ISO 27001 certificering

ISO/IEC 27001 beschrijft de vereisten voor het opzetten, implementeren, onderhouden en voortdurend verbeteren van het beheersysteem voor informatiebeveiliging (ISMS) van een organisatie. Het is een internationaal geaccepteerde norm en een waardevolle manier om uw organisatie te onderscheiden, omdat het aantoont dat u voldoet aan de industrienormen en zich inzet voor de beveiliging van informatie.

Waarom ISO 27001 certificering?

Een ISO 27001-gecertificeerde organisatie laat aan de wereld zien dat zij te vertrouwen is, een Information Security Management System (ISMS) heeft geïmplementeerd in overeenstemming met clausule 4.4 van de norm en aan een externe auditor/onafhankelijke ISO-certificeringsinstantie, bijv. UKAS, heeft aangetoond dat zij hieraan voldoet.

ISO 27001-certificering is een onderscheidende factor voor organisaties in concurrerende markten. Deze duidt erop dat uw partners, klanten en medewerkers erop kunnen vertrouwen dat uw organisatie hun informatiemiddelen/gegevens op verantwoorde wijze beheert.

Wat zijn de voordelen van ISO 27001 certificering?

Voor alle belanghebbenden is de belangrijkste boodschap het vertrouwen en de zekerheid die voortvloeien uit een extern gecontroleerd informatiebeveiligingsbeheer. Compliance met ISO 27001 biedt meerdere voordelen – bijvoorbeeld:

Voordelen voor u

• Bescherming van merk en reputatie
• Meer business winnen bij nieuwe & bestaande klanten
• Verlaag de verkoopkosten
• Meer business behouden
• Verbeterde processen die leiden tot kosten- en tijdsbesparing
• Vermijd boetes wegens niet-naleving van regelgeving (zoals de AVG)
• Civiele procedures als gevolg van een datalek vermijden
• Vermijd kosten van herstelmaatregelen als gevolg van incidenten en/of inbreuken
• Beter personeel aantrekken

Voordelen voor uw medewerkers

• Vertrouwen in de duurzaamheid van de organisatie
• Opleiding voor werk- (en thuisbeveiliging)
• Duidelijkheid door beleid en procedures
• Trots op de organisatie en hun rol in de bescherming ervan

Voordelen voor uw klanten

• Vertrouwen en zekerheid in u en uw toeleveringsketen
• Minder kans op een kostbare inbreuk
• Minder kosten voor het inwerken van leveranciers

De vereisten voor ISO 27001

De norm bestaat uit twee delen. Het eerste (hoofd)deel bestaat uit 11 clausules (0 tot 10). Het tweede deel, Annex A genaamd, geeft richtlijnen voor 93 doelstellingen en maatregelen.

Twee onderdelen van de norm

Hoofdstukken 0 tot en met 3 van het hoofdgedeelte van de norm (Inleiding, Toepassingsgebied, Normatieve referenties, Termen en definities) dienen als inleiding op de ISO 27001-norm. Hoofdstukken 4 tot en met 10, die de ISO 27001-eisen bevatten, zijn verplicht als het bedrijf wil voldoen aan de norm en worden verderop in dit artikel in meer detail besproken.

Bijlage A van de norm ondersteunt de hoofdstukken en hun vereisten met een lijst van maatregelen die niet verplicht zijn, maar die worden geselecteerd als onderdeel van het risicomanagementproces.

Hoofdstukken 4 – 10

De vereisten van hoofdstukken 4 tot en met 10 kunnen als volgt worden samengevat:

Hoofdstuk 4 van ISO 27001 – De context van de organisatie – Een voorwaarde voor het succesvol implementeren van een Information Security Management System is het begrijpen van de context van de organisatie. Externe en interne kwesties, evenals belanghebbende partijen, moeten worden geïdentificeerd en overwogen. Vereisten kunnen regelgevingskwesties omvatten, maar ze kunnen ook veel verder gaan.

Met dit in gedachten moet de organisatie de reikwijdte van het ISMS definiëren.

Hoofdstuk 5 van ISO 27001 – Leiderschap & betrokkenheid – De vereisten van ISO 27001 voor adequaat leiderschap zijn talrijk. De betrokkenheid van het topmanagement is verplicht voor een managementsysteem. Doelstellingen moeten worden vastgesteld in overeenstemming met de strategische richting en doelstellingen van de organisatie. Het verschaffen van middelen die nodig zijn voor het ISMS en het ondersteunen van personen in hun bijdrage aan het ISMS zijn andere voorbeelden van verplichtingen waaraan moet worden voldaan.

Bovendien moet het topmanagement een top-level beleid voor informatiebeveiliging opstellen. Het ISO 27001 Informatiebeveiligingsbeleid van het bedrijf moet worden gedocumenteerd en gecommuniceerd binnen de organisatie en naar belanghebbenden.

Ook moeten rollen en verantwoordelijkheden worden toegewezen om te voldoen aan de eisen van de ISO 27001-norm en om te rapporteren over de prestaties van het ISMS.

Hoofdstuk 6 van ISO 27001 – Planning – Planning in een ISMS-omgeving moet altijd rekening houden met risico’s en kansen. Een risicobeoordeling voor informatiebeveiliging biedt een belangrijke basis om op te vertrouwen. Dienovereenkomstig moeten doelstellingen voor informatiebeveiliging worden gebaseerd op de risicobeoordeling. Deze doelstellingen moeten worden afgestemd op de algemene doelstellingen van het bedrijf en ze moeten binnen het bedrijf worden bevorderd omdat ze de beveiligingsdoelen vormen waar iedereen binnen het bedrijf naar toe moet werken. Uit de risicobeoordeling en de beveiligingsdoelstellingen wordt een risicobehandelingsplan afgeleid op basis van de controles die worden vermeld in Bijlage A.

Hoofdstuk 7 van ISO 27001 – Middelen, ondersteuning en communicatie – Middelen, competentie van werknemers, bewustzijn en communicatie zijn essentieel voor de ondersteuning van het ISMS. Een andere vereiste is het documenteren van informatie volgens ISO 27001. Informatie moet worden gedocumenteerd, gecreëerd en bijgewerkt en moet worden gecontroleerd. Een geschikte set documentatie, inclusief een communicatieplan, moet worden onderhouden om het succes van het ISMS te ondersteunen.

Hoofdstuk 8 van ISO 27001 – Operationele uitvoering – Processen zijn verplicht om informatiebeveiliging te implementeren. Deze processen moeten worden gepland, geïmplementeerd en gecontroleerd. Risicobeoordeling en -behandeling – die, zoals we eerder hebben geleerd, op het netvlies van het topmanagement moeten staan – moeten in de praktijk worden gebracht.

Hoofdstuk 9 van ISO 27001 – Prestaties – De vereisten van de ISO 27001-norm verwachten controle, meting, analyse en evaluatie van het beheersysteem voor informatiebeveiliging. Naast het controleren van de belangrijkste prestatie-indicatoren van het werk, moet het bedrijf interne audits uitvoeren. Tot slot moet het topmanagement op gezette tijden het ISMS en de ISO 27001 KPI’s van de organisatie evalueren.

Hoofdstuk 10 van ISO 27001 – Verbetering – Verbetering volgt op de evaluatie. Niet-conformiteiten moeten worden aangepakt door actie te ondernemen en de oorzaken ervan weg te nemen. Bovendien moet een continu verbeteringsproces worden geïmplementeerd. Hoewel de PDCA-cyclus (Plan-Do-Check-Act) niet meer expliciet wordt genoemd in ISO 27001, wordt deze nog steeds aanbevolen omdat deze een solide structuur biedt en voldoet aan de eisen van ISO 27001.

ISO 27001 certificeringsproces

Nadat een bedrijf de implementatie heeft voltooid, kan het ISO 27001:2022-certificeringsproces beginnen – de drie belangrijkste stadia hiervan zijn als volgt:

Fase 1 audit – Documentbeoordeling. Bij deze audit kijkt de auditor naar het gedocumenteerde toepassingsgebied, het ISMS-beleid en de ISMS-doelstellingen, de beschrijving van de risicobeoordelingsmethode, het risicobeoordelingsrapport, de verklaring van toepasselijkheid en het risicobehandelingsplan, samen met procedures voor documentcontrole, corrigerende en preventieve maatregelen en interne audit. U moet ook een aantal maatregelen uit ISO 27001 Annex A documenteren. U hebt ook verslagen nodig van ten minste één interne audit en managementbeoordeling. Als een van deze elementen ontbreekt, betekent dit dat u niet klaar bent voor de volgende fase.

Fase 2-audit – Hoofdaudit. Deze fase volgt meestal enkele weken na de fase 1-audit. De auditor controleert of uw ISMS werkelijk is ingevoerd in uw bedrijf, of dat het alleen op papier bestaat. Hij zal dit controleren door middel van observatie en interviews met uw werknemers, maar vooral door uw administratie te controleren. U moet er dus zeker van zijn dat u echt voldoet aan alles wat u hebt opgeschreven in uw beveiligingsbeleid en -procedures. Als er geen grote afwijkingen zijn, zal de certificeringsinstantie het ISO 27001-certificaat aan uw bedrijf uitreiken.

Als de auditor een belangrijke non-conformiteit heeft gevonden, zal hij u een deadline geven waarbinnen de non-conformiteit moet zijn opgelost (meestal 90 dagen). Het is uw taak om de juiste corrigerende actie te ondernemen, maar u moet voorzichtig zijn – deze actie moet de oorzaak van de non-conformiteit oplossen, anders accepteert de auditor misschien niet wat u hebt gedaan. Zodra u zeker weet dat de juiste actie is ondernomen, moet u de auditor op de hoogte brengen en hem/haar het bewijs sturen van wat u hebt gedaan. In de meeste gevallen, als u uw werk grondig hebt gedaan, zal de auditor uw corrigerende maatregelen accepteren en het proces voor de afgifte van het ISO 27001-certificaat in gang zetten.

Fase 3-audit – Toezichtsaudit. Het certificaat dat door de certificatie-instelling wordt afgegeven, is drie jaar geldig – gedurende deze periode controleert de certificatie-instelling of uw ISMS goed wordt onderhouden; vandaar de toezichtsaudits. De surveillanceaudits lijken erg op de hoofdaudits, maar ze zijn veel korter – ongeveer 30% van de duur van de hoofdaudit. Er zal elk jaar ten minste één surveillance-audit plaatsvinden – als uw bedrijf bijvoorbeeld in februari 2023 is gecertificeerd, dan zal de eerste surveillance-audit in februari 2024 plaatsvinden en de tweede in februari 2025; in februari 2026 zal uw certificaat verlopen en zult u beslissen of u voor hercertificering wilt gaan. De hercertificeringsaudit bestaat uit dezelfde drie fasen als de initiële certificering.

Welke vragen zal de ISO 27001 auditor stellen?

Laten we nu eens dieper ingaan op de dingen die een auditor u zou kunnen vragen.

1) Verplichte documentatie

De auditor zal eerst alle documentatie in het systeem controleren (normaal gesproken gebeurt dit tijdens de fase 1-audit) en vragen om bewijs van het bestaan van alle documenten die door de norm worden vereist. In het geval van beveiligingscontroles zal hij de Statement of Applicability (SOA) als leidraad gebruiken. Naast de verplichte documenten zal de auditor ook elk document beoordelen dat het bedrijf heeft ontwikkeld ter ondersteuning van de implementatie van het systeem of de implementatie van controles. Voorbeelden hiervan zijn een projectplan, een netwerkschema, de lijst met documentatie, etc.

2) Bewijs

De volgende stap is om te controleren of alles wat geschreven staat overeenkomt met de werkelijkheid (normaal gesproken gebeurt dit tijdens de Stap 2 audit). Stel bijvoorbeeld dat het bedrijf bepaalt dat het informatiebeveiligingsbeleid jaarlijks moet worden herzien. Wat zal de vraag zijn die de auditor in dit geval zal stellen? U zou bijvoorbeeld kunnen raden: “Hebt u het beleid dit jaar gecontroleerd?”. En het antwoord zal waarschijnlijk ja zijn. Maar de auditor kan niet vertrouwen op wat hij niet ziet; daarom heeft hij bewijs nodig. Dergelijk bewijs kan bestaan uit verslagen, notulen van vergaderingen, enz. De volgende vraag zou zijn: “Kunt u me documenten laten zien waarop de datum staat vermeld wanneer het beleid is herzien?”

Met betrekking tot beveiligingsmaatregelen – hij zal ook bewijs zoeken dat ze zijn geïmplementeerd, hoewel in dit geval de gegevens logboeken, bestanden in het systeem, schema’s van het netwerk, configuratie van platforms, overeenkomsten met leveranciers of klanten, wetgeving, enz. kunnen zijn.

3) Interviews

Op dit moment weet de auditor welke documenten het bedrijf gebruikt, dus moet hij controleren of de mensen ermee vertrouwd zijn en of ze ze daadwerkelijk gebruiken tijdens de dagelijkse activiteiten, d.w.z. controleren of het ISMS werkt in het bedrijf. Daarom moet de auditor interviews houden met medewerkers om te weten te komen in hoeverre ze op de hoogte zijn van ten minste de belangrijkste documenten die op hen van toepassing zijn: Beveiligingsbeleid, vertrouwelijkheidsclausules, aanvaardbaar gebruik van middelen, toegangscontrolebeleid, enz.

Een voorbeeld van vragen in een interview zou er als volgt uit kunnen zien:

• “Heeft u toegang tot de interne regels van de organisatie met betrekking tot de informatiebeveiliging?”
• “Kunt u mij enkele van de gerelateerde beleidsregels laten zien?”
• “Kunt u mij vertellen wat volgens u de belangrijkste punten in het beleid zijn?”

Aan de andere kant kan de auditor ook de verantwoordelijken voor processen, fysieke gebieden en afdelingen interviewen om hun perceptie van de implementatie van de standaard in het bedrijf te krijgen. In deze interviews zullen de vragen er vooral op gericht zijn om bekend te raken met de functies en de rollen die deze mensen hebben in het systeem en of ze voldoen aan de geïmplementeerde maatregelen.

Wie certificeert organisaties voor ISO 27001?

Ten eerste worden ISO-normen gepubliceerd door de International Organization for Standardization (ISO) – dit is een internationaal orgaan dat is opgericht door regeringen over de hele wereld. Het doel is om normen te publiceren en kennis en best practices te leveren, maar niet om certificaten uit te geven.

Certificaten voor bedrijven worden uitgegeven door organisaties die certificeringsinstanties worden genoemd. Dit zijn entiteiten die een licentie hebben van accreditatie-instellingen om certificeringsaudits uit te voeren en te beoordelen of het Information Security Management System van een bedrijf voldoet aan ISO IEC 27001.

Niet alle certificeringsinstanties (ook wel registrars genoemd) zijn gelijk. De kans is groot dat u er minstens een paar in uw land vindt, zodat u degene kunt kiezen die het beste bij u past. De prijs is natuurlijk belangrijk, maar dit is niet het enige criterium dat u moet gebruiken – wat ook belangrijk is, is dat de auditors uw branche kennen, dat ze een goede reputatie hebben, dat ze ook andere normen kunnen certificeren, enz.

Kosten voor ISO 27001 certificering

Er zijn geen vaste kosten voor de certificeringsaudit – de certificeringsinstantie zal u kosten aanrekenen op basis van verschillende factoren, maar deze twee zijn de belangrijkste: (1) de grootte van uw organisatie en (2) de prijs van lokale certificeringsauditors. Een kleine organisatie in Nederland betaalt bijvoorbeeld ongeveer €7,000 voor de certificeringsaudit. Om een nauwkeuriger idee te krijgen van de ISO 27001 certificeringskosten, is het een goed idee om offertes aan te vragen bij een paar verschillende certificeringsinstanties.

Hoe lang is ISO 27001 geldig als het eenmaal is gecertificeerd?

Zodra een certificatie-instelling een ISO 27001-certificaat afgeeft aan een bedrijf, is dit geldig voor een periode van drie jaar. Tijdens deze periode voert de certificatie-instelling toezichtsaudits uit om te beoordelen of de organisatie het ISMS naar behoren handhaaft en of de vereiste verbeteringen tijdig worden doorgevoerd.

Hoeveel bedrijven zijn ISO-gecertificeerd?

ISO 27001 is wereldwijd de populairste norm voor informatiebeveiliging geworden en veel bedrijven hebben zich ervoor gecertificeerd – hier ziet u het aantal certificaten in de afgelopen jaren:

Bron: Het ISO-overzicht van certificeringen van beheersysteemnormen

Welke bedrijven zijn ISO 27001 gecertificeerd? Er is geen officiële centrale lijst van ISO 27001-gecertificeerde organisaties, dus de informatie over welke bedrijven ISO 27001-gecertificeerd zijn, moet rechtstreeks bij de ISO 27001-certificeringsbedrijven worden opgevraagd.

Artikelen

Hoe wordt ISO 27001 geïmplementeerd?

Hoe gaat het implementeren van deze norm in zijn werk? In dit artikel nemen we u mee in de wereld van ISO, het ISMS, de voordelen, de investering en hoe u een ISMS onderhoudt.

ISO 27001:2022 en ISO 27002:2022: Wat gaat er veranderen?

Een nieuwe versie van ISO 27002 verscheen in februari 2022. Wat betekent dat voor uw ISO 27001 certificering?

Risicoanalysetool

Bent u bezig met het realiseren van ISO 27001 compliance? Wij hebben een hulpmiddel voor uw risicoanalyse ontwikkeld dat gratis en vrijblijvend te gebruiken is. De informatie die u invoert kunt u downloaden als PDF, maar wordt niet opgeslagen.

Open de Risicoanalysetool