shutterstock_1841252461.jpg

ISO 27001

ISO 27001 certificering behalen: implementatie en interne audit door gecertificeerde experten

Wat is ISO 27001?

 

ISO 27001 is de internationale norm die beschrijft hoe informatiebeveiliging in een bedrijf beheerst kan worden. Deze wereldwijd toegepaste standaard biedt organisaties een procesgerichte aanpak voor het organiseren van hun managementsysteem voor informatiebeveiliging (ook wel Information Security Management System of kortweg ISMS genaamd), waarbij de norm als leidraad wordt gebruikt. 

 

Informatiebeveiliging gaat over het beschermen van kennis en informatie tegen ongeautoriseerde toegang, verlies of onzorgvuldigheid. Bijvoorbeeld door cyberaanvallen of datalekken. De principes van vertrouwelijkheid, integriteit en beschikbaarheid van informatie staan hier centraal. Naast informatie en kennis zelf omvat dit ook de bescherming van o.m. de systemen, diensten en locaties waar(in) de informatie wordt verwerkt. 

Een ISMS daarentegen is een complete set van beheersmaatregelen (ISO IEC 27002), processen, procedures, technologieën en adviseurs waarmee organisaties hun informatiebeveiliging op één gecentraliseerde plaats kunnen beheren, controleren en verbeteren volgens de zogenaamde Plan – Do – Check – Act (PCDA)-methodiek. Eerder dan een systeem in de vorm van een tool gaat het hier om een continu verbeterproces en een bepaalde manier van werken. 

 

Kortom biedt ISO 27001 de mogelijkheid tot het bekomen van een kwaliteitscertificaat dat aantoont dat een organisatie passende beveiligingsmaatregelen neemt om informatie en data te beschermen. 

 

Wat zijn de voordelen van ISO 27001?

 

Intern

  • De implementatie van een ISMS op basis van ISO 27001 biedt in de eerste plaats een oplossing om informatiebeveiligingsrisico’s (bv. reputatieschade, beschikbaarheid van gegevens, financiële risico’s, etc. ten gevolge van datalekken of cyberincidenten) beter onder controle te houden. 

  • Het zorgt voor een professionele en gestructureerde aanpak op vlak van informatie- en databescherming, hetgeen de naleving van specifieke wet- en regelgeving (zoals bv. de GDPR) aanzienlijk vereenvoudigd. 

  • Daarnaast werkt de optimalisatie van processen ook kostenbesparend doordat er efficiënter gewerkt kan worden, hetgeen zowel het personeel als de klanten ten goede komt. 

 

Extern 

  • Het behalen van een ISO 27001 certificaat beschermt en verbetert het imago en biedt bewijs dat je als onderneming serieus en structureel bezig bent met informatiebeveiliging en zodoende ook de bescherming van persoonsgegevens. 

  • Een ISO 27001 certificering onderscheid je daarenboven van concurrenten en biedt commerciële kansen ten aanzien van (potentiële) klanten en in het kader van aanbestedingen, waar dergelijk kwaliteitscertificaat ook meer en meer vereist wordt. 

  • Ook ten aanzien van toezichthoudende autoriteiten, bijvoorbeeld naar aanleiding van een melding van een datalek, biedt certificering voordelen, aangezien deze zich vaak milder gaan opstellen gelet op het aantoonbaar bewijs dat stappen voor informatiebeveiliging gezet en gevolgd worden. 

 

Hoe kan Mr. Franklin u helpen?

 

Mr. Franklin kan uw onderneming begeleiden in het kader van de ISO27001 certificatie, zowel bij de implementatie van het ISMS als bij het uitvoeren van de interne audits daarvan. 

 

Kennismakingsgesprek

Wil je graag aan de slag met ISO 27001 binnen je onderneming maar weet je niet waar je moet beginnen? Of zit je met specifieke vragen over de inhoud, voordelen en eisen van de norm, over het proces op weg naar certificering, de auditcyclus of de kosten hiervan? Maak dan kennis met één van onze experten. Wij begeleiden je graag verder op weg naar certificering! 

 

Vragen over wat ISO 27001 voor jouw organisatie kan betekenen en hoe wij u hierin kunnen ondersteunen? Boek een gratis kennismakingsgesprek (30 min.) met onze expert consultant die jou een eerste advies kan geven! 

shutterstock_1823054093.jpg

Implementatie ISMS 

Een ISMS moet aansluiten bij het beleid en de strategie van jouw onderneming en dient geïntegreerd te worden binnen de huidige processen. Onze gecertificeerde experten staan jouw onderneming bij, bij het opzetten, implementeren, beheren, monitoren, evalueren, onderhouden en verbeteren van een managementsysteem voor informatiebeveiliging op maat van jouw organisatie. Benieuwd hoe we dat doen? Neem dan zeker een kijkje bij “Hoe gaan wij te werk?”. 

 

Vragen over het implementatietraject van een managementsysteem? Maak een vrijblijvende afspraak met onze experten die uw onderneming kunnen begeleiden als consultant in een certificeringstraject en een implementatievoorstel op maat voor jouw organisatie kan maken! 

 

Interne audit 

Binnen de context van de norm is een interne audit bedoeld om informatie te krijgen over het geïmplementeerde managementsysteem in de organisatie, en meer bepaald of het ISMS:

  • Overeenkomt met de eigen eisen; 

  • Overeenkomt met de eisen van de norm; 

  • Doeltreffend geïmplementeerd is; en 

  • Doeltreffend wordt onderhouden. 

Onze gecertificeerde experten voeren graag voor u de interne ISO 27001 audit uit die nodig is om het ISO 27001 certificaat te kunnen behalen.  

 

Vragen over certificatie en de auditcyclus? Maak een vrijblijvende afspraak met Olivier Sustronck, gecertificeerd Lead Auditor via olivier@misterfranklin.be of per telefoon op +32 486 27 53 05 voor een kennismakingsgesprek of een auditvoorstel op maat voor jouw organisatie!

 

 

Hoe gaan wij te werk? 

 

ISO 27001 kan worden gezien als het toepassen van een procesbenadering voor het vaststellen, implementeren, onderhouden en voortdurend verbeteren van een information security management system. Onderstaande stappen worden doorlopen in het kader van een ISO27001 certificering. 

Context bepalen

 

Tijdens deze eerste fase maken we kennis met de organisatie en bespreken we graag de doelen en verwachtingen van de organisatie, rekening houdend met de bestaande bedrijfsmiddelen. We brengen de huidige situatie (“waar we staan”) in kaart, want vaak zijn er al verschillende stappen ondernomen op het gebied van informatiebeveiliging. Tevens bepalen we naast de scope ook de maatregelen die reeds zijn geïmplementeerd en die nodig zijn in het kader van het behalen van een ISO 27001 certificering. Ook brengen we in kaart welke processen en procedures al gedocumenteerd zijn binnen. Na het afronden van deze fase is het duidelijk in hoeverre de organisatie reeds voldoet aan de norm en welke risico’s en maatregelen nog aangepakt moeten worden. 

Plan van aanpak opstellen 

 

Op basis van de bevindingen uit de eerste fase wordt een plan van aanpak opgesteld waarin – in samenspraak met de betrokkenen binnen de organisatie en in functie van de beschikbare tijd, de bedrijfsmiddelen of het gewenste tempo – een duidelijk stappenplan, deliverables en taakverdeling wordt opgenomen. Op basis van deze roadmap wordt duidelijk welke acties op termijn moeten worden aangepakt en wie daarvoor verantwoordelijk is. 

Opzetten en implementatie ISMS 

 

In een tweede fase gaan we het managementsysteem voor informatiebeveiliging gaan opzetten en implementatie begeleiden op basis van de ISO 27002 norm. In deze fase bieden we o.m. ondersteuning bij het opstellen van een planning,  beleid, policies en procedures volgens noodzaak van de organisatie. In het kader daarvan voeren we in deze fase ook een risicoanalyse uit en stellen we een Verklaring van Toepasselijkheid (Statement of Applicability) op. Via dergelijke verklaring maken we inzichtelijk welke van de 114 beheersmaatregelen van toepassing zijn op de onderneming. 

Interne audit 

 

Door regelmatig processen op toegevoegde waarde en risico’s te beoordelen kunnen werk- en verbeterpunten sneller worden gesignaleerd. Een interne ISO 27001 audit geeft belangrijke informatie over de effectiviteit van het informatiebeveiliging managementsysteem en toetst in hoeverre deze aan de ISO 27001 normeisen voldoet. Tijdens dergelijke audit trachten wij aan de hand van steekproeven en gesprekken met medewerkers te toetsen of er volgens de vooropgestelde werkwijze wordt gewerkt en gaan we na of er verbeteringen werden aangebracht aan de bestaande procedures conform de PDCA-methodiek. 

Certificering 

 

Na het doorlopen van de voormelde fasen en mits het uitvoeren van een directiebeoordeling, is het mogelijk om een ISO 27001 certificering te behalen uitgevoerd door een externe partij. Dergelijke certificering dient te worden uitgevoerd door een onafhankelijke erkende certificerende instantie die de normeisen binnen uw bedrijf nagaat. 

 

 

 

Veelgestelde vragen

 

Voor wie is ISO 27001 bedoeld? 

 

Informatiebeveiliging en een doeltreffend ISMS zijn belangrijk voor alle overheden, organisaties en bedrijven, groot of klein. Informatie en data (bv. klantengegevens, productiedata, etc.) zit immers overal en de manier waarop een organisatie daarmee omgaat, heeft een grote invloed op haar succes. Indien klanten data aan een onderneming toevertrouwen gaan zij er van uit dat deze onderneming hier om een correcte manier mee omgaat en deze gegevens voldoende beveiligt. Het kunnen voorleggen van een ISO27001 certificering garandeert een klant dat er voldoende beveiligingsmaatregelen zijn genomen, dat er duidelijke documentatie aanwezig is en dat er een periodieke evaluatie van dit systeem plaatsvindt met als doel om constant verbetering aan te brengen.

Is het behalen van een ISO 27001 certificering verplicht?

 

Er bestaat geen Belgische of Europese wetgeving die een onderneming verplicht om zicht te laten certificeren voor ISO 27001 norm. De norm is echter wereldwijd erkend als kwaliteitslabel op vlak van best practice in informatiebeveiligings managementsysteem en cybersecurity. De noodzaak tot het behalen van een ISO27001 certificering wordt meestal opgelegd door (potentiële) klanten. Wanneer je als organisatie met de ISO 27001 aan de slag met de intentie om gecertificeerd te worden, dan dien je uiteraard wel verplicht te voldoen aan de eisen die gesteld worden vanuit de norm. Andere wetgeving, zoals de GDPR, stelt wel een aantal verplichtingen die een sterke link met ISO 27001 vertonen. Denk daarbij aan de verplichte melding van een datalek of het nemen van passende technische en organisatorische maatregelen. 

Wat is ISO 27002?

ISO 27002 is een aanvullende norm binnen de ISO2700 normen die maatregelen (controls) aanreikt die organisaties kunnen kiezen om een informatiebeveiligingsbeleid te implementeren. Concreet volgt de ISO 27002 norm de structuur van de beheersmaatregelen die eveneens zijn opgenomen in de Annex A van de ISO iec 27001 erkende norm.

De ISO 27002 norm verschaft echter bijkomende richtlijnen over hoe een onderneming de maatregelen kan integreren in het informatiebeveiligingsbeleid en bestaat uit 14 hoofdstukken met richtlijnen en documentatiedie helpen bij het integreren van de maatregelen om het managementsysteem binnen uw organisatie op orde te zetten. Het is niet mogelijk om uw onderneming te laten certificeren voor de ISO27002 norm in tegenstelling tot de ISO 27001. Thans wordt er een nieuwe ISO 27002 norm voorbereid. 

Wat is het verschil tussen ISO 27001 en GDPR?

 

De GDPR is de Europese wetgeving inzake de beveiliging van persoonsgegevens waarvan de naleving verplicht gesteld wordt, terwijl ISO 27001 de internationaal erkende norm voor informatiebeveiliging betreft, die op vrijwillige basis geïmplementeerd kan worden. ISO 27001 is een uitstekende manier om de beveiliging van kennis en informatie, waarvan persoonsgegevens deel kunnen uitmaken, te waarborgen, maar het is niet zo dat wanneer je ISO 27001 gecertificeerd bent, je automatisch aan alle verplichtingen van de GDPR voldoet. Het implementeren van een ISMS is echter wel een goede aanzet om ook aan de GDPR te voldoen. Dat informatiebeveiliging en databescherming hand in hand gaan, bewijst de ISO 27701 norm. Wil je de beide combineren, en twee vliegen in één klap slaan, dan kan je op basis van voormelde standaard best een Privacy Information Management System implementeren. 

 

Hoelang duurt ISO 27001 certificeringstraject? 

 

De doorlooptijd van een ISO 27001 certificeringstraject is voor iedere organisatie ander en hangt natuurlijk af van een aantal factoren zoals bijvoorbeeld de huidige stand van zaken binnen de organisatie, de reeds aanwezige technische en organisatorische maatregelen, de grootte en de complexiteit van de organisatie, maar ook mankracht en tijdsmiddelen waarover de organisatie beschikt. Ervaring leert ons dat een minimale doorlooptijd van een ISO 27001 certificeringstraject snel 6 maanden bedraagt alvorens een onderneming zich kan laten certificeren. Bij grotere en complexere organisatie zal dit minimaal 12 maanden duren. Ook begeleiden wij ondernemingen die de implementatiekost liever over enkele jaren wensen te spreiden en dan stellen wij ons plan van aanpak daar ook op af.   

 

Hoeveel kost ISO 27001 certificering? 

 

Het kostenplaatje verbonden aan een ISO 27001 certificeringstraject wordt beïnvloed door verschillende factoren. Enerzijds zijn er de kosten voor het implementeren van het informatiebeveiligingsbeleid zelf. Dit systeem moet immers worden opgezet, onderzoek moet worden gedaan en maatregelen moeten worden genomen. Tot slot dient dit systeem blijvend aangescherpt te worden. Andere kosten zijn verbonden aan de certificering zelf, het behouden van het certificaat en registratie en afdrachtskosten dat vaak 10 tot 20% van de totale kosten beslaat. Sommige certificatie-instellingen rekenen ook extra kosten aan wanneer een auditor voor een opvolgaudit moet komen na het verwerken van diens feedback ten gevolge van het niet voldoen aan alle eisen tijdens de initiële audit. Tot slot zijn er mogelijks ook nog kosten verbonden aan training en bijscholing. Mr. Franklin tracht zoveel als mogelijk te werken met vaste prijzen, neem gerust contact met ons op voor een offerte omtrent de mogelijke implementatiekost. 

 

Hoelang is een ISO 27001 certificaat geldig?

 

Een ISO 27001 certificaat is drie jaar geldig. Na drie jaar moet u zich opnieuw aanbieden voor certificering. Gedurende de drie jaar waarin het certificaat geldig is worden jaarlijkse controle audits uitgevoerd om na te gaan of de organisatie en haar informatie managementsysteem voor informatiebeveiliging blijven voldoen aan de eisen van de ISO 27001 norm. 

Welke instellingen reiken certificaten voor ISO 27001 uit?

 

In België zijn er verscheidene instellingen die het internationale ISO 27001 certificaat mogen uitreiken na een succesvolle externe audit van je organisatie. Een onderscheid kan worden gemaakt tussen geaccrediteerde en niet-geaccrediteerde certificatie-instellingen. Het is niet verplicht om je te laten auditen door een geaccrediteerde certificatie-instelling maar accreditatie levert wel een bewijs van de technische competentie door een onafhankelijke en onpartijdige instelling.

shutterstock_1538166857.jpg

Neem contact op voor een vrijblijvend kennismakingsgesprek

logo.png

OOK ZIJ DEDEN EEN BEROEP OP MR. FRANKLIN

logo.png

Mr. Franklin is voor ons, als onderneming in software, het ideale juridische aanspreekpunt. We werden al meermaals perfect bijgestaan bij contractuele en GDPR-gerelateerde uitdagingen. Hun no-nonsense aanpak en communicatie zorgt ervoor dat ik Mr. Franklin warm aanbeveel.

Alex Vandevelde / QuantaCorp

Untitled_edited.png

Mr. Franklin geeft altijd kwalitatief werk voor een duidelijke prijs.

Alain Carels / Carbofisc

Untitled_edited.png