Onze experts beantwoorden wekelijks een specifieke vraag over ISO 27001. Ontdek hieronder het eerste hoofdstuk: Wat betekent ISO27001 certificering eigenlijk?
De standaard
ISO 27001 is een internationaal erkende norm. Het definieert de vereisten voor het opzetten, implementeren, gebruiken, bewaken, beoordelen, onderhouden en verbeteren van een gedocumenteerd beheersysteem voor informatiebeveiliging (ISMS). De norm is afgestemd op de bedrijfsactiviteiten van de organisatie en richt zich op de risico’s waarmee de organisatie wordt geconfronteerd. De norm maakt deel uit van een familie van internationale ISMS-standaarden die organisaties over de hele wereld voordelen bieden door de informatiebeveiliging te verbeteren in de alomtegenwoordige risico-omgeving van vandaag.
Geschiedenis en evolutie
De ISO27001:2013 is de evolutie van de vorige versie uit 2005 die zelf een herziene en bijgewerkte versie is van de enorm succesvolle Britse norm BS 7799, deel 2, en integreert de procesgebaseerde aanpak van ISO 9001:2000 en ISO 14001:2004. Zoals alle normen wordt ISO 27001 elke vijf jaar systematisch herzien. De norm wordt momenteel herzien door verschillende instanties en een bijgewerkte versie wordt binnenkort verwacht.
De ISO 27001 certificering
Externe geaccrediteerde en gerespecteerde certificeringsinstanties voeren de certificering uit. ISO zelf voert geen certificeringen uit; het produceert alleen normen en geeft richtlijnen. Het verkrijgen van een certificaat door een dergelijke instantie betekent dat uw beheersysteem voor informatiebeveiliging voldoet aan de vereisten van de ISO 27001-normen voor een specifiek toepassingsgebied van uw organisatie of voor de gehele organisatie.
ISMS en voortdurende verbetering
Een beheersysteem voor informatiebeveiliging handhaaft de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Het beschermt de gegevens van de organisatie, klanteninformatie en gegevens van andere belanghebbenden. Het is ontworpen als een levenscyclusproces en beheert continu risico’s in een steeds veranderend bedreigings- en kwetsbaarheidslandschap.
Branche en grootte van het bedrijf
Deze standaard is van toepassing op kleine, middelgrote en grote organisaties. Hij integreert flexibel met bestaande managementsystemen en stelt organisaties in staat om verschillende risicomanagementbenaderingen toe te passen.
Organisaties in verschillende sectoren, waaronder telecommunicatie, financiën, verzekeringen, nutsbedrijven, detailhandel, productie, gezondheidszorg en overheid, integreren het nu in hun bedrijfsstrategieën.
Verplicht
ISO 27001-certificering is tegenwoordig niet verplicht. Naarmate de regelgeving en nalevingsverplichtingen echter toenemen (bijv. met de recente GDPR, eIDAS, NIS, andere specifieke sectorgebaseerde regelgeving), bevelen regelgevers, klanten en andere belanghebbenden ISO 27001-certificering sterk aan als bewijs om hun betrokkenheid bij de bescherming van gevoelige informatie aan te tonen. ISO 27001 wordt steeds vaker opgenomen in acceptatiecriteria voor bedrijven die inschrijven op private en publieke aanbestedingen.
Daarom raadt Approach alle bedrijven aan om minimaal een beheersysteem voor informatiebeveiliging te implementeren. Het certificeringstraject moet worden gezien als een kleine stap extra die een enorm rendement op die investering oplevert.
