Systeem voor informatiebeveiliging met behulp van ISO 27001

Het onderwerp “informatiebeveiliging” wordt steeds belangrijker voor bedrijven te midden van digitale transformatie. Zonder adequate beveiligingsmaatregelen bestaat het risico van gegevensverlies en -diefstal door hackers, operationele verstoringen door webgebaseerde aanvallen of misbruik van gegevens. Een alternatief voor een gestructureerde aanpak is een Information Security Management System (ISMS) volgens ISO 27001.

Wat is ISO 27001?

ISO/IEC 27001 is de toonaangevende internationale norm voor het implementeren van een holistisch Information Security Management System. Het richt zich op de identificatie, beoordeling en het beheer van risico’s voor informatiebeheerprocessen. De beveiliging van vertrouwelijke informatie wordt benadrukt als een essentiële strategische factor. Informatie omringt ons overal en maakt deel uit van elk proces. Soms is het triviaal, maar maar al te vaak is het kritisch en vertrouwelijk. Om dit belangrijke onderscheid voor je organisatie te maken, is het noodzakelijk om de informatie te classificeren. De beschermingsmaatregelen in een Information Security Management System (ISMS) volgens ISO/IEC 27001 zijn namelijk gebaseerd op deze classificatie. Een ISMS creëert een kader om bedrijfsgegevens en de vertrouwelijkheid ervan te beschermen. Tegelijkertijd garandeert de wereldwijd erkende norm de beschikbaarheid van de IT-systemen die betrokken zijn bij de bedrijfsprocessen. In deze context geeft ISO 27001 certificering een sterk signaal af aan de markt: namelijk een onafhankelijke externe evaluatie en bevestiging van de effectiviteit van uw ISMS. Met EN ISO/IEC 27001:2017-06 is een versie gepubliceerd die is gecoördineerd door het Europees Comité voor Normalisatie (CEN). Deze combineert de twee correcties (corrigenda) Cor 1:2014 en Cor 2:2015. De wijzigingen in verband met de correctie betreffen alleen een verbeterde beschrijving van de gerelateerde eisen, maar geen nieuwe aanvullende eisen. Certificaten volgens de ISO/IEC 27001:2013 versie behouden dus hun geldigheid.

Voor wie is ISO 27001 certificering geschikt?

De ISMS-norm ISO 27001 is wereldwijd van toepassing. Het biedt bedrijven van alle groottes en industrieën een raamwerk voor het plannen, implementeren en bewaken van hun informatiebeveiliging. De vereisten zijn van toepassing op en bindend voor zowel private en publieke bedrijven als non-profitorganisaties. In Duitsland bijvoorbeeld moeten bedrijven die tot een kritieke-infrastructuursector (KRITIS) behoren en een drempelwaarde overschrijden, aantonen hoe ze hun informatiebeveiliging waarborgen. KRITIS-sectoren zijn onder andere energie, water, gezondheid, financiën en verzekeringen, levensmiddelen, vervoer en verkeer, informatietechnologie en telecommunicatie. Het bijbehorende bewijs van implementatie kan worden geleverd door middel van beveiligingsaudits, testen of certificeringen. Voor dit doel kunnen erkende normen zoals ISO 27001 of industriespecifieke beveiligingsnormen erkend door het Duitse Federale Bureau voor Informatiebeveiliging (BSI) worden gebruikt als basis voor de audit.

Wat maakt de ISO 27001-norm nuttig voor mijn bedrijf?

Het implementeren van een ISMS volgens ISO/IEC 27001 is een strategische beslissing voor uw bedrijf. Het voldoen aan de algemene vereisten van de norm moet de specifieke situatie van het bedrijf weerspiegelen. Implementatie in het bedrijf is afhankelijk van de behoeften en doelen, beveiligingseisen en organisatorische processen, evenals de grootte en structuur van het bedrijf. Bijzonder waardevol voor de praktijk is de implementatie van de maatregelen in bijlage A van de norm. Naast het deel met managementsysteemgerichte eisen (hoofdstukken 4-10) bevat de ISO-norm een uitgebreide lijst met 35 controledoelstellingen met 114 concrete maatregelen voor verschillende beveiligingsaspecten in 14 hoofdstukken in Bijlage A. De maatregelen moeten worden geïmplementeerd binnen het kader van het managementsysteem. Deze maatregelen moeten worden geïmplementeerd als onderdeel van het managementsysteem, voor zover ze relevant zijn voor uw bedrijf. Het is aangetoond dat een consistente afstemming van de bedrijfsprocessen op ISO 27001 tot verschillende voordelen leidt:

• Continue verbetering van het beveiligingsniveau.
• Vermindering van bestaande risico’s.
• Voldoen aan compliance-eisen.
• Verhoogd bewustzijn onder werknemers.
• Verhoogde klanttevredenheid.

Interne audits en managementreviews waarbij het topmanagement betrokken is, zijn de interne hefbomen om dit te bereiken. Andere positieve aspecten zijn dat belanghebbenden, zoals regelgevende instanties, verzekeringsmaatschappijen, banken en partnerbedrijven, meer vertrouwen in uw bedrijf opbouwen. Een gecertificeerd managementsysteem geeft namelijk aan dat uw organisatie risico’s op een gestructureerde manier beheert en zich inzet voor continue verbeteringen (CIP), waardoor het weerbaarder wordt tegen ongewenste invloeden. De internationale norm ISO/IEC 27001 kan ook onafhankelijk van andere beheersystemen zoals ISO 9001 (kwaliteitsbeheer) of ISO 14001 (milieubeheer) worden geïmplementeerd, toegepast en gecertificeerd.