ISO 27001 is een norm voor informatiebeveiliging. Het beschrijft hoe organisaties hun informatie kunnen beveiligen. Met een ISO 27001-certificering toon je met je organisatie aan dat je voldoet aan de strenge eisen rondom informatiebeveiliging. Een ISO 27001-certificering is niet verplicht, maar wekt wel internationaal vertrouwen.
De strenge eisen van ISO27001 gaan verder dan alleen techniek. Het draait namelijk ook om bewustwording en processen binnen een organisatie. Zo schrijft ISO 27001 voor dat alle medewerkers een passende security awareness training krijgen en regelmatig worden bijgeschoold.
Het woord 'passend' is natuurlijk erg vaag en weinig specifiek. Wij adviseren om doorlopend met security awareness bezig te zijn en medewerkers regelmatig nieuwe trainingen, games en kennistesten over de diverse thema's aan te bieden. Monitor bovendien voortgang en resultaten om het geheel aantoonbaar te maken.
Daarnaast is het belangrijk om regelmatig het gedrag van medewerkers te testen. Dit kan met tools zoals periodieke phishingsimulaties of social engineering onderzoeken. Een phishingsimulatie of ander gedragsonderzoek is tegelijkertijd een bewustwordingsmoment.
Door de combinatie van trainen en testen zullen medewerkers beter in staat zijn om risico's te herkennen en zullen ze bewuster met gegevens omgaan. Zo verklein je de kans op informatie-incidenten in je organisatie.
Benieuwd hoe je security awareness als onderdeel van ISO 27001 toepast in de praktijk? Je leest het hier.
Het behalen van je ISO 27001-certificering heeft veel voordelen, zowel binnen je organisatie als voor stakeholders. Je waarborgt namelijk continue de informatiebeveiliging van je bedrijfsprocessen. Zo kan je organisatie aantoonbaar maken dat het voldoet aan wet- en regelgeving én beschikt over een betere risicobeheersing dan organisaties zonder ISO 27001. Hiermee bescherm je niet alleen je data, maar ook je reputatie en je financiën. Dit vergroot het vertrouwen bij stakeholders. Zij weten dat hun informatie goed beschermd wordt en dat de bedrijfscontinuïteit van je organisatie minder risico loopt doordat je organisatie weerbaar is tegen cyberincidenten.
Organisaties hebben informatiebeveiliging nodig om hun data, systemen en klantvertrouwen te beschermen. Cyberdreigingen, datalekken en menselijk falen kunnen financiële schade en reputatieverlies veroorzaken. Dankzij ISO 27001 kunnen deze risico's op een systematische manier worden vastgelegd zodat je organisatie beveiligingsmaatregelen kan treffen die deze risico's verkleinen. Dit gebeurt in een ISMS (Information Security Management System).
ISMS is een systeem waarin je de risico’s rondom (cyber)security in kaart brengt. Het gaat hierbij niet om een softwaresysteem, maar om een aanpak waarmee je risico’s en dreigingen herkent, beheerst en je organisatie procesmatig verbeterd. Denk hierbij aan:
ISO 27001 biedt het kader en een ISMS brengt het tot leven.
Een ISO 27001-audit is zeker geen kruisverhoor, maar het is wel een grondige en strenge controle van je informatiebeveiliging. Hoewel het misschien lijkt alsof er een checklist wordt afgewerkt, zal de werkelijkheid van een audit meer ruimte geven aan gesprek over documentreviews, praktijkvoorbeelden en de werking van je ISMS. Een ISO-audit zou je kunnen opdelen in 3 fases:
Fase 1: onderzoek
Veel organisaties starten met een pre-audit of een gap-analyse om erachter te komen of er ergens in de organisatie nog ‘gaten’ zitten. Denk bijvoorbeeld aan het ontbreken van beleid, onvoldoende bewijs of geen monitoring van maatregelen. In een vooronderzoek kijk je vaak samen met een expert of je klaar bent voor de ISO 27001-audit. Dit vooronderzoek is optioneel maar wel aan te raden.
Fase 2: certificeringsaudit
De ISO 27001-audit bestaat uit een documentatiecheck en een praktijkcheck. Tijdens de documentatiecheck controleert een auditor of je ISMS op papier in orde is. Met een praktijkcheck controleert de auditor hoe dit er in de praktijk uitziet. De auditor vraagt onder andere naar je beleid, procedures, logs, de afhandeling van eventuele incidenten en interviewt medewerkers.
Fase 3: controles en hercertificering
Ben je eenmaal ISO-27001 gecertificeerd? Dan krijg je jaarlijks een opvolgingsaudit. Soms kan een auditor langskomen voor een extra audit, maar dit is eigenlijk alleen het geval als er grote interne veranderingen hebben plaatsgevonden in de organisatie of in het ISMS. Na drie jaar vervalt je ISO 27001-certificaat en kan je kiezen voor een hercertificering.
Een ISO 27001-audit is niet zo simpel als het afwerken van een checklist, overal een vinkje voor halen en erna de vlag uithangen. Deze kwaliteitsnorm staat voor constante monitoring en verbetering van je ISMS. De ISO 27001 checklist geeft alleen weer welke beheersmaatregelen worden getoetst tijdens een audit. Hierbij gaat het om belangrijke onderwerpen als:
- Organisatorische beheersmaatregelen
Deze maatregel richt zich op beleid, processen en verantwoordelijkheden. Zijn er duidelijke afspraken gemaakt over informatiebeveiliging binnen de organisatie?
- Mensgerichte beheersmaatregelen
Mensen zijn vaak de zwakste schakel in informatiebeveiliging. Met voldoende security awareness training, duidelijke gedragscodes en heldere verantwoordelijkheden kan iedereen bewust en waakzaam werken waardoor de menselijke factor je sterkste schakel in informatiebeveiliging kan worden.
- Fysieke beheersmaatregelen
Deze maatregelen gaat om de fysieke beveiliging van je omgeving. Hoe goed is je informatie en systemen beveiligd tegen ongewenste fysieke toegang, schade of verlies?
- Technologische beheersmaatregelen
Dit is de technische en ‘harde’ kant van informatiebeveiliging waarbij IT aan moet kunnen tonen voldoende technische beveiligingsmaatregelen te nemen om alle informatie en systemen te beveiligen. Denk hierbij aan bijvoorbeeld firewalls, MFA, dataencryptie, etc.
De kosten van een ISO 27001-audit beginnen vaak bij enkele duizenden euro’s. Dit bedrag loopt op naarmate de grote van je organisatie en de scope van je certificering (welke onderdelen en systemen vallen eronder). Ook kunnen de kosten per certificeringsinstantie lichtelijk uiteenlopen door verschillen in tariefstructuur en aanpak.
Houd rekening met het feit dat de auditkosten slechts een deel van het totaalplaatje zijn. Een ander component zijn de implementatiekosten. Dit betreft alle inspanning, tijd en middelen die je moet investeren om je organisatie klaar te stomen voor certificering. Denk hierbij niet alleen over het inrichten van een ISMS, maar ook aan het opstellen en implementeren van beleidsdocumenten, het uitvoeren van risicoanalyses en het uitzetten van awareness-training voor medewerkers.
Afhankelijk van je huidige volwassenheidsniveau op het gebied van informatiebeveiliging, kan dit intern worden aangepakt of dien je externe hulp in te schakelen. Wanneer je hulp van buitenaf inschakelt, brengt dit ook weer extra kosten met zich mee. Het voordeel is wel dat dit het proces versnelt en de kans op een succesvolle audit vergroot.
Kortom: een ISO 27001-certificering is een waardevolle investering, maar wel eentje waarbij je rekening dient te houden met zowel directe auditkosten als de bredere implementatie inspanningen.
Deze norm is interessant voor organisaties die willen aantonen dat zij informatiebeveiliging hoog in het vaandel hebben staan. Omdat het gaat om een vrijwillige kwaliteitsstandaard die specifiek gericht is op het beschermen van informatie, is deze vooral relevant voor organisaties die werken met vertrouwelijke of kritieke gegevens, zoals:
Voor de zorgsector is de NEN 7510 norm van toepassing. Deze norm beschrijft specifiek hoe de zorg hun informatiebeveiliging moet inrichten en lijkt erg op ISO 27001. NEN 7510 is een vrijwillige norm. Overheden kennen vanaf 2025 BIO2, een verplicht normenkader voor informatiebeveiliging. BIO2 sluit aan op de nieuwste internationale standaarden, waaronder ISO 27001.
Trainingsmodules
Klanten wereldwijd
Medewerkers getraind
Stap aan boord bij Awaretrain voor structurele security awareness.
