Vermijd stress en download de ISO 27001 checklist. De ISO 27001 norm is een belangrijke standaard voor informatiebeveiliging. Met de ISO 27001 checklist wordt duidelijk hoe je organisatie aan deze veiligheidsnorm voldoet. In de checklist staat beschreven waar een auditor op let en waar KeyHub jou zou bij kunnen helpen. Kijk snel wat je moet doen om compliant te zijn.
De ISO 27001 norm is een internationale norm voor informatiebeveiliging. Het beschrijft de eisen voor een Information Security Management System (ISMS). Zo’n managementsysteem voor informatiebeveiliging draait om het beveiligen van vertrouwelijke informatie.
ISO 27001 is in 2005 gepubliceerd door de International Organization for Standardization (ISO). Af en toe wordt de norm bijgewerkt. Technologie en werkmethodes veranderen namelijk. Maar ook de bedreigingen van vandaag zijn anders dan die van 2005. En daarmee ook de risicoanalyse. De recentste ISO 27001 update was in 2022.
De norm is van toepassing op alle soorten organisaties die gevoelige informatie verwerken, opslaan of verzenden. Dit kan variëren van grote multinationale bedrijven tot kleine start-ups en non-profitorganisaties.
Een ISO 27001 certificaat biedt duidelijke voordelen. Het kan bijvoorbeeld helpen bij het verbeteren van de reputatie en bij het verkrijgen van nieuwe klanten. Daarnaast kan het helpen bij het naleven van de wetgeving op het gebied van gegevensbescherming. Denk daarbij aan de Algemene Verordening Gegevensbescherming (AVG) in de Europese Unie.
ISO 27001 en 27002 zijn beide normen voor informatiebeveiliging, maar ze hebben verschillende doelen en focusgebieden. Bij ISO 27002 (en ISO 27003) gaat het om concrete (beveiligings)maatregelen. Bij ISO 27001 gaat het om management. Zo kun je in een ISO 27002 handboek een tekst over een firewall tegenkomen. In een ISO 27001 handboek staat bijvoorbeeld een tekst over hoe te reageren op een cyberincident.
Doel:
ISO 27001 is een norm voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). Het richt zich op het proces van het beheersen van informatiebeveiliging in een organisatie.
ISO 27002 is een norm voor het kiezen en implementeren van beveiligingsmaatregelen in het kader van een ISMS. Het biedt een reeks best practices voor informatiebeveiliging die organisaties kunnen gebruiken om hun ISMS te verbeteren.
Focusgebieden:
ISO 27001 richt zich op de processen die nodig zijn om de informatiebeveiliging in een organisatie te beheersen. Onderwerpen zijn onder meer risk assessment, beveiligingsbeleid, beheer van beveiligingsincidenten en fysieke beveiliging.
ISO 27002 richt zich op de beveiligingsmaatregelen die organisaties kunnen implementeren om hun informatie te beschermen. Dan gaat het over o.a. toegangscontrole, cryptografie, netwerkbeveiliging en beveiliging van mobiele apparaten.
Daarnaast is ISO 27001 certificeerbaar. Organisaties kunnen worden geaudit en gecertificeerd voor hun ISMS als ze voldoen aan de eisen van de norm. ISO 27002 is niet certificeerbaar.
De audit van ISO 27001 is een evaluatie om te bepalen of een organisatie voldoet aan de eisen van de ISO 27001-norm voor informatiebeveiliging. De audit wordt uitgevoerd door een onafhankelijke en geaccrediteerde certificeringsinstantie.
De organisatie die wordt geauditeerd, moet alle relevante documentatie voorbereiden, zoals het Information Security Management System (ISMS) beleid, procedures en richtlijnen. Een interne audit maakt duidelijk of deze voorbereiding goed was.
De externe auditor voert dan een audit uit van de opgestelde documenten en procesbeschrijvingen. Zo kijkt de auditor of de organisatie en het ISMS klaar zijn voor de gedetailleerde (Fase 2) audit. In die Fase 2 audit kijkt de auditor niet alleen naar hoe werkwijzen zijn beschreven, maar interviewt ook medewerkers om te kijken hoe de procedures in de praktijk worden uitgevoerd.
Als de auditor vaststelt dat de organisatie aan de eisen voldoet en ze dus ook goed in de praktijk toepast, wordt het ISO 27001 certificaat toegekend. Dit blijft drie jaar geldig. In die drie jaar vinden er ook nog (on)aangekondigde bezoeken van de auditor plaats.
Het kan ook zijn dat de auditor enkele aanbevelingen voor verbeteringen opstelt. Als de auditor een negatief eindoordeel geeft, dan zit er dus waarschijnlijk een groot gat tussen de geformuleerde theorie en de praktijk in het bedrijf.
Om een ISO 27001 certificering te behalen, moet een organisatie aantonen dat haar Information Security Management System (ISMS) voldoet aan de vereisten van de ISO 27001-norm. Hieronder volgen enkele belangrijke stappen:
De kosten van ISO 27001 certification variëren. Het hangt bijvoorbeeld af van de grootte en complexiteit van de organisatie, de bedrijfsprocessen en van de certificatie-instelling die de audit uitvoert. Het uitvoeren van beveiligingsmaatregelen is een andere kostenpost, net als het onderhouden van het ISMS.
Een ISO 27001-gecertificeerd bedrijf ondervindt verschillende voordelen. Het toont aan dat de organisatie informatiebeveiligingsrisico's serieus neemt en voldoet aan internationale normen voor informatiebeveiliging. Het geeft vertrouwen bij klanten, partners en andere betrokkenen. Soms stellen ketenpartners en klanten het als voorwaarde.
Authenticatie van gebruikers en beheer van toegangsrechten zijn twee onmisbare pijlers van informatiebeveiliging. De Topicus ISO 27001 checklist noemt de onderdelen van de norm waar dit belangrijk is. En geeft aan wat de norm voor de praktijk betekent en hoe Topicus KeyHub de certificering mogelijk maakt.
De volgende thema’s komen aan bod:
Beleid voor informatiebeveiliging
Organisatie van Informatiebeveiliging
Human Resource beveiliging
Vermogensbeheer
Toegangscontrole
Cryptografie
Beveiliging van werkuitvoer
Communicatiebeveiliging
Systeem acquisitie, ontwikkeling en onderhoud
Leveranciersrelaties
Informatiebeveiliging incidentenbeheer
Aspecten van informatiebeveiliging voor het beheer van de continuïteit van de organisatie
Beveiliging van de informatiestromen is een normaal onderdeel van de bedrijfsvoering geworden. Het is ook een intern belang van het bedrijf. Denk eens aan de reputatieschade die ontstaat bij een datalek. Of aan de faalkosten in een productieproces die kunnen ontstaan door een fout in de informatiestromen.
Het is belangrijk – maar niet altijd makkelijk. De informatiestromen zijn uitgebreid en ingewikkeld en de beveiliging vaak ook.
Topicus KeyHub is een oplossing voor authenticatie en beheer van toegang tot documenten en systemen. Dat is belangrijk voor een groot deel van de eisen voor certificering. Met de platform van KeyHub toon je aan dat je in control bent over je Identity and Access Management en versnel je audits (intern/extern). Dit is gemakkelijker en bespaart tijd. Heb je vragen? Neem contact met ons op!