Wat is ISO 27001?

ISO 27001 certificering is een internationale managementstandaard voor informatiebeveiliging binnen organisaties en ondernemingen. In deze standaard staat feitelijk beschreven hoe u binnen uw organisatie dient om te gaan met informatiebeveiliging en hoe deze procesmatig ingericht kan worden. Het doel van ISO 27001 is in feite om vanuit zowel de bedrijfsstrategie als de stakeholdersoptiek, de beschikbare, vaak gevoelige, informatie op een serieuze en professionele te behandelen. Door het uitvoeren van kwalitatieve risicoanalyses kunnen dan toereikende controle maatregelen worden geïmplementeerd.

iso 27001 certificering

Informatiebeveiliging

Informatiebeveiliging is in feite niks anders dan het geheel aan maatregelen die de beschikbaarheid, integriteit en het vertrouwelijke karakter van informatie in al haar verschijningsvormen kan waarborgen. In het verlengde van die definitie ligt ook het doel van een goede informatiebeveiliging. Het uiteindelijke doel is namelijk tweeledig. Aan de ene kant wordt getracht om de beschikbaarheid van de juiste informatie te waarborgen om zo de continuïteit van de informatievoorziening te kunnen garanderen. Aan de andere kant beoogt een goede informatiebeveiliging om de gevolgen van beveiligingsincidenten te beperken tot een acceptabel niveau.

Wat is een norm of standaard

Een norm of standaard is het geheel aan afspraken die in een document zijn samengevat waarin duidelijke afspraken staan vermeld. In veel gevallen heeft dit betrekking op een dienst of product en verwijst de norm of standaard naar de criteria waaraan een dergelijke dienst of product moet voldoen. Een bedrijf organisatie kan bijvoorbeeld een eigen norm of standaard hanteren, maar er kan ook sprake zijn van een internationaal vastgestelde norm of standaard. In dat laatste geval is er sprake van een erkende standaardisatieorganisatie. Dergelijke organisaties werken volgens vastgestelde procedures en regels die controleerbaar zijn. Voorbeelden van dergelijke (internationale) standaardisatieorganisaties zijn de volgende:

Nationale standaardisatieorganisaties:

Europese en internationale standaardisatieorganisaties:

ISO 27000 familie

ISO 27001 is geen op zichzelf staande norm, maar is een onderdeel van de ISO 27000-familie. Binnen deze groep vallen ook andere ISO-normen zoals bijvoorbeeld ISO 27001, ISO 27002, ISO 27007 en ISO 27008. Binnen deze groep van ISO-normen wordt duidelijk aangegeven wat de richtlijnen voor implementatie zijn en hoe een audit voor een accreditatie moet worden uitgevoerd.

Lees ook; het verschil tussen ISO 27001 en ISO 27002

Voor wie is ISO 27001 bedoeld

Iso 27001 is een uitgelezen mogelijkheid voor organisaties en ondernemingen om aantoonbaar te maken dat men op een serieuze manier omgaat met het vraagstuk van informatiebeveiliging. Het maakt duidelijk dat men een serie maatregelen, processen en procedures hanteert om de informatiebeveiliging te optimaliseren. Voor de relatie met stakeholders kan een ISO 27001certificering van grote waarde zijn. Te denken valt aan (grote) ICT bedrijven of andere organisaties waarbij de beveiliging van vertrouwelijke informatie een absolute prioriteit is. Dit is bijvoorbeeld het geval bij banken, verzekeraars, overheid en zorginstellingen.

Wat is een ISMS

ISMS is de afkorting voor Information Security Management System. Het is een veel gebruikte term waarmee een serie maatregelen, processen en procedures wordt bedoeld waarin is bepaald hoe men omgaat met de informatiebeveiliging. Deze methode geeft tevens aan hoe een organisatie de opgedane ervaring gebruikt om zichzelf te verbeteren.

Wat is een auditor

Een auditor is de persoon die zich op professioneel niveau bezig houdt met het controleren van een organisatie of onderneming. De meest gehanteerde definitie van een auditor is:

“een geplande en gedocumenteerde activiteit die bepaald wordt door onderzoek, toetsing, evaluatie van objectief bewijsmateriaal, de toereikendheid en de naleving van vastgestelde procedures en de effectiviteit van de uitvoering door gekwalificeerd personeel.”

Het ISO 27001 certificaat

Als een organisatie zich wenst te laten certificeren op basis van ISO 27001 kan deze hiertoe een verzoek indienen bij een certificerende instantie. Voldoet men na het voltooien van de audit aan de vastgestelde normen en waarden, dan ontvangt met het IDO 27001 certificaat. De feitelijke auditering vindt plaats aan de hand van vastgestelde richtlijnen zodat bij elke certificering sprake is van een gelijkwaardige beoordeling. Indien het certificaat is voorzien van het RvA-stempel, dan is dit de zekerheid dat de certificerende instantie is gecontroleerd door de Raad van Accreditatie. Dit geeft een duidelijke meerwaarde aan het certificaat en laat zien dat de certificerende instantie voldoet aan de geldende kwaliteitsnormen.