ISO 27001:2013
ISO 27001:2013
Informatiebeveiliging is tegenwoordig een veelbesproken onderwerp; geen enkel bedrijf of organisatie is volledig immuun tegen cyberaanvallen of datalekken. De Europese General Data Protection Regulation (GDPR), of Algemene verordening gegevensbescherming (AVG), legt bovendien een reeks verplichtingen op om de gegevens van Europese burgers beter te beschermen.- bij de verwerking van hun gegevens.
Een degelijke informatiebeveiliging is dan ook een must voor hedendaagse bedrijven. Om deze risico’s beter onder controle te houden, kan een managementsysteem voor informatiebeveiliging opzetten op basis van de ISO 27001:2013 norm.
Wat is ISO 27001?
ISO 27001 is dé wereldwijde standaard voor informatiebeveiliging. De belangrijke basis voor certificering tegen deze norm is de implementatie van een managementsysteem voor informatiebeveiliging (Information Security Management System, of ISMS) om procesmatig het beveiligen van informatie op te nemen. De ISO 27001 norm beschrijft hiervoor met een set van eisen hoe je een doeltreffend ISMS opzet, evalueert en continu verbetert. Het doel: de vertrouwelijkheid, beschikbaarheid en integriteit van alle gegevens binnen je organisatie zeker te stellen.
- Vertrouwelijkheid – Enkel geautoriseerde personen krijgen toegang tot de informatie.
- Integriteit – De informatie is juist, volledig en correct.
- Beschikbaarheid – De informatie is op de juiste momenten en tijdig toegankelijk.
Het ISO27001 certificaat is in een technologie- en datagedreven wereld een must have kwaliteitslabel voor veel bedrijven. Klanten, leveranciers, medewerkers… kunnen er op vertrouwen dat je als organisatie maatregelen getroffen hebt tegen informatiebeveiligingsrisico’s en dat je zorgvuldig met persoonlijke gegevens omspringt, omdat dit onafhankelijk is vastgesteld.
Vaak hebben bedrijven alle hard- en software geregeld, maar informatiebeveiliging betreft niet alleen IT security (bijv. firewalls, anti-virus, enz.) – het gaat ook om het beheersen van processen, juridische bescherming, beheersing van human resources, fysieke bescherming, enz. Een groot deel van een ISO 27001 managementsysteem gaat dan ook over het stellen van organisatorische richtlijnen die nodig zijn om informatiebeveiligingsinbreuken te voorkomen.
ISO 27001:2013
ISO 27001 is een internationale norm gepubliceerd door de Internationale Organisatie voor Standaardisatie (ISO), ontwikkeld op basis van de Britse norm BS 7799-2. Dat normdocument werd – zoals dat ook bij andere managementnormen gebeurt – over de jaren regelmatig nagegaan door een expertencommisie. De commissie beslist dan om eventueel over te gaan tot herziening of terugtrekking van de norm.
De eerste herziening van de norm werd in 2005 gepubliceerd, en de meest recente versie van deze norm werd gepubliceerd in 2013 waarbij de structuur werd aangepast naar de High Level Structure (HLS) om onder dezelfde uniforme basisstructuur te werken.
De laatste versie in het Nederlands is NEN-EN-ISO/IEC 27001:2013 Managementsystemen voor informatiebeveiliging – Eisen. ‘NBN’ staat voor het Bureau voor Normalisatie, een Belgische overheidsinstantie die verantwoordelijk is voor het ontwikkelen van normen in België. De ‘EN’ toevoeging verwijst dan weer naar de Europese publicatie door CEN-CENELEC. Het jaartal is de versie van de norm.
Waarom ISO 27001 certificering?
Met het ISO 27001 certificaat zet je de extra stap op het gebied van informatiebeveiliging. Het certificaat geeft je klanten de zekerheid dat je serieus bezig bent met informatiebeveiliging waardoor je je onderscheidt van concurrenten en beveiligingsrisico’s kan verkleinen.
Iedereen wil zeker zijn dat hun gegevens bij jouw organisatie in veilige handen zijn. Het ISO 27001 certificaat geeft je een imago als betrouwbare partij die zorgvuldig met persoonsgegevens omgaat en wet- en regelgeving naleeft. Hiermee leg je de basis voor een sterke vertrouwensband.
Er zijn steeds meer wetten, regelgeving en contractuele eisen rondom informatiebeveiliging - zoals de GDPR. Het goede nieuws is dat de ISO 27001 norm een perfecte methodologie levert om hieraan te voldoen. Door je ISMS te onderhouden, zorg je er dus ook voor dat je wettelijk in orde bent.
Steeds meer klanten eisen dat partners waarmee zij samenwerken hun informatiebeveiliging goed op orde hebben. Het ISO 27001 certificaat geeft hen die zekerheid. Dat draagt niet alleen bij aan je imago, het kan ook commerciële kansen en nieuwe aanbestedingen opleveren.
Reputatieverlies en verlies van klanten kunnen tot ernstige financiële schade leiden. Met een gecertificeerd ISMS verklein je het risico dat informatie wordt misbruikt, en blijf je te allen tijde scherp op beveiligingsrisico’s door kwetsbaarheden systematisch op te sporen en gericht aan te pakken.
De inhoud van ISO 27001
ISO 27001 is – zoals de meeste ISO-normen – opgesteld volgens het Harmonised Structure (HS) principe. Dit betekent dat deze normen een gemeenschappelijke kerntekst en dezelfde structuur hebben. Op deze manier wordt geborgd dat thema’s die in elke norm aan bod komen steeds op dezelfde plaats (hoofdstuk & paragraaf) behandeld worden.
De norm bestaat uit 11 hoofdstukken, die hieronder worden weergeven. De eerste vier hoofdstukken (0 t/m 3) bevatten algemene uitleg, de hoofdstukken 4 tot en met 10 beschrijven de kern van de norm, namelijk de normeisen.
| Hoofdstuk 0: Inleiding | Hoofdstuk 6: Planning |
| Hoofdstuk 1: Toepassingsgebied (Scope) | Hoofdstuk 7: Ondersteuning |
| Hoofdstuk 2: Normatieve verwijzingen | Hoofdstuk 8: Uitvoering |
| Hoofdstuk 3: Definities | Hoofdstuk 9: Evaluatie |
| Hoofdstuk 4: Context van de organisatie | Hoofdstuk 10: Verbetering |
| Hoofdstuk 5: Leiderschap |
Voor wie is ISO 27001 bedoeld?
ISO 27001 is nuttig voor elke organisatie die wilt aantonen dat zij serieus met informatiebeveiliging omgaan. Informatie zit immers overal. Denk aan klantengegevens, data uit een productiesysteem, gegevens uit het R&D-labo of financiële rapportering. Hierdoor kan een ISO 27001 ISMS worden geïmplementeerd in een ICT-bedrijf, maar ook bij banken, verzekeraars, overheidsinstanties, zorginstellingen, non-profitorganisaties en andere bedrijven die over vertrouwelijke informatie beschikken of verwerken.
Informatiebeveiliging betreft niet alleen IT security (bijv. firewalls, anti-virus, enz.) – het gaat ook om het beheersen van processen, het implementeren van organisatorische maatregelen, … Het is dus zeker niet enkel de IT-manager, maar heel de organisatie, die voordeel kan halen met een ISO 27001 certificaat.
De ISO 27000 serie
Hoewel ISO 27001 de enige certificeerbare norm is binnen de 27000-serie, kan het handig zijn om de managementnorm toe te passen in combinatie met andere normen uit dezelfde familie. De normen uit de ISO 27000-serie helpen bij het beheren van de beveiliging van bijvoorbeeld financiële informatie, intellectueel eigendom, werknemersgegevens of informatie die door derden wordt toevertrouwd. Deze bestaat uit de onder meer de volgende normen en richtlijnen:
- ISO 27000 – ‘Information technology – Security techniques – Information security management systems – Overview and vocabulary’
- ISO 27002 – ‘Information technology – Security techniques – Code of practice for information security controls’
- ISO 27018 – ‘Information technology – Security techniques – Code of practice for protection of personal identifiable information (PII) in public clouds acting as PII processors’
- ISO 27701 – ‘Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines’
ISO 27002 biedt als het ware een verdiepingsslag op de ISO 27001 norm. In deze norm wordt namelijk gedetailleerd aangegeven welke maatregelen je kan nemen om aan de normeisen van ISO 27001 te voldoen. Waar ISO 27001 een kort en bondig document is, biedt ISO 27002 meer informatie en details.