ISO 27001 FAQs

ISO 27001 is de internationale norm voor managementsystemen die de eisen voor een Informatiebeveiligingsmanagementsysteem (ISMS) vastlegt. De norm biedt een raamwerk met best practices voor het identificeren, analyseren en implementeren van beheersmaatregelen om risico’s te beheersen en te beperken – waardoor de kans op een inbreuk op de informatiebeveiliging wordt verkleind.
Elke organisatie – ongeacht de omvang en de sector – kan de eisen en controles binnen ISO 27001 gebruiken om een effectief ISMS te implementeren dat onafhankelijk kan worden gecertificeerd.
Een geaccrediteerde ISO 27001-certificering, verstrekt door een gerenommeerde en onafhankelijke certificeringsinstantie, toont aan dat u zich inzet voor informatiebeveiliging en biedt een onpartijdig oordeel over de robuustheid en effectiviteit van uw ISMS. Dit helpt bij het nakomen van contractuele verplichtingen en fungeert in veel gevallen als een vergunning om handel te drijven.

Bescherm uw gegevens en reputatie

Met een ISO 27001-certificering toont u aan dat u een systematische, risicogebaseerde aanpak voor informatiebeveiliging hebt geïmplementeerd, die de beste praktijken stimuleert op het gebied van:

• Het identificeren van informatie- en cyberbeveiligingsrisico’s
• Het analyseren van risico’s op basis van impact en waarschijnlijkheid
• Het evalueren van risico’s en het stellen van prioriteiten bij de aanpak ervan op basis van factoren die relevant zijn voor uw bedrijf
• Het selecteren van opties voor risicobeheersing

Aantonen dat u voldoet aan wetten, regelgeving en contractuele vereisten

Om ISO 27001-certificering te verkrijgen, moet u de toepasselijke wetgeving identificeren, zoals de EU-AVG of regelgeving zoals HIPAA. Dit heeft een positieve invloed op risicobeheer en corporate governance, en helpt u om naleving aan te tonen en aan contractuele vereisten te voldoen.

Concurrentievoordeel

Certificering door LRQA geeft klanten en belanghebbenden het vertrouwen dat beveiligingsrisico's – die betrekking kunnen hebben op IT, mensen, de fysieke omgeving en bedrijfscontinuïteit – adequaat zijn aangepakt om hun informatie te beschermen.

ISO 27001-certificering biedt een duidelijk bewijs van uw capaciteiten en toont aan dat u werkt volgens internationaal erkende best practices – wat u helpt nieuwe klanten te werven.

ISO 27001-audits volgen dezelfde aanpak als andere op Annex SL gebaseerde managementsystemen. U kunt beginnen met een training en een gap-analyse, maar het formele proces omvat een audit van het ontwerp van het ISMS (fase 1) en een audit van de werking ervan (fase 2). De resultaten van deze audits worden technisch beoordeeld door een gekwalificeerde, onafhankelijke medewerker van LRQA om consistentie en afstemming te waarborgen met onze toewijding aan de door accreditatie-instanties vastgestelde best practices.

Zodra uw ISO 27001-certificaat is goedgekeurd, wordt het afgegeven en begint u aan een driejarige cyclus van toezichtaudits die uitmondt in een verlengingsaudit om de certificering voor de volgende drie jaar te herbevestigen. Toezicht stelt zowel LRQA als uw organisatie in staat om veranderingen te beheren en ervoor te zorgen dat audits relevant zijn voor de huidige behoeften van de sector.

Na goedkeuring is de certificering drie jaar geldig, mits uit het toezichtsprogramma blijkt dat het systeem adequaat wordt onderhouden.

Een typische verklaring inzake het toepassingsgebied van een ISMS-certificaat omvat activiteiten die verband houden met de levering van producten en diensten. Interne activiteiten of ISMS-processen hoeven hierin niet te worden opgenomen. Het doel is de lezer de zekerheid te bieden dat de informatie die bij ontvangst van het product of de dienst wordt verstrekt, beschermd is.
De verklaring van toepasselijkheid verwijst naar de lijst van geselecteerde controles. Deze geeft geen details over die controles, maar een traceerbare verwijzing naar een controleverklaring die als basis diende voor de laatste ISO 27001-audit. Soms hebben organisaties een openbare versie die kan worden gedeeld en die simpelweg de controles opsomt die zijn geselecteerd uit ISO 27001 Bijlage A, maar dit is geen verplichte vereiste.

De kosten zijn gebaseerd op het aantal auditdagen, dat samenhangt met het aantal medewerkers dat onder het ISMS valt. Het aantal auditdagen is vastgelegd in de accreditatienorm ISO 27006 en is voor iedereen inzichtelijk. Door een geaccrediteerde certificatie-instantie zoals LRQA in te schakelen, bent u verzekerd van een voorgestelde auditduur die is gebaseerd op best practices uit de sector en die vergelijkbaar is met die van alle andere geaccrediteerde certificatie-instanties.

Een organisatie met 100 Full-Time Equivalents (FTE's) kan bijvoorbeeld rekenen op een initiële auditduur (Fase 1 + Fase 2) van 8 tot 12 dagen, afhankelijk van de sector waarin zij actief is, de complexiteit van de werkomgeving, of zij betrokken is bij de ontwikkeling van software, of dat zij beveiliging in het product moet inbouwen. Het daaropvolgende toezichtprogramma zou 3-4 dagen per jaar in beslag nemen en de verlenging 6-8 dagen.

Ja – aangezien zowel ISO 9001 als ISO 27001 gebaseerd zijn op het algemene model voor beste praktijken voor managementsystemen – Annex SL – kunnen de kernprocessen van het management worden geoptimaliseerd om aan de eisen van beide normen te voldoen. Het ontwerpen van een systeem dat aan beide normen voldoet, verbetert zelfs de effectiviteit van het organisatorisch bestuur. Zo vereisen bedrijfsdoelstellingen zoals groei vaak de ontwikkeling van nieuwe producten, waarbij beveiliging doorgaans wordt beschouwd als een kwaliteitsnorm die aansluit bij de marktverwachtingen. Integratie kan ook dubbel werk minimaliseren, wat kan leiden tot een verkorting van de audittijd, wat een kosteneffectieve optie biedt.

Het traject dat uw organisatie doorloopt om de ISO 27001-certificering te behalen, hangt vaak af van onder andere de mate waarin uw bedrijf op het gebied van informatiebeveiliging en risicobeheer in het algemeen is ontwikkeld. Het standaardproces voor het behalen van de ISO 27001-certificering bestaat echter uit drie hoofdstappen.

• Fase 1-audit – documentbeoordeling en planning: Uw auditor beoordeelt het ontwerp en de documentatie van uw managementsysteem – in de meeste gevallen gebeurt dit op afstand.
• Fase 2-audit – evaluatie van uw implementatie: Uw auditor evalueert de implementatie en effectiviteit van uw ISMS in overeenstemming met de eisen van ISO 27001. Als er geen afwijkingen zijn, ontvangt u uw certificering. Deze fase kan op afstand of ter plaatse worden uitgevoerd.
• Promoot uw ISO 27001-certificering: Uw certificering toont aan dat u zich inzet voor internationaal erkende best practices en voortdurende verbetering – wat u helpt nieuwe klanten te werven en aan de eisen van klanten te voldoen.

De publicatie van ISO 27002:2022 biedt een update van de lijst met beheersmaatregelen uit ISO 27001 – die dateert uit 2013. De herziene beheersmaatregelen weerspiegelen ontwikkelingen op het gebied van zowel bedreigingen als de huidige beste praktijken, en het bredere toepassingsgebied van ISO 27002 draagt ertoe bij dat risicobeheersmaatregelen veelomvattend en effectief zijn. Organisaties kunnen de uitgebreide lijst met beheersmaatregelen gebruiken om de door hen geïdentificeerde risico's aan te pakken of potentiële hiaten op te sporen – waardoor ze de complexe en steeds veranderende dreigingsomgeving waarmee bedrijven vandaag de dag worden geconfronteerd, een stap voor kunnen blijven.

Op 25 oktober 2022 is een nieuwe versie van ISO 27001 gepubliceerd. Aangezien deze versie de nieuwe beheersmaatregelen bevat die in ISO 27002:22 worden beschreven, zullen organisaties hun risicobeoordeling opnieuw moeten bekijken en moeten bepalen of er nieuwe risicomaatregelen moeten worden geïmplementeerd.