Wat is ISO 27001 certificering?

Als er wordt gesproken over ISO 27001, dan refereert dat aan de wereldwijd erkende norm op het gebied van informatiebeveiliging. Een onderneming of organisatie die beschikt over een geldig ISO 27001 certificaat laat daarmee zien dat het voldoet aan alle eisen met betrekking tot informatiebeveiliging.

Nu er in de gehele Europese Unie de Algemene Verordening Persoonsgegevens (ofwel AVG /GDPR) van kracht is geworden, is het vraagstuk rondom de gegevensbescherming, actueler dan ooit. Voor uw organisatie betekent dit een extra verantwoordelijkheid. Zo dient u het managementsysteem voor informatiebeveiliging in uw organisatie op orde te hebben. Indien dat (nog) niet het geval is kunnen de gevolgen ernstig zijn. Het kan namelijk niet alleen om de gevolgen op het financiële vlak voor uw organisatie, ook uw reputatie kan behoorlijk worden aangetast bij het ontdekken van een datalek.

Eisen aan de informatiebeveiliging

De eisen die zijn vastgesteld voor een goede informatiebeveiliging zijn samengebracht in ISO 27001. Is het voor uw organisatie van belang om de ISO 27001 certificering aan te vragen, dan is het noodzakelijk om aan deze eisen te voldoen. U laat daarmee zien dat u niet alleen op de hoogte bent van de eisen, maar ook dat u de implementatie van maatregelen ter bevordering van de beveiliging van persoonsgegevens serieus neemt. Niet zelden zullen uw relaties dit ook van u verwachten.

ISO 27001 of ISO 27002?
Op het gebied van informatiebeveiliging zijn er twee certificeringen die vaak worden genoemd:

In beide gevallen zijn het normen die betrekking hebben op de informatiebeveiliging. Het grootste verschil is dat het enkel mogelijk om een ISO 27001 certificering te behalen. In tegenstelling tot ISO 27001 is ISO 27002 een verdieping van de maatregelen uit ISO 27001. Zo wordt er dieper ingegaan op de mogelijke maatregelen die genomen kunnen worden om aan de normeisen uit ISO 27001 te voldoen. In tegenstelling tot ISO 27001 is ISO 27002 dus veel uitgebreider. Bij het opzetten van een managementsysteem voor informatiebeveiliging wat voldoet aan de eisen die voortvloeien uit ISO 27001, is het raadzaam om ISO 27002 te raadplegen.

ISO 27001 of NEN 7510?

Naast ISO 7001 komt ook steeds vaker een andere term naar boven: de NEN 7510 norm. Ook hierbij is sprake van informatiebeveiliging. Waar ISO 27001 zich vooral in algemene zin richt op informatiebeveiliging is NEN 7510 vooral van toepassing op de zorg. Als zorginstelling heeft u dus veelal te maken met deze norm als het gaat om het treffen van maatregelen die een afdoende bescherming bieden bij het minimaliseren van de risico’s in de informatiebeveiliging van uw organisatie.

Waarom ISO 27001?

Bij het opstellen van een managementsysteem voor informatiebeveiliging is ISO 27001 onmisbaar. Naast het beschikbaar stellen van de juiste kennis biedt ISO 27001 ook talloze voordelen.

Door middel van een ISO 27001 certificering laat u zien dat de informatiebeveiliging bij u in goede handen is. Uw organisatie voldoet dan namelijk aan de vereisten voor een goede beveiliging, bovendien eisen steeds meer klanten dat de partners waarmee zij samenwerken, de informatiebeveiliging serieus nemen. Het logische gevolg is dat uw organisatie door middel van een correcte certificering meer (commercieel) interessante kansen krijgt.

Naast de commerciële kansen helpt een ISO 27001 certificaat uw organisatie om de informatiebeveiligingsrisico’s te minimaliseren en kunnen incidenten worden voorkomen. De reputatie van uw organisatie wordt hierdoor dan ook beter beschermd.

In de meest eenvoudige vorm is ISO 27001 een managementsysteem. Dit betekent dan ook dat het mogelijk is om ISO 27001 in het bestaande managementsysteem kunt integreren. Op die manier wordt de informatiebeveiliging een integraal onderdeel van uw organisatie.

Wat houdt ISO 27001 certificering in?

Het behalen van het ISO 27001 certificaat betekent concreet dat u uw relatie de zekerheid kunt geven dat de manier waarop u de aanwezige informatie bewaakt en beheerd, voldoet aan de geldende vereisten. Zo is het duidelijk dat de privacy van de opgeslagen gegevens wordt gegarandeerd en dat er op een verantwoorde manier met de verstrekte gegevens wordt omgegaan. Dit versterkt het imago van uw organisatie en kan zorgen voor nieuwe aanbestedingen.

Het ISO 27001 certificaat heeft een geldigheid van drie jaar. Dit betekent dat er elke drie jaar een nieuwe audit moet plaatsvinden om de geldigheid van het certificaat te behouden. Naast de geldigheidstermijn van drie jaar, wordt elk jaar gecontroleerd of de desbetreffende organisatie aan de eisen voldoet. Een audit om de geldigheid van een reeds verstrekt ISO 27001 certificaat te behouden, wordt uitgevoerd door speciale instellingen die gemachtigd zijn om het certificeringsproces uit te voeren.

De voordelen van ISO 27001 certificering

De voordelen van een geldige certificering zijn legio. Zo gaat het niet enkel om de commerciële voordelen, maar leert u ook om uw organisatie te laten doordringen van het belang van een goede informatiebeveiliging. U houdt uw organisatie, en daarmee ook uw medewerkers, scherp als het gaat om het beperken van de beveiligingsrisico’s.

Risico’s en incidenten terugdringen

De inrichting van een managementsysteem voor informatiebeveiliging is niet alleen van belang voor het voldoen aan de eisen van ISO 27001, het zorgt ook voor een duidelijke positionering van uw organisatie. Uw en uw medewerkers beschikken door ISO 27001 immers over een degelijk kennisniveau waardoor u problemen snel kunt aanpakken en een verergering kunt voorkomen.

Betrouwbaarheid verhogen

Een ISO 27001 certificaat werkt positie door op het imago van uw organisatie. Het zorgt ervoor dat u in uw markt betrouwbaar overkomt. Uw relaties weten door de certificering dat u zorgvuldig en deskundig omgaat met de aan uw organisatie verstrekte (vertrouwelijke) gegevens.

Onderscheidend vermogen ten opzichte van uw concurrenten

Een ISO 27001 certificaat is geen garantie voor een correcte verwerking van persoonsgegevens, het geeft wel aan de u over voldoende kennis beschikt om persoonsgegevens op de juiste manier te verwerken. Dit versterkt niet alleen het vertrouwen wat uw relaties in uw organisatie hebben, het geeft u ook een groot onderscheidend vermogen.

Een betere klanttevredenheid

Naast de professionele en betrouwbare uitstraling van uw organisatie dankzij het ISO 27001 certificaat, zorgt het ook voor het verbeteren van de vertrouwensband met uw klanten. Het certificaat laat zien dat de manier waarop u gegevens bewaard en verwerkt veilig is, en dat u maatregelen heeft genomen om de mogelijke risico’s te beperken. Dit versterkt het vertrouwen wat men in uw organisatie heeft.

Wat is nodig voor een ISO 27001 certificering

Om in aanmerking te komen voor een ISO 27001 certificering, dienen een aantal zaken in uw organisatie op orde te zijn. Dit kunt u eenvoudig controleren aan de hand van deze uitgebreide checklist. Op die manier krijgt u snel inzicht in mogelijke knelpunten en verloopt het proces van certificering een stuk voorspoediger.

Is uw organisatie helemaal op orde en voldoet u reeds aan de eisen vanuit ISO 27001, dan kunt u een audit aanvragen voor de certificering. Deze audit wordt uitgevoerd door een externe certificatie instelling.

Is uw managementsysteem voor informatiebeveiliging op orde? Dan kunt u middels een ISO 27001 audit uitgevoerd door een onafhankelijke certificatie-instelling laten beoordelen of u daadwerkelijk voldoet aan alle vereisten. Geeft de auditor een positief advies? Dan ontvangt u het officiële ISO 27001 certificaat.