de norm moet aansluiten bij de specifieke situatie van het bedrijf. De implementatie in het bedrijf hangt af van de behoeften en doelen, de beveiligingseisen en de organisatorische processen, alsmede van de omvang en structuur van het bedrijf.

Naast het op het managementsysteem gerichte deel van de eisen (hoofdstukken 4 tot en met 10) bevat de ISO-norm een uitgebreide lijst van 35 doelen (controls) met 93 concrete technische en organisatorische maatregelen, verdeeld over 4 domeinen. Deze domeinen zijn organisatorische maatregelen, maatregelen gericht op de mens, fysieke maatregelen en technische maatregelen. 

Het is bewezen dat het consequent afstemmen van bedrijfsprocessen op ISO 27001 tot een aantal voordelen leidt:

  • Voortdurende verbetering van het informatiebeveiligingsniveau
  • Vermindering van bestaande cyberrisico's
  • Naleving van compliance-vereisten
  • Groter bewustzijn onder werknemers
  • Hoger vertrouwen van de klant in uw databeveiliging
  • Minder tijd besteden aan het invullen ellenlange vragenlijsten

Interne audits en managementbeoordelingen met deelname van het topmanagement zijn de interne hefbomen om dit te bereiken.

Bijkomende positieve aspecten zijn dat belanghebbende partijen zoals toezichthoudende instanties, verzekeringsmaatschappijen, banken en partnerbedrijven een groter vertrouwen in uw bedrijf opbouwen. Een gecertificeerd managementsysteem geeft immers aan dat uw organisatie op een gestructureerde manier met risico's omgaat en streeft naar continue verbetering (CIP) op het gebied van informatiebeveiliging. 

 

Meer tonen
Minder tonen
Business12.png

De link tussen wetgeving en ISO 27001

In de digitale wereld van vandaag speelt informatiebeveiliging een cruciale rol in het beschermen van persoonlijke gegevens. Verschillende wetgevingen zijn opgesteld om organisaties te verplichten om technische en organisatorische maatregelen te nemen om deze gegevens te beschermen:

GDPR
De belangrijkste wetgeving van de laatste jaren was ongetwijfeld de GDPR-wetgeving. Hierin wordt expliciet gesproken over de verplichting voor zowel de data controller als data processor om de nodige technische en organisatorische maatregelen te nemen om de persoonsgegevens die men verwerkt de nodige bescherming te geven. Dit was voor Europa de eerste stap in een meer aanwezig cyber- en databeveiligingsbeleid. Een ISO 27001-certificering legt een goede basis voor de vereiste informatiebeveiliging.

NIS
De NIS-wetgeving die uitbaters van een kritische infrastructuur in de sectoren energie, water, gezondheid, financiën en verzekeringen, levensmiddelen, vervoer en verkeer, informatietechnologie en telecommunicatie een minimum beveiligingsniveau oplgety. Hier is de ISO 27001 de standaard die wordt gehanteerd aangevuld met de sectorspecifieke eisen. 

NIS-2
Daar waar NIS gericht is op de nationale publieke instanties, is er met NIS-2 een volgende stap gezet om ook de privébedrijven te verplichten een minimum niveau van cyberbeveiliging te implementeren. Hier is ISO 27001 een ideale basis om op een structurele manier informatiebeveiliging te garanderen.

Digital Services Act
De DSA heeft tot doel om de online markt te versterken door het creëren van een level playing field voor digitale diensten en het beschermen van de rechten van gebruikers. De DSA is bedoeld om de online markt transparanter te maken en om te zorgen dat digitale diensten en platforms verantwoordelijkheid nemen voor de content die ze aanbieden.

In de context van de DSA kan een organisatie die digitale diensten aanbiedt gebruik maken van ISO 27001 als richtlijn voor het implementeren van een ISMS en het beheersen van informatiebeveiligingsrisico's. De DSA stelt eisen aan de verantwoordelijkheden van digitale diensten en platforms ten aanzien van de beveiliging van persoonlijke gegevens en het naleven van wet- en regelgeving op het gebied van informatiebeveiliging. Als een organisatie voldoet aan de eisen van ISO 27001, kan dit helpen om aan deze verantwoordelijkheden te voldoen.

Meer tonen
Minder tonen
Business6.png

Hoelang is een ISO 27001-certificaat geldig?

Een ISO 27001-certificaat is 3 jaar geldig. In deze 3 jaar heb je een initiële audit in jaar 1 en een periodieke audit in jaar 2 en 3. In jaar 4 is er dan een hercertificatieaudit en begint er een nieuwe cyclus van drie jaar.

Wie mag certificering volgens ISO 27001 uitvoeren?

Om een managementsysteem voor informatiebeveiliging te kunnen certificeren, moet de betreffende certificeringsinstantie zelf geaccrediteerd zijn volgens ISO/IEC 17021 en ISO/IEC 27006. ISO/IEC 17021 regelt onderwerpen die verband houden met conformiteitsbeoordeling, in het bijzonder eisen voor certificatie-instellingen die managementsystemen auditen en certificeren.

Daarnaast legt ISO/IEC 27006 strenge eisen vast waaraan certificatie-instellingen moeten voldoen om een ISMS volgens ISO 27001 te certificeren.

Deze omvatten:

  • Bewijs van gespecificeerde auditinspanning
  • Eisen voor de kwalificatie van auditors.

DQS is geaccrediteerd door de nationale Duitse accreditatie-instantie DakkS (Deutsche Akkreditierungsstelle GmbH) en daarom bevoegd om audits en certificeringen uit te voeren volgens ISO 27001.

Ongeacht de branche waarin uw bedrijf actief is, kunt u vertrouwen op de onderscheidende expertise van de auditoren van DQS. Zij hebben vele jaren ervaring in het beoordelen van informatiebeveiligingsmanagementsystemen in verschillende bedrijfstakken.

Meer tonen
Minder tonen
Business28.png

Hoe werkt ISO 27001-certificering?

Zodra alle vereisten van ISO 27001 zijn geïmplementeerd, kunt u uw managementsysteem laten certificeren. U doorloopt bij DQS een certificeringsproces dat uit meerdere fasen bestaat. Als er al een gecertificeerd managementsysteem in het bedrijf aanwezig is, kan het proces verkort worden.

In de eerste stap bespreekt u met ons uw bedrijf en de doelstellingen van ISO 27001-certificering. Op basis hiervan ontvangt u een gedetailleerde offerte die is afgestemd op de individuele behoeften van uw bedrijf.

Een projectplanningsbijeenkomst kan nuttig zijn voor grotere projecten, bijvoorbeeld om agenda's en de uitvoering van audits met meerdere locaties of divisies beter op elkaar af te stemmen. De pre-audit biedt u de mogelijkheid om de sterke punten en het potentieel voor verbetering van uw managementsysteem vooraf te identificeren. Beide diensten zijn optioneel.

De certificatieaudit begint met de systeemanalyse en evaluatie van uw ISMS (auditfase 1). Hier bepaalt de auditor of uw managementsysteem voldoende ontwikkeld is en klaar is voor certificatie. In de volgende stap (systeemaudit fase 2) beoordeelt uw auditor de doeltreffendheid van alle beheerprocessen ter plaatse, waarbij hij de ISO 27001-norm toetst. Het resultaat van de audit wordt gepresenteerd tijdens een slotbijeenkomst. In het geval van afwijkingen moeten actieplannen overeengekomen worden.

Na de certificeringsaudit worden de resultaten geëvalueerd door de onafhankelijke certificeringscommissie van DQS. Als aan alle normeisen is voldaan, ontvangt u het ISO 27001-certificaat.

Na succesvolle certificering worden de belangrijkste onderdelen van uw ISMS ten minste eenmaal per jaar opnieuw ter plaatse geaudit om voortdurende verbetering te garanderen.

Het ISO 27001-certificaat is maximaal drie jaar geldig. Hercertificering wordt tijdig voor het verstrijken van de geldigheidsduur uitgevoerd om ervoor te zorgen dat aan de vereiste normelementen wordt voldaan. Wanneer aan de eisen is voldaan, wordt een nieuw certificaat afgegeven.

Banking13.png

Wat kost een ISO 27001-certificering?

De vier beoordelingscriteria

Hoewel de ISO 27001-audit moet worden uitgevoerd volgens bepaalde specificaties, zijn de kosten afhankelijk van verschillende factoren, zoals de complexiteit van uw organisatie. Daarom is er geen pasklare offerte voor een bepaald bedrijf.

De kosten voor certificering volgens ISO 27001 worden vastgesteld aan de hand van onder meer de volgende vier criteria:

1. De complexiteit van uw beheersysteem voor informatiebeveiliging.

Er wordt rekening gehouden met de kritische waarden (bijvoorbeeld octrooien, persoonsgegevens, faciliteiten, processen) van uw bedrijf. De kosten van certificering zijn voornamelijk gebaseerd op de informatiebeveiligingseisen en de mate waarin de vertrouwelijkheid, integriteit en beschikbaarheid (CIA) van informatie in het geding zijn.

2. De kernactiviteiten van uw bedrijf binnen het toepassingsgebied van het ISMS

Op dit punt spelen met name de risico's van uw bedrijfsprocessen een belangrijke rol bij het bepalen van de noodzakelijke auditinspanning. Er wordt rekening gehouden met wettelijke eisen, maar ook met complexe, individuele eisen van klanten.

3. De belangrijkste technologieën en componenten die in uw ISMS worden gebruikt

Tijdens de audit worden zowel de technologie als de afzonderlijke componenten van uw ISMS onderzocht. Daartoe behoren IT-platformen, servers, databases, applicaties en netwerksegmenten. De basisregel hier is: Hoe hoger het aandeel van standaardsystemen en hoe lager de complexiteit van uw IT, hoe lager de inspanning. De kosten van een ISO 27001-certificering zijn hier ook van afhankelijk.

4 Het aandeel van interne ontwikkelingen in uw ISMS

Als er geen interne ontwikkeling is en u voornamelijk gestandaardiseerde softwareplatforms gebruikt, is de inspanning van een assessment lager. Wordt uw ISMS gekenmerkt door intensief gebruik van zelfontwikkelde software en wordt deze software gebruikt voor centrale bedrijfsonderdelen, dan zal de inspanning voor certificering hoger zijn.

Om u een overzicht te kunnen geven van de kosten voor een ISMS-certificering, hebben wij vooraf nauwkeurige informatie nodig over uw bedrijfsmodel en het toepassingsgebied. Op deze manier kunnen wij u een op maat gemaakte offerte toesturen.

Meer tonen
Minder tonen
Business2.png

Wat u van ons kunt verwachten

  • Meer dan 35 jaar ervaring in de certificering van managementsystemen en -processen
  • De auditoren en experts zijn sectorspecialisten met een sterke technische kennis
  • Audits met toegevoegde waarde voor uw bedrijf
  • Certificaten met internationale aanvaarding
  • Expertise en accreditaties voor alle relevante normen
  • Persoonlijke, vlotte ondersteuning door onze specialisten - regionaal, nationaal en internationaal
  • Individuele aanbiedingen met flexibele contractvoorwaarden en geen verborgen kosten

Offerteaanvraag

Uw lokale contactpersoon

"Wij maken graag een offerte op maat voor de ISO 27001-certificering van uw ISMS."

Uw aanvraag

Hebt u vragen?

Wij zijn er voor u.
Neem contact met ons op