atmosphere.2.jpg


ISO 27001 certificering in 7 stappen

ISO 27001 is de internationale standaard voor informatiebeveiliging. Het ISO 27001 certificaat is het bewijs dat uw organisatie de nodige voorzorgsmaatregelen heeft genomen om gevoelige informatie te beschermen tegen ongeautoriseerde toegang en bewerking. De norm staat voor een procesmatige aanpak voor het vaststellen, implementeren, uitvoeren, bewaken, onderhouden en verbeteren van informatiebeveiliging op basis van een Information Security Management System. U geeft met ISO 27001 certificering richting uw opdrachtgevers aan dat u het informatieproces beheerst en gegevens van uw opdrachtgevers goed heeft beveiligd. 


De norm ISO 27000 / 27001 is van toepassing op iedere organisatie met uitzondering van organisaties in de zorgsector. Voor de zorgsector is de norm NEN 7510 / NEN 7511 van toepassing.


U wilt een Informatieveiligheidssysteem conform ISO 27001 certificering en zoekt deskundige ondersteuning tot certificering? Nieuwhuis Consult levert u die graag. Hiervoor hanteren wij een praktisch model. In 4 fasen behaalt uw organisatie het ISO 27001 certificaat.




ISO 27001 - Normomschrijving


ISO 27001 certificering is ontstaan uit de Engelse “Code of Practice for Informations Security Management”. Hierin wordt verwezen naar een speciaal management systeem voor informatieveiligheid. Hierin wordt gespecificeerd hoe je security risico’s aantoonbaar kunt beheersen.

 

De ISO 27001 norm bevat de volgende aspecten met betrekking tot informatiebeveiliging:

  • Beleidsmatig (management)
  • Organisatorisch (verantwoordelijkheden)
  • Bedrijfsmiddelen (infrastructuur, netwerk, systemen en overige bedrijfsmiddelen)
  • Personeel (huisregels, fouten, diefstal, fraude, misbruik)
  • Fysiek (sloten, brandbeveiliging)
  • Communicatie en operatie (beheer van systemen, processen en procedures)
  • Toegangscontrole (password, biometrie)
  • Systeem- en softwareontwikkeling en onderhoud (documentatie, processen)
  • Continuïteit (calamiteitenvoorzieningen)
  • Regelgeving (Wet Computercriminaliteit, Wet Bescherming Persoonsgegevens)


De ISO 27001 norm stelt dat je een scope en beleid definieert, een risicoanalyse uitvoert, voor gevonden risico’s maatregelen selecteert en deze implementeert en beheert. Dit is een continu proces om de ISO 27001 certificering te behalen en te behouden. Met de ISO 27001 certificering ben je ‘in control’ voor wat betreft je security risico’s.



Stappenplan ISO 27001 certificering 


1. Nulmeting


Het project start met een nulmeting. Dit geeft inzicht in de huidige status van informatiebeveiliging en wat nodig is om aan de eisen van ISO 27001 te voldoen. In de praktijk blijkt dat organisaties onbewust al veel elementen van de ISO 27001 goed hebben geregeld.


Belangrijk effect van deze eerste fase is bewustwording van de noodzaak van informatiebeveiliging en het begrijpen welke maatregelen hiervoor nodig zijn.


2. Risico-analyse informatiebeveiliging

De risico-analyse informatiebeveiliging is de basis van alle beheersmaatregelen en essentieel dat deze goed wordt uitgevoerd.

  • Risico’s beoordelen op het niveau van vertrouwelijkheid, integriteit en beschikbaarheid.
  • Doelstellingen bepalen om het risico terug te brengen tot een aanvaardbaar niveau.
  • Criteria bepalen voor het accepteren van het risico.
  • Risico’s evalueren.

De risico-analyse wordt uitgevoerd conform ISO 31000 en ISO 27005. Deze normen geven richtlijnen om het risicomanagementproces goed te beschrijven en te borgen. Na deze fase is de organisatie zich bewust van de risico's en inzicht in prioritering van diverse beheersmaatregelen die nodig zijn.


3. ISMS opzetten

Het ISMS voorziet in een pakket van beheersmaatregelen welke uit de risico-analsye naar voren zijn gekomen. Het ontwerp wordt op maat gemaakt en bevat ondermeer de volgende elementen:

  • Beleid en scope
  • Risicomanagement
  • Procedures personeel (bijv. in- en uit dienst, tijdelijk personeel)
  • Fysieke beveiliging (bijv. sloten op deuren en kasten, brandbeveiliging, bezoekersregistratie)
  • Beveiliging van apparatuur (bijv. periodiek onderhoud, hergebruik en vernietiging van apparatuur, omgang met usb/telefoon/tablets/laptop)
  • Beveiliging van systemen (bijv. firewalls, toegangsbeveiliging, softwarebeveiligingsupdates)
  • Beveiliging van gegevens (bijv. clear desk & clear screen, gebruikersrechten)
  • Cryptografische beheersmaatregelen
  • Communicatie en medewerkersbewustzijn
  • Continue verbetering - PDCA cyclus
  • Bedrijfscontinuïteitsplan

De norm ISO 27002 gebruiken we als een praktische richtlijn voor het ontwerpen van informatiebeveiligingsstandaarden en blijkt in de praktijk een effectieve methoden voor het bereiken van informatieveiligheid en sluit goed aan bij ISO 27001.


Het resultaat van deze fase is een systeem dat aansluit bij de huidige organisatie en risico's. In het systeem is de PDCA-cyclus geïntegreerd. Het handboek informatiebeveiliging kan desgewenst digitaal voor medewerkers beschikbaar worden gemaakt.

 

4. Implementatie en training

Het kwaliteitssysteem en de maatregelen worden geïmplementeerd door de organisatie zelf. Dit proces wordt door Nieuwhuis Consult begeleid. Om de implementatie te bespoedigen kan Nieuwhuis Consult trainingen verzorgen gericht op het vergroten van inzicht in informatiebeveiliging en bewustwording.

 

5. Verklaring van toepasselijkheid

De conformiteitsverklaring, ook wel Verklaring van Toepasselijkheid genoemd, zal worden opgesteld door het management van uw bedrijf. De Verklaring is het vertrekpunt voor de uiteindelijke certificatie en mede bedoeld voor externe communicatiedoeleinden. 


6. Interne audit en verbeterproces

Nadat het ISMS is ingericht en de maatregelen zijn geïmplementeerd wordtt de PDCA-cyclus gecontinueerd door het uitvoeren van interne audits. Op basis van de interne audits kunnen aanpassingen en verbeteringen worden doorgevoerd. De resultaten van de interne audits vormen samen met het risicomanagement de input voor de managementreview.


7. Certificeringsaudit

Nieuwhuis Consult organiseert de externe audit ISO 27001. Wij begeleiden de certificeringsaudit en bewaken dat deze goed verloopt. Resultaat is het ISO 27001 certificaat. 


 Kosten

 

Wij bieden u complete begeleiding volgens de bovenstaande stappenplannen. Na een oriënterend gesprek (op uw bedrijf of telefonisch) zenden wij u graag een op maat gesneden offerte.




 

Captcha Image

PDF PDF downloaden/ afdrukken

Bijpassende producten

NEN 7510 certificering

NEN 7510 is de norm voor informatiebeveiliging in de zorg en valt onder het toezichtterrein van de Inspectie voor de Gezondheidszorg (IGZ).U wilt een Informatieveiligheidssysteem conform NEN 7510 en zoekt deskundige ondersteuning tot certificering? Nieuwhuis Consult levert u die graag. Hiervoor hanteren wij een praktisch model.