Wat is ISO 27001?

ISO 27001 is een internationale norm voor het opzetten van een Information Security Management System (hierna ISMS) en de benodigde eisen. De standaard werd geïntroduceerd door de Internationale Organisatie voor Standaardisatie in 2005 en is sindsdien 3 keer herzien.

De norm is opgesteld volgens een geharmoniseerde structuur en is toepasbaar op alle vormen van organisaties.  Deze streeft ernaar processen, mensen en technologie te beveiligen door middel van drie hoekstenen van informatiebeveiliging: de vertrouwelijkheid, integriteit en beschikbaarheid van informatie door middel van een risicobeheerproces om  risico’s adequaat te beheren.

• Vertrouwelijkheid (C): de gegevens en systemen van de organisatie moeten worden beschermd tegen ongeoorloofde toegang door middel van technische controles, bijvoorbeeld multifactorauthenticatie en encryptie.
• Integriteit (I): heeft betrekking op de nauwkeurigheid, betrouwbaarheid en volledigheid van gegevens. Het betekent dat gegevens niet op een ongeautoriseerde of onbedoelde manier kunnen worden gewijzigd of gemanipuleerd en dat ze in de loop van de tijd consistent en betrouwbaar blijven.
• Beschikbaarheid (A): de gegevens van de organisatie moeten altijd toegankelijk zijn. Het regelmatig uitvoeren van updates, het hebben van back-ups, het hebben van een bedrijfscontinuïteitsplan kan voorkomen dat de gegevens niet beschikbaar zijn.

ISO 27001 en GDPR

Hoewel GDPR een verordening is die  persoonlijke gegevens beschermt en ISO 27001 betrekking heeft op information security management, is er nogal wat overlap tussen de twee.  Aangezien  een ISMS de beveiliging van alle informatiemiddelen binnen het bedrijf beheert, inclusief persoonsgegevens, vallen de vele technische en organisatorische maatregelen zoals vereist door artikel 32 van de AVG hieronder.

Een cruciaal onderdeel van ISO 27001 is risicomanagement.   Het vereist dat organisaties risicobeoordelingen en risicobehandelingen uitvoeren door de implementatie van informatiebeveiligingscontroles.  Omdat de GDPR vereist dat er passende technische- en organisatorische maatregelen worden genomen om een beveiligingsniveau te garanderen dat geschikt is voor het risico, kan ISO 27001 je daar makkelijk helpen.

Ten slotte, zoals de GDPR vereist dat organisaties een DPO aanstellen, vereist ISO 27001 ook dat je rollen communiceert die relevant zijn voor informatiebeveiliging. Organisaties stellen in dit geval vaak  een CISO (Chief Information Security Officer) aan, die verantwoordelijk is voor het algehele beheer van alle beveiligingsfuncties. De CISO kan ook de rol van DPO op zich nemen en toezicht houden op de naleving van de GDPR als ze geen beslissingsbevoegdheid hebben bij het bepalen van de doeleinden en middelen voor het verwerken van persoonsgegevens.

ISO 27001 best practices

Eerst en vooral is het belangrijk te onthouden dat het ISO 27001 certificaat behalen niet je hoofddoel mag zijn. Tuurlijk is het goed om je te laten certificeren, maar het certificaat behalen betekent niet dat je klaar bent en niet meer naar informatieveiligheid moet omkijken. Het zijn de procedures, controles en maatregelingen die je neemt en implementeert,  die rvoor zorgen dat je data veilig is. Een certificaat helpt met het aantonen van je toewijding.

Eens je de beslissing genomen hebt om je organisatie te laten certificeren, is de eerste stap het bepalen van de juiste scope op basis van uw onderneming, haar behoefte en de bedrijfsprocessen.

Hierbij is het best practice om niet alleen topmanagement te betrekken, maar ook alle relevante lagen daaronder. De medewerkers zijn niet alleen essentieel bij de implementatie van alle procedures en controles, maar ook bij het controleren van de effectiviteit van het ISMS zodra deze operationeel is.

Een andere tip: hou he simpel en maak gebruik van de systemen die je al hebt. Het is niet nodig om een nieuw beleid- of documentbeheersysteem o pte zetten als je de ISO 2700-vereisten kunt opnemen in bestaande procedures en documenten.

De 5 belangrijkste voordelen van ISO 27001 voor uw organisatie

Er zijn een aantal grote voordelen aan het implementeren van een ISMS zoals ISO 27001:

1. Veilige informatiebescherming van cruciale gegevens

Deze is voordehandliggend; Het ISMS zorgt voor de bescherming van cruciale gegevens via de drie hoekstenen van informatiebeveiliging (vertrouwelijkheid, integriteit, beschikbaarheid). Hierdoor vermindert het risico op beveiligingsinbreuken en data breaches.

2. Verbeterde weerbaarheid tegen cyberaanvallen

Cyberaanvallen gebeuren steeds vaker en criminelen gaan steeds aggressiever te werk. Door ISO 27001 te implementeren, beschik je over een reeks beleidsregels, procedures, controles en richtlijnen om toekomstige cyberaanvallen op een gestructureerde manier te detecteren, op te lossen en zelfs  te voorkomen. Een must in deze digitale wereld.

3. Continue verbetering

De ISO 27001 standaard is gebaseerd op de PDCA-cyclus (Plan-Do-Check-Act), ook bekend als het Deming Wheel, dat draait om continue verbetering. Elk deel van de cyclus helpt bij de  oprichting en stabiliteit van het ISMS op de lange termijn. Zo bescherm je je onderneming niet enkel vandaag, maar ook morgen.

4. Wereldwijde erkenning

De ISO 27001-norm wordt internationaal erkend als een van de benchmarks voor informatiebeveiligingsbeheer.  Iso 27001 gecertificeerd zijn betekent dat je als organisatie compliant bent en ernaar streeft om te bevestigen aan de CIA triade. Hierdoor creëert het vertrouwen bij niet alleen uw klanten, maar ook bij uw leveranciers.

5. Eenvoudigere wereldwijde naleving van de privacy

Het bezit van het ISO 27001-certificaat betekent dat je al voldoet aan een norm die voldoet aan wettelijke en reglementaire vereisten. Niet alleen de GDPR, maar ook andere wetgeving rond gegevensbescherming uit Canada, Californië, Australië en Brazilië worden in aanmerking genomen.

Het is geen verrassing dat de ISO-normen algemeen bekend en geaccepteerd zijn. De afgelopen jaren begonnen organisaties het belang van een ISMS in te zien, zowel voor de interne organisatie als voor het winnen van het vertrouwen van klanten en leveranciers. Het belang dat ISO 27001 hecht aan risicobeheer, beleid, controles en procedures wekt vertrouwen naar stakeholders (en dus ook potentiële klanten).

Ben je bereid om meer vertrouwen te stellen in het beveiligingssysteem van uw organisatie, of riskeert u liever die 30% kans op neerslag?