Steeds vaker bereikt ons de vraag of wij kunnen aangeven of een organisatie ISO 27001 gecertificeerd moet zijn, maar ook wat dit precies inhoudt en of wij daar een rol in kunnen spelen. Laten we daar duidelijk over zijn!

Wat is ISO 27001?

ISO 27001 is een internationaal gestandaardiseerde norm voor informatiebeveiliging. Een organisatie kan zich op basis van deze norm laten certificeren. Als je beschikt over een ISO 27001 certificering dan toon je daarmee aan dat je als organisatie voldoet aan de huidige eisen die gesteld worden aan een goede informatiebeveiliging.

Deze norm zou opgevat kunnen worden als bundel van een groot aantal vragen waar je een goed antwoord op moet hebben. Bijvoorbeeld: staat de server waar u uw gevoelige data op bewaard wel achter slot en grendel? En kunnen achter dat slot alleen mensen komen die daar ook echt mogen komen?

Deze vragen gaan in op allerlei zaken die betrekking hebben op de beveiliging van de informatie binnen de organisatie. Niet alleen om digitale informatie, zoals wel eens onjuist beweerd wordt, maar ook over bijvoorbeeld het toevertrouwen van zaken aan papier en hoe je daar dan vervolgens mee omgaat.

Gegevensbescherming van personen

Wanneer gegevens van personen worden bewaard (en wie doet dat niet?) dan moet je logischerwijs voldoen aan een aantal eisen. We kennen dit allemaal als de AVG of GDPR. In Europa zijn deze eisen de laatste jaren met goede redenen steeds verder aangescherpt.

Met een ISO 27001 certificering op zak toon je aan dat je dat volgens de laatste normen doet. Je bewijst daarmee dat je bijvoorbeeld werkt met een managementsysteem voor informatiebeveiliging (ook wel Information Security Management System of ISMS genoemd) en dat je dat systeem op orde hebt.

En zaken als ISO 27002 en NEN 7510?

ISO 27002 is het beste te beschouwen als een uitdieping van ISO 27001. Hierin worden namelijk de maatregelen beschreven die genomen moeten worden om aan de ISO 27001 norm te kunnen voldoen. ISO 27002 is daarom uitgebreider en concreter als ISO 27001. Het bevat de “vragen” voor de implementatie van 27001. In praktijk gaan deze twee ISO-normen daarom hand in hand. Het is niet mogelijk om voor 27002 gecertificeerd te worden.

De NEN 7510 is heel vergelijkbaar met ISO 27001, maar de NEN 7510 is wel gericht op de specifieke informatiebeveiliging van gegevens in de zorgsector. ISO 27001 is minder specifiek en kan in principe voor iedere organisatie worden gebruikt.

Is een certificering nodig?

Het is vaak niet nodig om over een daadwerkelijk ISO 27001 certificaat te beschikken, maar het is altijd nodig om na te denken over een goede informatiebescherming. Door de maatregelen van deze norm te gebruiken als leidraad voor de eigen bescherming laat je zien informatiebeveiliging belangrijk te vinden en het daadwerkelijk serieus te nemen. Gebruikmaken van de ISO 27001 maatregelen is daarom altijd een heel goed idee!

Het certificaat toont aan dat een onafhankelijke buitenstaander (een daartoe beëindigd auditor) de implementatie van de informatiebescherming heeft gecontroleerd en goed heeft bevonden. Zonder certificaat moet men u geloven op uw blauwe ogen en serieuze inzet. Maar informatiebescherming wordt hopelijk niet alleen gedaan als uithangbordje naar buiten toe. Het is iets dat een organisatie zelf zou moeten willen, juist voor zichzelf. In dat geval is een certificaat misschien minder hard nodig en dient het hooguit als een soort dubbele check of alles goed is gedaan.

In bepaalde branches wordt een ISO 27001 certificering gewaardeerd en door een aantal organisaties zelfs verplicht gesteld aan haar leveranciers of partners. In dergelijke situaties is een ISO 27001 certificaat natuurlijk wel noodzakelijk.

Het ISO 27001 certificaat geeft nu eenmaal een bepaalde zekerheid en kan daardoor ook bijdragen aan het imago van een organisatie. Als je het certificaat hebt behaald, blijft het drie jaar geldig. Tijdens die periode wordt ieder jaar een audit uitgevoerd om te onderzoeken of je je nog steeds aan de maatregelen houdt. Die audit is steekproefsgewijs en beslaat meestal niet alle maatregelen. Ook werkt men vaak met groeitrajecten. Je hoeft niet alles piekfijn geregeld te hebben om gecertificeerd te kunnen zijn, maar je moet wel laten zien daaraan te werken. Na het aflopen van deze drie jaar moet opnieuw een aanvraag voor certificering worden ingediend.

Implementatie in drie fases

Bij het implementeren van de ISO 27001 norm onderscheiden wij drie fases: Bewustwording, implementatie en certificering.

De eerste fase bestaat uit de bewustwording van de noodzaak. Daarmee bedoelen wij, de wens vanuit de organisatie om de informatiebeveiliging goed op orde te willen hebben. Misschien is dit wel de belangrijkste fase.

De tweede fase is de fase waarin de maatregelen worden opgesteld. Tijdens deze fase wordt gekeken hoe de vragen die met betrekking tot de informatiebescherming van de ISO-normen worden gesteld het beste beantwoord kunnen worden door de organisatie. Vaak kom je dan in gesprekken terecht waarin je afspraken maakt over hoe je voortaan bepaalde zaken wilt gaan doen. Denk daarbij aan onderwerpen die uiteenlopen van het sleutelbeheer tot het opslaan van back-up bestanden en het wijzigen van wachtwoorden, maar ook over wie toegang tot wat krijgt.

Wij merken in onze praktijk dat een organisatie al vaak veel van dit soort zaken bewust of onbewust geregeld heeft. In dat geval hoeven deze maatregelen alleen nog maar vastgelegd te worden. Daarnaast moet bekeken worden hoe gecontroleerd wordt dat deze afspraken ook echt worden nagekomen en of iedereen die afspraken kent. Voor die zaken die daarna nog openblijven, kan gekeken worden naar best practices. Dus hoe doen andere organisaties dit eigenlijk en zouden wij dat ook zo kunnen doen of moeten wij daar iets anders voor verzinnen?

In dit proces kunnen wij voor u een goede rol spelen. Als ervaren partner op het gebied van de implementatie van deze ISO-normen loodsen wij u soepel door dit proces heen. We spreken daarbij af wat wij doen en wat u zelf kunt doen. U blijft de regie houden over dit traject. Wij kunnen het managementsysteem voor u opstellen, maar u kunt ook van ons leren hoe u dit zelf het beste kunt doen. Daarmee voorzien wij u van een goede start om de informatiebescherming zelf verder in te richten.

De certificering beschouwen wij als de derde fase van het traject. Indien gewenst maken wij u ‘certificering klaar’. Na dit proces kunt u zichzelf door een onafhankelijke derde partij laten certificeren. Hierdoor heeft een grote kans het certificaat snel binnen te halen. Ook tijdens deze certificeringsfase kunnen wij u natuurlijk begeleiden. Maar, zoals eerder gezegd, misschien hoeft u zich helemaal niet te laten certificeren en is het slechts uw bedoeling om al wel op de voorgeschreven wijze te werken. Dat is dan natuurlijk ook prima.

We kunnen samen, ook nog tijdens de implementatie, bespreken wat de voor– en nadelen van certificering voor u kunnen zijn. Maar werkt u volgens de norm, dan geeft dat natuurlijk altijd vertrouwen en zekerheid voor zowel de interne organisatie als voor uw partners en klanten. Ongeacht of u nu gecertificeerd bent of niet.

Quick Scan

Veel van onze klanten starten niet met de implementatie van de ISO-normering, maar laten ons een quick scan uitvoeren op de informatiebeveiliging zoals deze nu door hun organisatie wordt uitgevoerd. Soms omdat ze willen weten hoe ze het zelf doen, soms omdat ze onafhankelijk professioneel inzicht willen krijgen in de werkwijze van hun ICT-leverancier. Wij hebben handige instrumenten ontwikkeld om binnen slechts enkele uren de meest belangrijke zaken daarin te controleren.

Onze quick scan maakt op eenvoudige wijze zichtbaar of u op de goede weg bent of veel risico loopt als het gaat om uw informatiebescherming. In een tijd waar regelmatig melding wordt gedaan van datalekken, ransomware en andere digitale inbraken, kan dit beschouwd worden als een uitstekend uitgangspunt om beleid op te gaan voeren. Als ondernemer bent u tegenwoordig immers zelf aansprakelijk te stellen voor de gevolgen van een gebrekkige informatiebeveiliging. Iets wat heel serieus genomen moet worden.