Wat zijn de voordelen van ISO 27001 en waarom is het zo belangrijk?

Bescherm uw gegevens en reputatie ISO 27001-certificering toont aan dat u een systematische, op risico's gebaseerde benadering van informatiebeveiliging hebt ingevoerd die de best practices stimuleert rond: Identificeren van risico's voor informatie- en cyberbeveiliging Risico's analyseren op basis van impact en waarschijnlijkheid Evalueren van risico's en prioriteren wanneer ze worden aangepakt op basis van factoren met betrekking tot uw bedrijf Selecteren van opties voor risicobehandeling Toon aan dat u voldoet aan wet- en regelgeving en contractuele vereisten Om ISO 27001 gecertificeerd te worden, moet u de toepasselijke wetgeving identificeren, zoals de EU GDPR of regelgeving zoals HIPAA. Dit heeft een positieve invloed op risicobeheer en corporate governance en helpt u om compliance aan te tonen en te voldoen aan contractuele vereisten. Concurrentievoordeel Certificering door LRQA geeft klanten en stakeholders het vertrouwen dat beveiligingsrisico's - die betrekking kunnen hebben op IT, mensen, de fysieke omgeving en bedrijfscontinuïteit - adequaat zijn aangepakt om hun informatie te beschermen. ISO 27001-certificering is een duidelijk bewijs van uw bekwaamheid en toont aan dat u werkt in overeenstemming met internationaal erkende best practices.

Hoe verlopen ISO 27001-audits?

ISO 27001-audits volgen dezelfde aanpak als andere op Annex SL gebaseerde managementsystemen. U kunt beginnen met training en gap-analyse, maar het formele proces omvat een audit van het ontwerp van het ISMS (Fase 1) en een audit van de werking ervan (Fase 2). De output van deze audits wordt technisch beoordeeld door een gekwalificeerde, onafhankelijke persoon binnen LRQA om de consistentie en afstemming met onze inzet op de door accreditatie instanties gedefinieerde best practices te waarborgen. Na goedkeuring wordt uw ISO 27001-certificaat afgegeven en begint u aan een driejarige cyclus van toezichtsaudits die leidt tot een verlengingsaudit voor de volgende drie jaar. Toezicht stelt zowel LRQA als uw organisatie in staat om veranderingen te beheren en ervoor te zorgen dat de audits relevant zijn voor de huidige behoeften van de industrie.

Hoelang is het ISO 27001-certificaat geldig?

Na goedkeuring blijft de certificering drie jaar geldig, mits via het toezichtsprogramma effectief systeemonderhoud wordt aangetoond.

Wat staat er in een typisch ISMS toepassingsgebied en verklaring van toepasselijkheid?

Een typische ISMS-verklaring van toepasselijkheid omvat activiteiten in verband met de levering van producten en diensten. Ze hoeft geen interne activiteiten of ISMS-processen te omvatten. Het doel is de lezer te verzekeren dat de informatie die bij de ontvangst van het product of de dienst wordt verstrekt, beschermd is. De verklaring van toepasselijkheid verwijst naar de lijst van geselecteerde controles. Zij bevat geen details van die controles, maar een traceerbare verwijzing naar een controleverklaring die is gebruikt als basis voor de laatste ISO 27001-audit. Soms hebben organisaties een openbare versie die kan worden gedeeld en waarin alleen de uit ISO 27001 Bijlage A geselecteerde controles worden vermeld, maar dit is geen verplichte eis.

Hoeveel kost het om ISO 27001 gecertificeerd te worden?

De kosten zijn gebaseerd op het aantal auditdagen dat betrekking heeft op het aantal werknemers binnen de scope van het ISMS. Het aantal auditdagen wordt gepubliceerd in de accreditatienorm, ISO 27006, en is voor iedereen zichtbaar. Het inschakelen van een geaccrediteerde certificatie-instelling als LRQA garandeert dat u een voorgestelde auditduur krijgt op basis van best practices in de sector, die vergelijkbaar is met alle andere geaccrediteerde certificatie-instellingen. Een organisatie met 100 FTE's kan bijvoorbeeld rekenen op een initiële auditduur (fase 1 + fase 2) van 8 tot 12 dagen, afhankelijk van de sector waarin zij actief zijn, hoe complex hun werkomgeving is, of zij betrokken zijn bij de ontwikkeling van software en of zij beveiliging in het product moeten inbouwen. Het daaropvolgende toezichtprogramma zou 3-4 dagen per jaar duren en de verlenging 6-8 dagen.

Ik heb al ISO 9001. Kan ik die integreren met ISO 27001?

Ja - aangezien zowel ISO 9001 als ISO 27001 zijn gebaseerd op het algemene model voor managementsystemen - Annex SL - kunnen de kernbeheersprocessen worden geoptimaliseerd om te voldoen aan de eisen voor beide normen. Door een systeem te ontwerpen dat aan beide normen voldoet, wordt de doeltreffendheid van het bestuur van de organisatie zelfs verbeterd. Bedrijfsdoelstellingen zoals groei vereisen vaak de ontwikkeling van nieuwe producten, waarbij beveiliging doorgaans wordt beschouwd als een kwaliteitsnorm in overeenstemming met de marktverwachtingen. Integratie kan ook dubbel werk tot een minimum beperken, wat kan leiden tot een verkorting van de audittijd, wat een kosteneffectieve optie is.

Wat is een typisch ISO 27001-certificeringsproces?

De weg die uw organisatie aflegt om de ISO 27001-certificering te behalen, hangt vaak af van het niveau van volwassenheid van uw bedrijf met betrekking tot informatiebeveiliging en breder risicobeheer, naast andere factoren. De meeste bedrijven die nieuw zijn met ISO 27001 volgen het onderstaande proces. Versnel uw ISO 27001-implementatie: Ons aanbod van ISO 27001-trainingen helpt u uw kennis van de norm en de vereisten op te bouwen - zodat u het inzicht en de vaardigheden krijgt om uw managementsysteem te optimaliseren. Beoordeel uw gereedheid: Onze optionele pre-assessment diensten kunnen worden uitgevoerd in de vorm van een Gap-Analyse of Preliminary Assessment. Een van onze deskundige auditors beoordeelt de gereedheid van uw managementsysteem en geeft aan op welke gebieden meer aandacht moet worden besteed voordat u overgaat tot de formele ISO 27001-audit. Fase 1-audit - beoordeling van documenten en planning: Uw auditor beoordeelt het ontwerp en de documentatie van uw systeem om te bepalen of het voldoet aan de eisen van de norm en de voorgestelde reikwijdte van de audit. Dit wordt gevolgd door een interview met de belangrijkste teamleden. In de meeste gevallen wordt de Fase 1 audit op afstand uitgevoerd. Stap 2 Audit - evaluatie van uw implementatie:Tijdens fase 2 evalueert uw auditor de implementatie en effectiviteit van uw ISMS in lijn met de vereisten van ISO 27001. Als er geen belangrijke non-conformiteiten zijn, wordt goedkeuring aanbevolen en ontvangt u uw certificaat. De fase 2-audit kan op afstand of ter plaatse worden uitgevoerd. Promoot uw ISO 27001-certificering: Uw certificering toont aan dat u zich inzet voor internationaal erkende beste praktijken en voortdurende verbetering - dit helpt u nieuwe business te winnen en te voldoen aan de eisen van uw klanten. Jaarlijkse controle-audit - op koers blijven: Uw ISO 27001-certificering verloopt in cycli van drie jaar. Wij voeren jaarlijks toezichtsaudits uit om ervoor te zorgen dat uw managementsysteem effectief blijft, goed wordt onderhouden en voortdurende verbeteringen oplevert. Verlenging van het certificaat: Drie maanden voordat uw certificaat vervalt, voeren we opnieuw een audit uit van de activiteiten van uw organisatie om ervoor te zorgen dat deze blijven voldoen aan de eisen van ISO 27001.

Wat is ISO 27002:2022 en wat is de impact ervan?

De publicatie van ISO 27002:2022 biedt een update van de lijst met controles in ISO 27001 - die dateert uit 2013. De herziene controles weerspiegelen ontwikkelingen met betrekking tot zowel bedreigingen als de huidige best practices, en het verbrede toepassingsgebied van ISO 27002 helpt ervoor te zorgen dat de maatregelen voor risicobeheer breed en effectief zijn. Organisaties kunnen de uitgebreide lijst met controles gebruiken om de risico's die ze hebben geïdentificeerd te behandelen of om potentiële hiaten te ontdekken - zodat ze een stap voor blijven op het complexe en veranderende bedreigingslandschap waarmee bedrijven tegenwoordig worden geconfronteerd.

Is er een nieuwe versie van ISO 27001 in ontwikkeling?

Naar verwachting wordt eind oktober 2022 een nieuwe versie van ISO 27001 gepubliceerd. Deze zal de nieuwe controles bevatten die door ISO 27002:2022 worden geschetst, waardoor organisaties hun risicobeoordeling opnieuw moeten bekijken en moeten bepalen of er nieuwe risicobehandelingen moeten worden geïmplementeerd.

ISO/IEC 27001 (ISMS) CERTIFICERING VOOR INFORMATIEBEVEILIGING

Beveilig uw bedrijfsinformatie met ISO 27001.

Neem contact op ISO 27001 Training

Voor elke organisatie - ongeacht omvang of sector - biedt ISO/IEC 27001 een sterke basis voor een uitgebreide informatie- en cyberbeveiligingsstrategie. De norm schetst een best practice ISMS-raamwerk om risico's te beperken en bedrijfskritische gegevens te beschermen door middel van identificatie, analyse en uitvoerbare controles.

Een geaccrediteerde ISO 27001-certificering toont aan dat u over de processen en controles beschikt om de informatie van uw organisatie - en die van uw klanten - te beschermen tegen een steeds complexer wordende bedreigingslandschap. Bekijk de meest gestelde vragen over de ISO 27001 norm en ons aanbod.

Onze ISO/IEC 27001 diensten

Onze certificerings- en trainingsdiensten kunnen ter plaatse, op afstand of via een hybride aanpak worden geleverd. Dit biedt u flexibiliteit en een servicemodel dat aan uw behoeften voldoet.

Training

Bouw uw kennis van ISO 27001 op met een reeks trainingen die zijn ontworpen voor verschillende ervaringsniveaus - geleverd via meerdere leerstijlen.

Gap Analyse

Een optionele dienst waarbij een van onze deskundige auditors u helpt bij het identificeren van kritieke, risicovolle of zwakke onderdelen van uw ISMS voorafgaand aan uw formele ISO 27001-audit.

Geaccrediteerde certificering

Een onafhankelijk proces in twee fasen dat een duidelijke verklaring van uw capaciteiten biedt - en u helpt vertrouwen op te bouwen bij stakeholders.

Geïntegreerde audits

Als u meerdere managementsystemen hebt ingevoerd, kunt u profiteren van een geïntegreerd audit- en toezichtsaudits dat efficiënter en kosten effectiever is.

Een 360⁰ benadering van informatie- en cyberbeveiliging

Ons diepgaand technisch inzicht en onze expertise, ondersteund door ons uitgebreide portfolio op het gebied van cyberbeveiliging, stelt ons in staat om samen te werken met uw bedrijf - wij helpen u bij het identificeren van de specifieke bedreigingen waarmee u wordt geconfronteerd en bieden vervolgens oplossingen om deze te beperken. Wij kunnen uw systemen certificeren, kwetsbaarheden opsporen en aanvallen en incidenten helpen voorkomen die gevolgen kunnen hebben voor uw merkintegriteit, financiën en operaties.

infosecurity and cyber services from LRQA - 360 view.png

Waarom zou u LRQA kiezen?

Lokale & wereldwijde expertise

Wij zijn overal waar u bent. Met meer dan 300 hooggekwalificeerde auditors en 250 toegewijde cyberbeveiligingsspecialisten wereldwijd kunnen wij een lokale service bieden met een wereldwijd consistente toewijding aan excellentie. Onze mensen zijn technische experts met diepgaande kennis van informatie- en cyberbeveiligingsrisico's, uitdagingen, normen, voorschriften en kaders.

Flexibele levering

In de meeste gevallen kunnen al onze ISO 27001-trainingen en certificeringsdiensten ter plaatse of op afstand worden geleverd met behulp van veilige en beveiligde technologie. Als u kiest voor levering op afstand, ontvangt u dezelfde hoogwaardige service met verschillende extra voordelen, waaronder flexibiliteit, snelle levering en toegang tot wereldwijde expertise.

Geschiedenis van primeurs

Wij waren de eersten die UKAS-accreditatie ontvingen om certificeringsdiensten te leveren voor een reeks normen over de hele wereld. Wij blijven een rol spelen bij de ontwikkeling van een reeks specifieke normen en kaders in verschillende sectoren.

Verder dan compliance

Samen met ons bekroonde cyberbeveiligingsbedrijf Nettitude kunnen wij u helpen om geavanceerde cyberdreigingen een stap voor te blijven met geavanceerde diensten die een eerste verdedigingslinie vormen en reageren op alle dreigingen en kwetsbaarheden.

Veel gestelde vragen

Wat zijn de voordelen van ISO 27001 en waarom is het zo belangrijk?
Bescherm uw gegevens en reputatie

ISO 27001-certificering toont aan dat u een systematische, op risico's gebaseerde benadering van informatiebeveiliging hebt ingevoerd die de best practices stimuleert rond:
- Identificeren van risico's voor informatie- en cyberbeveiliging
- Risico's analyseren op basis van impact en waarschijnlijkheid
- Evalueren van risico's en prioriteren wanneer ze worden aangepakt op basis van factoren met betrekking tot uw bedrijf
- Selecteren van opties voor risicobehandeling
Toon aan dat u voldoet aan wet- en regelgeving en contractuele vereisten

Om ISO 27001 gecertificeerd te worden, moet u de toepasselijke wetgeving identificeren, zoals de EU GDPR of regelgeving zoals HIPAA. Dit heeft een positieve invloed op risicobeheer en corporate governance en helpt u om compliance aan te tonen en te voldoen aan contractuele vereisten.

Concurrentievoordeel

Certificering door LRQA geeft klanten en stakeholders het vertrouwen dat beveiligingsrisico's - die betrekking kunnen hebben op IT, mensen, de fysieke omgeving en bedrijfscontinuïteit - adequaat zijn aangepakt om hun informatie te beschermen.

ISO 27001-certificering is een duidelijk bewijs van uw bekwaamheid en toont aan dat u werkt in overeenstemming met internationaal erkende best practices.
Hoe verlopen ISO 27001-audits?

ISO 27001-audits volgen dezelfde aanpak als andere op Annex SL gebaseerde managementsystemen. U kunt beginnen met training en gap-analyse, maar het formele proces omvat een audit van het ontwerp van het ISMS (Fase 1) en een audit van de werking ervan (Fase 2). De output van deze audits wordt technisch beoordeeld door een gekwalificeerde, onafhankelijke persoon binnen LRQA om de consistentie en afstemming met onze inzet op de door accreditatie instanties gedefinieerde best practices te waarborgen.

Na goedkeuring wordt uw ISO 27001-certificaat afgegeven en begint u aan een driejarige cyclus van toezichtsaudits die leidt tot een verlengingsaudit voor de volgende drie jaar. Toezicht stelt zowel LRQA als uw organisatie in staat om veranderingen te beheren en ervoor te zorgen dat de audits relevant zijn voor de huidige behoeften van de industrie.
Hoelang is het ISO 27001-certificaat geldig?

Na goedkeuring blijft de certificering drie jaar geldig, mits via het toezichtsprogramma effectief systeemonderhoud wordt aangetoond.
Wat staat er in een typisch ISMS toepassingsgebied en verklaring van toepasselijkheid?

Een typische ISMS-verklaring van toepasselijkheid omvat activiteiten in verband met de levering van producten en diensten. Ze hoeft geen interne activiteiten of ISMS-processen te omvatten. Het doel is de lezer te verzekeren dat de informatie die bij de ontvangst van het product of de dienst wordt verstrekt, beschermd is.

De verklaring van toepasselijkheid verwijst naar de lijst van geselecteerde controles. Zij bevat geen details van die controles, maar een traceerbare verwijzing naar een controleverklaring die is gebruikt als basis voor de laatste ISO 27001-audit. Soms hebben organisaties een openbare versie die kan worden gedeeld en waarin alleen de uit ISO 27001 Bijlage A geselecteerde controles worden vermeld, maar dit is geen verplichte eis.
Hoeveel kost het om ISO 27001 gecertificeerd te worden?

De kosten zijn gebaseerd op het aantal auditdagen dat betrekking heeft op het aantal werknemers binnen de scope van het ISMS. Het aantal auditdagen wordt gepubliceerd in de accreditatienorm, ISO 27006, en is voor iedereen zichtbaar. Het inschakelen van een geaccrediteerde certificatie-instelling als LRQA garandeert dat u een voorgestelde auditduur krijgt op basis van best practices in de sector, die vergelijkbaar is met alle andere geaccrediteerde certificatie-instellingen.

Een organisatie met 100 FTE's kan bijvoorbeeld rekenen op een initiële auditduur (fase 1 + fase 2) van 8 tot 12 dagen, afhankelijk van de sector waarin zij actief zijn, hoe complex hun werkomgeving is, of zij betrokken zijn bij de ontwikkeling van software en of zij beveiliging in het product moeten inbouwen. Het daaropvolgende toezichtprogramma zou 3-4 dagen per jaar duren en de verlenging 6-8 dagen.
Ik heb al ISO 9001. Kan ik die integreren met ISO 27001?

Ja - aangezien zowel ISO 9001 als ISO 27001 zijn gebaseerd op het algemene model voor managementsystemen - Annex SL - kunnen de kernbeheersprocessen worden geoptimaliseerd om te voldoen aan de eisen voor beide normen. Door een systeem te ontwerpen dat aan beide normen voldoet, wordt de doeltreffendheid van het bestuur van de organisatie zelfs verbeterd. Bedrijfsdoelstellingen zoals groei vereisen vaak de ontwikkeling van nieuwe producten, waarbij beveiliging doorgaans wordt beschouwd als een kwaliteitsnorm in overeenstemming met de marktverwachtingen. Integratie kan ook dubbel werk tot een minimum beperken, wat kan leiden tot een verkorting van de audittijd, wat een kosteneffectieve optie is.
Wat is een typisch ISO 27001-certificeringsproces?
De weg die uw organisatie aflegt om de ISO 27001-certificering te behalen, hangt vaak af van het niveau van volwassenheid van uw bedrijf met betrekking tot informatiebeveiliging en breder risicobeheer, naast andere factoren. De meeste bedrijven die nieuw zijn met ISO 27001 volgen het onderstaande proces.
1. Versnel uw ISO 27001-implementatie: Ons aanbod van ISO 27001-trainingen helpt u uw kennis van de norm en de vereisten op te bouwen - zodat u het inzicht en de vaardigheden krijgt om uw managementsysteem te optimaliseren.
2. Beoordeel uw gereedheid: Onze optionele pre-assessment diensten kunnen worden uitgevoerd in de vorm van een Gap-Analyse of Preliminary Assessment. Een van onze deskundige auditors beoordeelt de gereedheid van uw managementsysteem en geeft aan op welke gebieden meer aandacht moet worden besteed voordat u overgaat tot de formele ISO 27001-audit.
3. Fase 1-audit - beoordeling van documenten en planning: Uw auditor beoordeelt het ontwerp en de documentatie van uw systeem om te bepalen of het voldoet aan de eisen van de norm en de voorgestelde reikwijdte van de audit. Dit wordt gevolgd door een interview met de belangrijkste teamleden. In de meeste gevallen wordt de Fase 1 audit op afstand uitgevoerd.
4. Stap 2 Audit - evaluatie van uw implementatie:Tijdens fase 2 evalueert uw auditor de implementatie en effectiviteit van uw ISMS in lijn met de vereisten van ISO 27001. Als er geen belangrijke non-conformiteiten zijn, wordt goedkeuring aanbevolen en ontvangt u uw certificaat. De fase 2-audit kan op afstand of ter plaatse worden uitgevoerd.
5. Promoot uw ISO 27001-certificering: Uw certificering toont aan dat u zich inzet voor internationaal erkende beste praktijken en voortdurende verbetering - dit helpt u nieuwe business te winnen en te voldoen aan de eisen van uw klanten.
6. Jaarlijkse controle-audit - op koers blijven: Uw ISO 27001-certificering verloopt in cycli van drie jaar. Wij voeren jaarlijks toezichtsaudits uit om ervoor te zorgen dat uw managementsysteem effectief blijft, goed wordt onderhouden en voortdurende verbeteringen oplevert.
7. Verlenging van het certificaat: Drie maanden voordat uw certificaat vervalt, voeren we opnieuw een audit uit van de activiteiten van uw organisatie om ervoor te zorgen dat deze blijven voldoen aan de eisen van ISO 27001.
Wat is ISO 27002:2022 en wat is de impact ervan?

De publicatie van ISO 27002:2022 biedt een update van de lijst met controles in ISO 27001 - die dateert uit 2013. De herziene controles weerspiegelen ontwikkelingen met betrekking tot zowel bedreigingen als de huidige best practices, en het verbrede toepassingsgebied van ISO 27002 helpt ervoor te zorgen dat de maatregelen voor risicobeheer breed en effectief zijn. Organisaties kunnen de uitgebreide lijst met controles gebruiken om de risico's die ze hebben geïdentificeerd te behandelen of om potentiële hiaten te ontdekken - zodat ze een stap voor blijven op het complexe en veranderende bedreigingslandschap waarmee bedrijven tegenwoordig worden geconfronteerd.
Is er een nieuwe versie van ISO 27001 in ontwikkeling?

Er is een nieuwe versie van ISO 27001 gepubliceerd op 25 oktober 2022. Met de nieuwe controles die zijn beschreven in ISO 27001:2022, zullen organisaties hun risicobeoordeling opnieuw moeten bekijken en bepalen of er nieuwe risicobehandelingen moeten worden geïmplementeerd.