ISO 27001 certificering
Wat is ISO 27001?
ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. ISO 27001 beschrijft hoe u procesmatig met het beveiligen van informatie kunt omgaan. ISO 27001 specificeert eisen voor het opzetten en onderhouden van een Information Security Management System (ISMS). ISO 27001 bevat de High Level Structure (HLS), de basisstructuur met kerneisen voor managementsysteemnormen waarmee het integreren van ISO-managementsystemen eenvoudiger wordt.
ISO 27001 methode
ISO 27001 informatiebeveiliging is een standaard methode van beveiliging die gebruik maakt van formeel bewezen gestandaardiseerde Best Practises om systematisch zwakke punten in de toegang aan te pakken. De principes en grondbeginselen van deze norm zijn in grotere bedrijven al lange tijd gangbaar. Met een ISO 27001 certificaat laat u zien dat u voldoet aan systematische preventie en bewaking om incidenten te voorkomen, fouten en afwijkingen in databasestoegang te signaleren en gevolgen van incidenten te beheersen.
​
Soms verplicht
ISO 27001 is bedoeld om te laten zien dat een bedrijf informatiebeveiliging serieus neemt en aan beveiligingseisen uit de norm voldoet. In Nederland is ISO 27001 verplicht gesteld voor Nederlandse overheden op basis van het: pas toe of leg uit principe.
​
Normontwikkeling
ISO 27001 is ontwikkeld door de ISO (International Standardization Organization) en is bijna geheel overgenomen uit deel 2 van de vroegere BS 7799. ISO 27001 maakt onderdeel uit van de ISO 27000-serie waartoe ook de normen ISO 27002 en ISO 27007 behoren. ISO 27001 heeft als actuele versie de ISO/IEC 27001:2022. ISO 27001 is vertaald door de NEN, heet dan NEN-EN-ISO/IEC 27001:2023 en werd gepubliceerd in augustus 2023. ISO 27001 is in digitale vorm te verkrijgen bij de NEN (het Nederlands Normalisatie instituut).
Toepassing
ISO 27001 is van toepassing op alle soorten organisaties in elke branche en van elke omvang. ISO 27001 is de basis voor de NEN 7510, de informatiebeveiligingsnorm voor de zorgsector.
​
Praktische uitvoering
ISO 27001 is in feite een praktische gids en handleiding om de waardevolle principes en Best Practises in deze norm te gebruiken als richtlijn voor het invoeren van een praktische management methode voor informatiebeveiliging. De norm is een benchmark voor klanten om bedrijfsprestaties te vergelijken met aanverwante organisaties. Deze norm bevat een aantal hoofdstukken met de uitgebreide beschrijving en uitleg van de werking van een ISMS.
ISO 27001 houdt ook in dat u werkt in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) en reguliere wet- en regelgeving.
​
Wat houdt ISO 27001 certificering in?
Certificering van de organisatie bevestigd de kenmerken eigenschappen kwaliteit en status van uw producten werknemers en organisatie. Een geaccrediteerde door de RvA geautoriseerde en erkende certificatie-instelling geeft u die bevestiging na een externe audit. deze externe audit is een controle beoordeling en verificatie van de bevindingen van dit deze audit waarmee het functioneren van de organisatie wordt onderzocht.
Deze bevestiging is een schriftelijke verklaring die wordt verleend als een ISO certificaat en is een kwalificatie van het voldoen aan normeisen conform de vooraf vastgestelde specifieke norm en in overeenstemming met het certificatie schema.
Als eerste wordt tijdens de certificatie vastgesteld, welke taken, activiteiten en processen binnen het bedrijf risico’s inhouden voor de veiligheid van informatie en dus moeten worden beveiligd.
ISO 27001 vraagt vervolgens beveiligingsrisico’s te analyseren, controleren en beoordelen, dit geeft het inzicht in de mogelijke gevolgen die de risico's met zich mee kunnen brengen.
De uitkomst van de analyse wordt vertaald in technische en procedurele maatregelen. Deze maatregelen waarborgen de integriteit, beschikbaarheid en vertrouwelijkheid van bedrijfsinformatie.
Periodieke audits controleren of de beveiliging op peil blijft en beoordelen of het ISMS nog steeds voldoet aan de gestelde eisen.

Wat is ISO 27001
ISO/IEC 27001 is een internationale norm die eisen stelt aan het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). Deze norm is gericht op het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie binnen een organisatie door middel van een systematische risicobeoordeling en de toepassing van passende beheersmaatregelen. Deze norm is de basis voor het certificeren van organisaties en daarmee aan te tonen dat zij op gestructureerde en gecontroleerde wijze omgaan met informatiebeveiliging.
Het genoemde ISMS is een samenhangend stelsel van beleid, processen, procedures en middelen dat gericht is op het beheersen van informatiebeveiligingsrisico’s. De vertrouwelijkheid, integriteit en beschikbaarheid betekenen respectievelijk dat informatie alleen toegankelijk is voor bevoegden, niet ongewenst wordt gewijzigd en beschikbaar is wanneer nodig.
De risicobeoordeling van ISO 27001 bestaat uit het identificeren analyseren en evalueren van risico’s worden geïdentificeerd, geanalyseerd en geëvalueerd. Op basis van geïdentificeerde risico's worden beheersmaatregelen gekozen om risico’s te beperken. Deze maatregelen zijn deels vastgelegd in Annex A, een bijlage bij de norm met een overzicht van 114 mogelijke maatregelen verdeeld over 14 domeinen. De gekozen maatregelen worden vastgelegd in een Statement of Applicability (SoA), waarin ook wordt verantwoord waarom bepaalde maatregelen wel of niet worden toegepast.
Het hele ISMS wordt ingericht binnen een duidelijke scope, die bepaalt welke processen, systemen en onderdelen van de organisatie onder het systeem vallen. het ISMS is de basis voor een effectieve bewaking en verbetering van de effectiviteit van de maatregelen volgens de PDCA-cyclus (Plan-Do-Check-Act), waarmee organisaties streven naar continue verbetering. De certificering van ISO 27001 kan na de implementatie is een toetsing door een onafhankelijke partij, wat leidt tot het ISO certificaat indien aan alle eisen is voldaan.
ISO 27001 certificaat
Het ISO 27001 certificaat is het schriftelijk bewijs dat u aantoonbaar voldoet aan de eisen en kunt laten zien dat uw organisatie in staat is te voldoen aan strikte beveiligingseisen.
Het ISO certificaat is overal geldig en wordt wereldwijd geaccepteerd erkend en aanvaard. Het is de garantie voor betrouwbaarheid van de organisatie en een zekerstelling dat de organisatie haar afspraken nakomt.
Varianten op ISO 27001
-
Een variant naast ISO 27001 is ISO 27002, met praktische richtlijnen voor de in de norm voorgeschreven maatregelen
-
ISO 27003 is een ISO 27001-variant die een stapsgewijze implementatie van de norm beschrijft.
-
ISO 27005 is een variant op de norm gericht op het risicomanagementproces.
-
ISO 27017 bouwt voort op ISO 27001 met specifieke controls voor cloudsecurity.
-
ISO 27018 is een ISO 27001-variant die zich richt op de bescherming van persoonsgegevens in de cloud.
-
ISO 27701 breidt ISO 27001 uit tot een privacy information management-norm.
-
Bijvoorbeeld implementeert een bank ISO 27001 om klantgegevens te beschermen, en dat is relevant omdat het zowel klantvertrouwen verhoogt als helpt te voldoen aan privacywetgeving.
ISO 27001 conclusie
ISO 27001 is meer dan een keurmerk: het is een gestructureerde aanpak voor het beschermen van waardevolle informatie. Door te investeren in certificering, toont een organisatie aan dat zij privacy en gegevensbescherming serieus neemt – en dat is essentieel in de digitale wereld van vandaag.​