top of page
wit vlak
Logo
rood vlak

WAT IS DE ISO27001 NORM?

De ISO 27001-norm is een internationaal erkende norm op het gebied van informatiebeveiliging. In de ISO 27001-norm staat beschreven hoe je als organisatie informatiebeveiliging procesmatig kan inrichten in jouw onderneming.
 

WAAROM IS ISO27001 CERTIFICERING NODIG?

Informatie en kennis zijn voor veel ondernemingen een van de belangrijkste bezittingen. Daarom is het nodig om die data goed te beveiligen. De ISO27001-norm wordt internationaal aanzien als het kwaliteitscertificaat om aan te tonen dat een onderneming adequate beveiligingsmaatregelen neemt om data te beschermen.

Internationaal belang van ISO 27001

 

ISO 27001 is een wereldwijd erkende norm. Op dit moment is het ook de snelst groeiende norm. Dit onder meer omdat veel (buitenlandse) bedrijven deze norm vereisen van hun dienstverleners zoals cloud software. 

 

Een onderneming die belang hecht aan opportuniteiten in het buitenland of een internationale uitbreidingoverweegt doet er dan ook goed aan om zich te laten certificeren. 

In 2022 werd de ISO27001-norm herzien, als resultaat de ISO27002-norm. Deze is een uitbreiding op de ISO27001-norm. In deze blogpost van Mr.Franklin lees je alles over de nieuwe ISO27002-norm.

Imagoversterking

 

Door het behalen van een ISO 27001-certificering kan je aantonen dat je onderneming voldoet aan alle vereisten van de meest recente versie van ISO-normen. De ISO-certificatie levert ook het bewijs dat de gepaste maatregelen werden getroffen tegen informatiebeveiligingsrisico’s. Een sterke informatiebeveiliging opzetten die aan de erkende normen voldoet heeft een positief impact op het imago van de onderneming.

WAT ZIJN DE VOORDELEN VAN ISO27001?

De internationale norm ISO 27001 heeft zowel externe als interne voordelen:

Externe voordelen

 

ISO 27001-certificering wordt door ondernemingen steeds vaker vereist van hun dienstverleners. Zowel in B2B als in B2C context wordt een continue verbetering van informatiebeveiliging verwacht. (Potentiële) klanten willen immers voorkomen dat vertrouwelijke informatie die zij aan de dienstverlener ter beschikking stellen op straat komt te liggen. Daarom eisen ze bepaalde garanties ter bescherming.

 

Een ISO 27001-certificaat is het objectief en onafhankelijk bewijs waarmee je als organisatie aantoont dat je serieus en structureel bezig bent met informatiebeveiliging. Daarmee verschaf je (potentiële) klanten zekerheid over de beveiliging van de vertrouwelijke informatie. 

 

Wanneer je in het bezit bent van een ISO 27001-certificaat, versterk je niet alleen het vertrouwensband met je klanten, maar ook jouw imago. Een certificering biedt dan ook veel commerciële kansen: je onderscheidt jezelf ermee van de concurrentie en houdt je klanten tevreden.

Interne voordelen

 

Uiteraard is het behalen van een ISO 27001-certificering ook vooral intern een grote meerwaarde voor een onderneming. Het zorgt voor een professionele en gestructureerde aanpak op vlak van databescherming. Na de ISO 27001-certificering ben je als ondernemer zeker dat de gegevensbescherming aangescherpt is. 
 

Bovendien voldoe je met een ISO 27001-certificaat voor een groot deel aan de relevante wettelijke normen op het gebied van informatiebeveiliging. Tot slot verklein je de kans op datalekken waardoor ook de kans op imagoschade afneemt.

Q&A

WAT IS DE RELATIE TUSSEN ISO27001 EN GDPR?

​GDPR-wetgeving
 
GDPR-normen zijn gebaseerd op de Algemene Verordening Persoonsgegevens (AVG), een regelgeving van Europeesrechtelijke oorsprong die sinds 2018 van kracht is. De GDPR-eisen met betrekking tot bescherming van de persoonsgegevens vormen een wettelijke verplichting. Dit is niet het geval bij een ISO 27001-certificering.


ISO 27001
 
ISO 27001 is de norm voor informatiebeveiliging, terwijl de GDPR de bescherming van persoonsgegevens voor ogen heeft. Privacy en informatiebeveiliging gaan uiteraard hand in hand, maar toch zijn er verschillen.


ISO certificaat vs. GDPR normeisen
 
ISO 27001 is een uitstekende manier om de veiligheid van kennis en informatie te waarborgen en is een grote hulp bij het opmaken van een DPIA binnen uw onderneming. Het is niet zo dat wanneer je ISO 27001-gecertificeerd bent, je dan ook automatisch voldoet aan de GDPR. 
 
Een ISMS is een goede aanzet om ook aan de GDPR te voldoen, onder meer door het invoeren van een Privacy Information Management Systeem overeenkomstig ISO 27001. 

icoon schild

ISO27001 / NIS2

De experten van Mr. Franklin kunnen uw organisatie begeleiden bij het behalen van een ISO27001 certificering. We helpen bij de implementatie van de norm, het opzetten van een Information Security Management System (ISMS) en bij de interne audit.

Daarnaast begeleiden we organisaties die vallen onder de NIS2-verordening om te voldoen aan de verplichtingen inzake incidentenbeheer, continuïteitsplan, meldplicht en de opmaak van een voldoende veiligheidsbeleid.

WELKE ONDERNEMINGEN MOETEN VOLDOEN AAN NIS2?

De NIS2-richtlijn heeft een breed bereik en richt zich op organisaties in kritieke sectoren, met een onderscheid tussen essentiële en belangrijke entiteiten op basis van omvang en sector.

Essentiële entiteiten
Dit zijn grote organisaties in sectoren zoals energie, transport, banken, gezondheidszorg en drinkwater. Een organisatie valt hieronder als ze minstens 250 werknemers heeft, een jaaromzet van meer dan 50 miljoen euro en een balanstotaal boven 43 miljoen euro. Ook organisaties die volgens de CER-richtlijn als “kritieke entiteit” zijn aangewezen, vallen in deze categorie.

Belangrijke entiteiten
Middelgrote organisaties in zeer kritieke sectoren, en grote of middelgrote bedrijven in andere kritieke sectoren zoals post- en koeriersdiensten, afvalbeheer en levensmiddelen. Middelgroot betekent minimaal 50 werknemers of een jaaromzet en balanstotaal boven 10 miljoen euro.

Uitzonderingen
Sommige organisaties vallen onder NIS2 ongeacht hun omvang, zoals aanbieders van openbare elektronische communicatienetwerken en DNS-dienstverleners.

 

Meer details kan je vinden in volgend artikel.

wit vlak

BELANGRIJKSTE VERPLICHTINGEN INGEVOLGE DE NIS2 VERORDENING

De NIS2-richtlijn verplicht essentiële en belangrijke entiteiten om hun cybersecurity te versterken. Dit omvat risicobeheer, incidentmelding en beveiliging van de toeleveringsketen.

Cyberbeveiligingsmaatregelen
Organisaties moeten risicoanalyses uitvoeren en maatregelen nemen om cyberrisico’s te beheersen, inclusief incidentenbeheer, bedrijfscontinuïteit, toeleveringsketenbeveiliging en cybersecurity-trainingen. Een ISO27001-certificering wordt gezien als passend, maar is niet verplicht.

Incidentmeldingsplicht
Significante incidenten moeten binnen 24 uur gemeld worden aan de bevoegde autoriteiten, met een uitgebreider rapport binnen 72 uur.

Toeleveringsketenbeveiliging
Organisaties moeten de cybersecurityrisico’s van leveranciers beoordelen en beheersen, met duidelijke afspraken en regelmatige toetsing van het beveiligingsbeleid.

HOE VERLOOPT EEN CERTIFICERINGSTRAJECT?

1) Definiëren doelstellingen
2) Plan van aanpak
  - Context - Risico analyse -  Verklaring van toepassing
  - Informatieveiligheidsbeleid en opzetten ISMS
3) Implementatie procedures en policies
4) Opleiding
5) Interne audit en managementreview
6) Voorbereiding externe audit

bottom of page