ISO 27001 certificering voor informatiebeveiliging

De vraag over de duur van een ISO 27001-certificering kan niet in het algemeen worden beantwoord, maar is afhankelijk van verschillende factoren.

• Grootte van uw bedrijf, bijv:
  
  • Aantal locaties
  • Aantal werknemers
• Omvang of complexiteit van de processen
• Interne capaciteiten
• Bestaande knowhow over informatiebeveiliging en ISO 27001

Hoe groter en complexer uw bedrijf is, hoe meer tijd u nodig hebt om de ISO 27001-certificering te plannen. Afhankelijk van de omvang kan het hele proces een paar maanden tot zelfs meer dan een jaar duren.

Wij bespreken het proces en de verwachte duur van uw ISO 27001-certificering graag met u in een gezamenlijk gesprek. Wij bieden u een gekwalificeerde planning en begeleiden u vanaf het eerste contact tot de afgifte van het certificaat.

Tip van LRQA: Om moeite te besparen bij procedures, processen en documentatie, is de integratie van verschillende normen een goed idee. 

• Intake
  In het begin nemen we onze tijd en leren we u en uw bedrijfsdoelstellingen kennen. Daarna bepalen we samen het proces van de ISO 27001 certificering. U krijgt van ons een uitgebreid plan. Indien nodig voeren wij een pre-audit uit of zorgen wij voor de overname van een reeds bestaande certificatie.

• Pre-audit (optioneel)
  

  Tijdens een pre-audit gaan wij samen met u na of uw managementsysteem voor informatiebeveiliging al voldoet aan alle vereisten van ISO 27001 en of certificering mogelijk is.

  De pre-audit is geen verplicht onderdeel van het certificeringsproces, maar een vrijwillige gelegenheid voor u om u optimaal voor te bereiden op de certificering en om eventuele zwakke punten en risicofactoren vooraf aan het licht te brengen en te verbeteren.  

  Tip van LRQA: Om te ontdekken in hoeverre u klaar bent voor een certificering, kunt u de ISO 27001 Self Assessment Tool gebruiken. 
• Aanvaarding van de certificering (optioneel)
  Als uw bedrijf al door een andere certificeringsinstantie is gecertificeerd, kunnen wij u helpen met een snelle en meestal eenvoudige overname. Samen met u controleren we:
  
  • Verslagen van bestaande bezoeken
  • Veranderingen in de onderneming of in het managementsysteem
  • Auditverslagen van interne en externe auditors
  • Corrigerende en preventieve maatregelen
  • Beoordeling van het management
  • Gegevens over bestaande certificering, zoals de reikwijdte van de certificering en de duur van toezichtsaudits

Als er aan het eind van de beoordeling geen onopgeloste kwesties zijn, geven wij u een nieuw certificaat en stellen wij samen met u een jaarlijks auditprogramma. op.

• Certificeringsaudit Fase 1 "Systeemcontrole en opstartvoorwaarde"
  In de eerste fase van de certificatieaudit bekijkt uw LRQA-auditor de structuur van uw ISMS, het handboek, het proceslandschap en de opeenvolging en interactie van uw processen.
  
  In een gesprek met uw management komen we te weten welke richting uw bedrijf uitgaat en ontwikkelen we een grondig inzicht in de sterktes en zwaktes van uw organisatie. Op die manier identificeren wij het verbeteringspotentieel dat u een echt concurrentievoordeel kan opleveren. Daarnaast kijken we naar uw (voorlopige) management review en interne audits. In samenhang met de bedrijfsdoelstellingen houden wij met deze informatie rekening bij de volgende controlestap.
  
  Na een rondleiding bepalen we samen met u de verdere controleprocedure. U hebt de kans om potentiële zwakke punten te verbeteren tot de volgende stap.
• Certificeringsaudit Fase 2 "Praktische uitvoering"
  In fase 2 controleren wij hoe u de eisen voor uw managementsysteem hebt geïmplementeerd. Uitgaande van een bepaalde reikwijdte van de controle, stellen wij hiervoor een team van gekwalificeerde auditoren samen. Wij zullen u dat van tevoren laten weten, zodat u uw planning daarop kunt afstemmen.
  
  In het begin interviewen we uw management. Actuele vragen vloeien rechtstreeks in de audit in. Vervolgens controleren wij de onderdelen van het managementsysteem die basisinformatie verschaffen. We kijken naar de praktische toepassing ter plaatse.
  
  Ten slotte overhandigen wij u het volledige auditrapport met een samenvatting voor uw directie. Als er geen afwijkingen zijn, ontvangt u een internationaal erkend certificaat dat drie jaar geldig is. Indien afwijkingen worden vastgesteld, moeten deze op passende wijze worden aangepakt en door ons bij een surveillance audit opnieuw worden geëvalueerd. Als de afwijkingen met succes zijn weggewerkt, ontvangt u na de surveillance audit uw certificaat.
  
  Tip van LRQA: Het controleverslag bevat een eenvoudig overzicht van mogelijke sterke en zwakke punten. Uw LRQA-auditor zal ook wijzen op verbeteringsmogelijkheden.
• Jaarlijkse audit om certificering te behouden
  Uiterlijk twaalf maanden na afronding van de initiële audit vindt een audit plaats van deelgebieden van uw ISO 27001-managementsysteem. Kortere tussenpozen van negen of zes maanden zijn mogelijk. Aan het eind ontvangt u opnieuw het auditrapport met een samenvatting voor uw management.
  
  Tip van LRQA: De jaarlijkse audits zijn in de eerste plaats bedoeld om uw bedrijf te dienen. Daartoe richt uw auditor zich op belangrijke kritische aspecten, zoals de invloed van uw managementsysteem op uw bedrijfsresultaten. Uw doelstellingen en de huidige problemen staan centraal in het auditproces.
• Focus audit – uw toekomst plannen
  In de laatste stap voor de hercertificering bundelen we de resultaten voor uw management: Hoe heeft uw ISO 27001 ISMS zich ontwikkeld sinds de initiële audit? Welke vooruitgang is er geboekt? Wij houden rekening met de zwaartepunten van uw bedrijfsstrategie.
  
  Bij de planning van de controle wordt rekening gehouden met de resultaten van de toekomstige planning. Op deze basis kunt u met succes een nieuwe certificeringscyclus (hercertificering) beginnen over een periode van drie jaar. Het certificeringsproces begint opnieuw.

Een typische ISMS-verklaring van toepasselijkheid omvat activiteiten in verband met de levering van producten en diensten. Ze hoeft geen interne activiteiten of ISMS-processen te omvatten. Het doel is de lezer te verzekeren dat de informatie die bij de ontvangst van het product of de dienst wordt verstrekt, beschermd is.

De verklaring van toepasselijkheid verwijst naar de lijst van geselecteerde controles. Zij bevat geen details van die controles, maar een traceerbare verwijzing naar een controleverklaring die is gebruikt als basis voor de laatste ISO 27001-audit. Soms hebben organisaties een openbare versie die kan worden gedeeld en waarin alleen de uit ISO 27001 Bijlage A geselecteerde controles worden vermeld, maar dit is geen verplichte eis.

De kosten zijn gebaseerd op het aantal auditdagen dat betrekking heeft op het aantal werknemers binnen de scope van het ISMS. Het aantal auditdagen wordt gepubliceerd in de accreditatienorm, ISO 27006, en is voor iedereen zichtbaar.

Er kan geen algemene uitspraak worden gedaan over de kosten van een ISO 27001 certificering. Een doorslaggevende factor is de omvang van uw onderneming en de daaruit voortvloeiende kosten. Hoeveel locaties heeft u? Hoeveel werknemers werken er in uw bedrijf? Het speelt ook een rol of uw bedrijf al gecertificeerd is. Een organisatie met 100 FTE's kan bijvoorbeeld rekenen op een initiële auditduur (fase 1 + fase 2) van 8 tot 12 dagen, afhankelijk van de sector waarin zij actief zijn, hoe complex hun werkomgeving is, of zij betrokken zijn bij de ontwikkeling van software en of zij beveiliging in het product moeten inbouwen. Het daaropvolgende toezichtprogramma zou 3-4 dagen per jaar duren en de verlenging 6-8 dagen.

In ieder geval is het zinvol om vooraf een gesprek te hebben met een van onze medewerkers, zodat wij u beter kunnen leren kennen en een offerte kunnen opstellen die precies op uw bedrijf is afgestemd.

Ja - aangezien zowel ISO 9001 als ISO 27001 zijn gebaseerd op het algemene model voor managementsystemen - Annex SL - kunnen de kernbeheersprocessen worden geoptimaliseerd om te voldoen aan de eisen voor beide normen. Door een systeem te ontwerpen dat aan beide normen voldoet, wordt de doeltreffendheid van het bestuur van de organisatie zelfs verbeterd. Bedrijfsdoelstellingen zoals groei vereisen vaak de ontwikkeling van nieuwe producten, waarbij beveiliging doorgaans wordt beschouwd als een kwaliteitsnorm in overeenstemming met de marktverwachtingen. Integratie kan ook dubbel werk tot een minimum beperken, wat kan leiden tot een verkorting van de audittijd, wat een kosteneffectieve optie is.

Hoe is informatiebeveiliging management systeem in staat om te bedreigingen te kunnen weren? Is de data van uw organisatie goed beschermd? De risicoanalyse informatiebeveiliging is een handige manier om te beoordelen in hoeverre de informatiebeveiliging van je organisatie op een acceptabel niveau is.

In eerste instantie neemt u maatregelen voor de risico’s die voor uw organisatie gelden op basis van de context van uw organisatie. Om die risico’s in kaart te brengen voer je een risicoanalyse uit. Op basis van deze ISO 27001 risicoanalyse en de analyse van de context van de organisatie, ontdekt u welke onderdelen uw aandacht behoeven. Wanneer u een ISO 27001 risicoanalyse informatiebeveiliging uit gaat voeren, kunt u daarbij Annex A van de ISO 27001 norm gebruiken bij het uitvoeren van de analyse. Hierin staan de veelvoorkomende risico’s zoals:

• Informatiebeveiligingsbeleid;

• Veilig personeel (bijv. screening);

• Beheer van bedrijfsmiddelen;

• Toegangsbeveiliging;

• Communicatiebeveiliging

De PDCA cyclus kan als leidraad bij de risicoanalyse informatiebeveiliging fungeren. De ISO 27001 norm hanteert een procesgerichte benadering. Met behulp van de PDCA cyclus (Plan-Do-Check-Act) kunt u eventuele aandachtspunten procesgericht behandelen en uiteindelijk een kwaliteitsniveau te bereiken.

De publicatie van ISO 27002:2022 biedt een update van de lijst met controles in ISO 27001 - die dateert uit 2013. De herziene controles weerspiegelen ontwikkelingen met betrekking tot zowel bedreigingen als de huidige best practices, en het verbrede toepassingsgebied van ISO 27002 helpt ervoor te zorgen dat de maatregelen voor risicobeheer breed en effectief zijn. Organisaties kunnen de uitgebreide lijst met controles gebruiken om de risico's die ze hebben geïdentificeerd te behandelen of om potentiële hiaten te ontdekken - zodat ze een stap voor blijven op het complexe en veranderende bedreigingslandschap waarmee bedrijven tegenwoordig worden geconfronteerd.

Download de ISO 27001:2022 checklist om u voor te bereiden op uw interne audit. 

ISO 27001 en ISO 27002 zijn beide normen die betrekking hebben op informatiebeveiliging, maar ze zijn verschillend in hun focus en doelstellingen.

De ISO 27001 norm is voor informatiebeveiligingsmanagement. Het beschrijft de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een gedocumenteerd Information Security Management System (ISMS). De ISO 27002 norm, voorheen bekend als ISO 17799, is een richtlijn voor best practices op het gebied van informatiebeveiliging. Het biedt een gedetailleerde set van controles en aanbevelingen die kunnen worden gebruikt om de doelstellingen van ISO 27001 te bereiken. ISO 27002 behandelt specifieke beveiligingsmaatregelen en -praktijken die organisaties kunnen implementeren om hun informatie te beschermen. Het is meer een richtlijn dan een certificeerbare norm, hoewel het vaak wordt gebruikt als referentie bij het implementeren van een ISMS volgens ISO 27001.

Na goedkeuring blijft de certificering drie jaar geldig, mits via het toezichtsprogramma effectief systeemonderhoud wordt aangetoond.

Er is een nieuwe versie van ISO 27001 gepubliceerd op 25 oktober 2022. Met de nieuwe controles die zijn beschreven in ISO 27001:2022, zullen organisaties hun risicobeoordeling opnieuw moeten bekijken en bepalen of er nieuwe risicobehandelingen moeten worden geïmplementeerd.