Wat houdt de ISO 27001 in?

ISO 27001 is de internationale norm voorinformatiebeveiliging. Met de ISO 27001-certificering, ook wel ISMS (Information Security Management System) genoemd, toont u aan dat u voldoet aan de vereisten van deze norm inzake informatiebeveiliging.

Informatiebeveiliging is om verschillende redenen van groot belang. Het zorgt ervoor dat:

  • vertrouwelijke informatie beschermd blijft en enkel toegankelijk is voor bevoegde personen (vertrouwelijkheid);
  • informatie correct en volledig is, en dat deze niet werd aangepast of gewijzigd (integriteit);
  • informatie beschikbaar is voor de personen die ze nodig hebben, op het moment dat ze ze nodig hebben (beschikbaarheid).

Veel sectoren en wetgevingen vereisen dat bedrijven bepaalde soorten informatie beveiligen. Indien dit niet gebeurt, kunnen er juridische en financiële gevolgen zijn. Een inbreuk op de informatiebeveiliging kan bovendien de reputatie van een onderneming schaden en het vertrouwen van klanten aantasten, wat vaak moeilijk te herstellen is.

Kortom, informatiebeveiliging is cruciaal voor het beschermen van gevoelige gegevens, het behouden van het vertrouwen van klanten en partners, en voor het voldoen aan wet- en regelgeving. Een ISO 27001-certificering is dan ook van grote waarde. Hiermee kunt u aan uw stakeholders aantonen dat uw informatiebeveiliging voldoet aan strikte normen. Brand Compliance kan deze certificering voor u uitvoeren onder accreditatie.

Lock je beeldscherm als je wilt voldoen aan de ISO 27001 certificeringWat zijn de vereisten voor ISO 27001?

ISO 27001 beschrijft de vereisten voor het opzetten, implementeren, onderhouden en voortdurend verbeteren van een Information Security Management System (ISMS).

De belangrijkste vereisten van ISO 27001 zijn:

  • Contextanalyse: De organisatie moet haar interne en externe omgeving begrijpen om de scope en doelstellingen van het ISMS te bepalen.
  • Risicobeoordeling en risicobehandeling: De organisatie moet de risico’s identificeren die de informatiebeveiliging kunnen beïnvloeden, en gepaste maatregelen nemen om deze risico’s te beheersen.
  • Beveiligingscontroles: De organisatie moet aangepaste beveiligingsmaatregelen implementeren, regelmatig evalueren en bijwerken.
  • Managementverantwoordelijkheid: Het topmanagement moet middelen en ondersteuning voorzien voor het ISMS en actief betrokken zijn bij de uitvoering ervan.
  • Prestatie-evaluatie: De organisatie moet regelmatig de prestaties van het ISMS evalueren om verbeteringen aan te brengen.
  • Continu verbeteren: De organisatie moet voortdurend streven naar verbetering van de informatiebeveiliging en voldoen aan de veranderende behoeften van de betrokkenen.

Hoe start u met ISO 27001-certificering?

Om een ISO 27001-certificering te behalen, kunt u de volgende stappen doorlopen:

  1. Schaf de ISO 27001-norm aan via bijvoorbeeld het NBN (Bureau voor Normalisatie).
  2. Plan een gratis en vrijblijvend kennismakingsgesprek met een van onze accountmanagers om meer te weten te komen over het certificeringstraject voor uw organisatie.
  3. Verwerf de nodige kennis over ISO 27001, bijvoorbeeld door een opleiding te volgen via onze BC Academy.
  4. Implementeer het ISO 27001-managementsysteem in uw organisatie en zorg ervoor dat het aan de normeisen voldoet.
  5. Voer interne audits uit om te controleren of het systeem goed werkt en voldoet aan de normeisen.
  6. Laat het management de resultaten van de interne audit beoordelen en neem indien nodig corrigerende maatregelen. Dit moet vastgelegd worden in een managementreview.
  7. Laat een onafhankelijke auditor van Brand Compliance nagaan of uw systeem voldoet aan alle ISO 27001-normeisen.
  8. Als uw organisatie aan de vereisten voldoet, ontvangt u een ISO 27001-certificaat.

Wat kost een ISO 27001-certificering?

De implementatie begint met de aanschaf van de ISO 27001-norm. De kosten van het hele traject zijn afhankelijk van verschillende factoren, zoals de complexiteit van de processen, ploegendiensten, de mate waarin uw organisatie al voldoet aan de normeisen, het aantal medewerkers en de verschillende locaties. De kosten van de certificering zijn gebaseerd op het aantal uren dat Brand Compliance nodig heeft voor de voorbereiding, de audit zelf, de rapportage, en bijkomende kosten zoals het certificaat, administratie en reiskosten. De snelste manier om de kosten te berekenen, is door een kennismakingsgesprek in te plannen.

Nieuwe versie

Vanaf 1 februari 2023 bieden we klanten offertes aan voor certificeringstrajecten volgens de nieuwe versie van de norm: ISO 27001:2022. Is uw organisatie reeds gecertificeerd voor ISO 27001:2017? Dan is een overgangsaudit nodig om te voldoen aan de nieuwe norm. We hebben een artikel geschreven met meer informatie over de transitieaudit en een FAQ.

Meer informatie

Voor meer informatie over alles wat met certificeringen te maken heeft, kunt u terecht in onze kennisbank. Hierin vindt u onder meer enkele artikels over het ‘certificatietraject‘.

Informatie aanvragen

Veelgestelde vragen

Wat is het verschil tussen ISO 27001 en ISO 27002?

ISO 27001 is een managementsysteemstandaard die beschrijft hoe een organisatie haar ISMS op een procesmatige manier kan inrichten. Dit proces moet voldoen aan de PDCA-cyclus en er moet een risicoanalyse uitgevoerd worden. ISO 27002 is een aanvulling op ISO 27001 en gaat in op de concrete maatregelen die nodig zijn voor een goede informatiebeveiliging.

Wat is het verschil tussen ISO 27001 en ISO 9001?

ISO 27001 is een internationale norm voor informatiebeveiliging die gericht is op het implementeren van een managementsysteem voor informatiebeveiliging. ISO 9001 daarentegen is de wereldwijde norm voor kwaliteitsmanagement, met focus op het opzetten van een intern kwaliteitsmanagementsysteem.

Welke andere normen zijn er in de ISO 27000-familie?

De ISO 27000-serie omvat alle normen die verband houden met informatiebeveiliging. ISO 27001 en ISO 27002 zijn de bekendste, maar enkel ISO 27001 is certificeerbaar. Andere normen zijn uitbreidingen voor specifieke domeinen, zoals clouddiensten (ISO 27017), netwerkbeveiliging (ISO 27033) en de gezondheidszorg (ISO 27799).

Hoe lang is een ISO 27001-certificaat geldig?

Een ISO 27001-certificaat is drie jaar geldig en volgt een cyclus. Tijdens deze drie jaar vinden tussentijdse audits plaats om te controleren of de organisatie blijft voldoen aan de normeisen. Na drie jaar is er een hercertificering, en bij een positief resultaat wordt het certificaat opnieuw met drie jaar verlengd.

 

  • Bart Versluijs

    ISMS & Privacy Expert

  • Jade Reilink

    ISMS expert