Wat is ISO27001?_

Auteur: Lisette Anink

Information security _

Informatiebeveiliging is de laatste jaren een belangrijk onderwerp geworden voor organisaties. Een artikel op Gartner geeft zelfs aan dat er voor het einde van 2019 al meer dan $124 miljard aan informatie beveiliging zal zijn uitgegeven.

Organisaties moeten op de juiste manieren omgaan met de (gevoelige) informatie van klanten, business partners en leveranciers, zodat de veiligheid van deze informatie wordt bewaakt. De ISO27001 standaard helpt organisaties bij het beveiligen en managen van intere en externe informatie.

Een informatiebeveiliging managementsysteem_

ISO27001 is een internationale standaard die beschrijft hoe een organisatie haar informatiebeveiliging moet managen. Een ISO27001 certificering geeft aan dat een organisatie de juiste maatregelen heeft genomen om informatiestromen binnen de organisatie te beveiligen.

Als we verder kijken zien we dat de ISO27001 standaard een systeem beschrijft waarmee organisaties de informatiebeveiliging kan managen (ISMS: Information security management system). De ISMS beschrijft een “framework” waarmee organisaties risico’s — die te maken hebben met informatie van klanten of informatie van de organisatie zelf — kan identificeren, analyseren en minimaliseren.

Voor elke organisatie

De ISO270001 standaard is toepasbaar in alle soorten organisaties: profit, non-profit, commerciële enterprises, government agencies, kleine en mkb ondernemingen en multinationals zijn een aantal vormen die gebruik kunnen maken van de ISO27001 standaard om de informatiebeveiliging te managen. Naast alle vormen van organisaties is de standaard ook niet markt of industrie afhankelijk.

Certificering_

Om aan te kunnen tonen dat jouw organisatie alle verplichtingen in de standaard is nagekomen, kan het zich ISO27001 laten certificeren. Ondanks dat certificering compleet optioneel is, neemt de vraag naar certificering onder klanten, business partners en leveranciers flink toe in de afgelopen jaren.

De stijging in de vraag komt omdat de bovengenoemde partijen — redelijk begrijpelijk — steeds meer beginnnen te twijfelen over de veiligheid van hun informatie.

Volgens een ISO-enquête uit 2017 steeg het aantal gecertificeerde bedrijven met ongeveer 20% ten opzichte van 2016. Het aantal certificaten dat aan het einde van 2017 uit was gereikt lag rond de 40.000.

Afhankelijk van de scope

Een ISO27001 certificaat is zeker een goede manier om aan te tonen dat jouw organisatie heel serieus omgaat met informatiebeveiliging. Toch moeten we een belangrijk verschil uitlichten om verwarring te voorkomen. Een ISO27001 certificaat zegt: “wij hebben een ISMS dat alle verplichtingen in de ISO27001 standaard nakomt” en niet per se: “wij zijn volledig beveiligd”.

Als bedrijf bepaal jij zelf ook de scope van het ISMS. Je kunt dus bijvoorbeeld besluiten dat de ISMS alleen voor jouw office en HR afdeling geldt en niet voor de marketing afdeling. Kijk dus goed naar de scope en welke onderdelen van jouw organisatie jij wil opnemen in het nieuwe ISMS.

Dus als je als klant, leverancier of business partner volledig afhankelijk bent van de veiligheid van jouw informatie, dan geeft dit certificaat een goede indicatie, maar zegt het niet alles.

ISO27001 implementatie_

Hier bij Nerd as a Service zijn we klaar om jouw organisatie te helpen met het implementeren van de ISO27001 standaard en jouw organisatie voor te bereiden om gecertificeerd te worden. Neem nu contact met ons op, zodat wij de mogelijkheden voor jouw organisatie kunnen bespreken.

Lees meer over ISO27001 en onze cases: