Waarom een ISO 27001 certificering meerwaarde heeft voor jouw organisatie

Een datalek of ander informatiebeveiligingsincident is funest voor iedere organisatie. Niet alleen kan het je organisatie plat leggen, ook kan het behoorlijke schade berokkenen aan het imago van je organisatie. Na het doorlopen van een ISO 27001 implementatie traject en het behalen van de certificering zorg je niet alleen dat je blijvend voldoet aan wet- en regelgeving omtrent informatiebeveiliging, maar verklein je bovendien de kans op financiële en reputatieschade.

Geplaatst op 18 mei 2020 in Blog.

Belang van informatieveiligheid

Met de continue groei van online apparaten en toename van gegevensdeling, stijgt het belang van informatieveiligheid. Als je als organisatie voldoet aan de eisen van de ISO 27001, draagt dit bij aan de betrouwbaarheid van je organisatie; je kunt hiermee immers aantonen dat je hele organisatie is ingericht op het zorgvuldig verwerken van gevoelige informatie. Aan de norm voldoen is echter niet hetzelfde als gecertificeerd worden. Organisaties die besluiten zich te laten certificeren volgens het normenkader van de ISO27001, kunnen snel en eenvoudig aantonen dat ze voldoen aan alle wet- en regelgeving op het gebied van informatiebescherming. Daarmee is de certificering voor veel organisaties een musthave bij het acquireren van nieuwe klanten; ze kunnen immers aantonen dat gevoelige informatie en vertrouwelijke gegevens veilig zijn binnen hun organisatie.

Wat is een ISO 27001 certificering?

ISO 27001 is een internationale norm voor informatiebeveiliging en de standaard geworden waar ook andere normen uit putten. Deze norm beschrijft aan welke vereisten een managementsysteem voor informatiebeveiliging van organisaties moet voldoen. Daarmee beschrijft de ISO 27001 vooral richtlijnen voor het procesmatige beheersen van risico’s. Het doel van de ISO 27001 is dan ook het borgen van de vertrouwelijkheid, integriteit en de beschikbaarheid van informatie. Voldoet je organisatie aan deze norm, dan verklein je de kans op datalek. Op het moment dat een incident zich voordoet, dan zorgt de procesmatige verankering ervoor dat je sneller in staat bent om (adequaat) te reageren. De impact van het incident kan daarmee worden beperkt. Met behulp van een jaarlijkse audit, uitgevoerd door een externe, onafhankelijke partij, heb je ook een ‘stok-achter-de-deur’ om doorlopend de informatiebeveiliging van je organisatie op peil te houden.

Voordelen ISO 27001 certificering:

  • Je organisatie kan (aantoonbaar) aan wet- en regelgeving op het gebied van informatiebeveiliging voldoen.
  • De kans op beveiligingsincidenten is lager en als ze onverhoopt tóch plaatsvinden, weet je zeker dat je organisatie er alles aan heeft gedaan om ze te voorkomen of sneller op te lossen.
  • Een ISO 27001 is een musthave, doordat sommige organisaties alleen willen samenwerken met organisaties die een ISO 27001 certificering hebben.
  • Een ISO 27001 certificering zorgt niet alleen extern, maar ook intern voor vertrouwen. Ook medewerkers kunnen er van uitgaan dat de organisatie waar ze voor werken vertrouwelijk omgaat met hun persoonsgegevens.
  • Je bespaart kosten; de investering in ISO 27001 is veel lager dan de kosten die een datalek of informatiebeveiligingsincident met zich meebrengt.
  • Het vergroot het bewustzijn van medewerkers, doordat jaarlijks wordt getoetst of je organisatie nog voldoet aan de ISO 27001 normeisen. Dit regelmatige beoordelingsproces helpt om de informatiebeveiliging van je organisatie op peil te houden en continu te verbeteren.
  • Een ISO-certificering draagt bij aan verbeterde interne processen. Om te voldoen aan de ISO 27001 norm, beschrijf je als organisatie de processen en procedures binnen je organisatie. Dit is voor veel organisaties een mooie aanleiding om kritisch na te denken over de wijze waarop ze hun organisatie hebben gericht. Niet zelden zorgt het ISO implementatietraject dan ook voor efficiëntere processen.

Proces ISO 27001 certificering

Qbit bereidt organisaties op pragmatische, maar doelgerichte en effectieve wijze voor op het ISO 27001 certificeringstraject. Met behulp van een risicoanalyse bepalen we de scope van het project; welke normen nemen we in het implementatieplan – en welke niet. Vervolgens doen we een nulmeting. Tijdens deze nulmeting sporen we samen de verbeterpunten op binnen je organisatie, op het gebied van informatiebeveiliging. Op basis van de resultaten maken we vervolgens een verbeterplan. We geven advies en beschrijven welke concrete acties nodig zijn om de situatie te verbeteren. Na het uitvoeren en implementeren van deze acties doen we een proefbeoordeling, waarmee we kijken of je organisatie klaar is voor de eindbeoordeling door een externe, onafhankelijke auditor.

Zijn de uitkomsten van de proefbeoordeling positief? Dan komt een externe, onafhankelijke auditor langs voor een eindoordeel. Hij bepaalt of je organisatie voldoet aan alle vereisten. Bij een positieve beoordeling ontvang je als organisatie een ISO 27001 certificering. Dit certificaat is drie jaar geldig, waarna een nieuwe audit volgt voor een eventuele verlenging. Ook komt er jaarlijks een auditor lang voor een tussentijds oordeel plaats. Hij of zij toetst een deel van het ISMS opnieuw en controleert of de verbeterpunten uit de voorgaande audit zijn opgelost.

Een ISO 27001 implementatie is doorgaans ook een verandertraject. Awareness is een continu proces. Het gaat niet om een eenmalige actie, maar om gedrags- en cultuurverandering binnen de organisatie. Bovendien is veel van de informatie over werkwijzen en procedures vaak niet geëxpliciteerd. Maar bij een certificering geldt ‘not documented = not done’, oftewel: als je het niet hebt gedocumenteerd, heb je het niet gedaan. Qbit helpt organisaties om, bij de implementatie van ISO 27001, datgene expliciet te maken wat impliciet ligt opgeslagen in de hoofden van de medewerkers.

Qbit tips

De adviseurs van Qbit hebben jarenlange ervaring met het implementeren van ISO 27001. Een aantal van onze tips delen we graag met je.

  • Tip 1: Begin bij het begin. Het klinkt als een dooddoener en toch zien we het in de praktijk nog wel eens misgaan: een goed begin is het halve werk. Een ISO 27001 implementatietraject begint bij een goede contextanalyse, waarbij je de scope van het project bepaald. Wat voor eisen zijn er bijvoorbeeld contractueel en/of impliciet gesteld om de diensten te kunnen leveren? Ook adviseren je om goed naar zogeheten ‘koppelvlakken’ te kijken. Denk aan samenwerkingen waarbij informatie wordt uitgewisseld of de uitwisseling van informatie met partners en/of leveranciers. Een goede contextanalyse is bepalend voor het succes van de implementatie en de certificeringsaudit.
  • Tip 2: Gebruik een tool. Om het overzicht te houden in het traject, helpt het om een tool in te zetten. Dat kan een innovatief softwareprogramma zijn, maar ook een simpele Excel sheet kan prima volstaan. De belangrijkste voorwaarde is dat de tool past bij jouw organisatie en dat de tool jouw organisatie helpt de risico’s te beheren, maatregelen te koppelen en documenten (inclusief versiebeheer!) te beheren. Naast overzicht, geeft een dergelijke tool bovendien structuur aan de audit en dat scheelt onnodige discussies met auditoren. Uiteraard mag de (zoektocht naar een juiste) tool nooit een doel op zich worden.
  • Tip 3: Zorg dat iedereen geïnformeerd is. Informatiebeveiliging is een zaak van iedereen; niet alleen van de security officer of de projectmanager. Het is dan ook van belang dat iedereen in de organisatie goed geïnformeerd is over de werkwijzen en dat sleutelfiguren binnen de organisatie goed weten uit te leggen hoe de organisatie met verbeterpunten omgaat. Betrek de directie actief bij de beoordeling; ook zij worden als stakeholder geïnterviewd door de auditor en moeten over voldoende kennis en ervaring beschikken om gemaakte keuzes uit te kunnen leggen.

Lees hier de uitgebreide aanpak van Qbit in het ISO 27001 certificeringsproces.

Wil je meer weten over ISO 27001 certificering en hoe Qbit je daarbij kan helpen? Neem gerust contact met ons op.

Haio de Vries

By Haio de Vries

Advisory & Assurance

Heb je vragen over deze blog of onze diensten? E-mail me of bel me op +31 6 13 084 442.

Contact

Wereldwijd groeit de vraag naar cybersecurity. Qbit biedt inzicht en laat zien hoe we als partners kunnen samenwerken.

Contact ons

Newsletter