een geïntegreerde aanpak hoe isms.online de iso 27001 en iso 27701 hercertificering heeft behaald banner

Een geïntegreerde aanpak: hoe ISMS.online de hercertificering van ISO 27001 en ISO 27701 heeft behaald

In oktober 2024 hebben we de hercertificering behaald ISO 27001 , de standaard voor informatiebeveiliging, en ISO 27701 , de dataprivacystandaard. Met onze succesvolle hercertificering gaat ISMS.online zijn vijfde driejarige certificeringscyclus in: we hebben ISO 27001 al meer dan tien jaar! We zijn blij om te kunnen melden dat we beide certificeringen hebben behaald met nul non-conformiteiten en veel leerervaring.

Hoe hebben we ervoor gezorgd dat we onze dataprivacy en informatiebeveiliging effectief beheerden en bleven verbeteren? We gebruikten onze geïntegreerde compliance-oplossing – Enkelvoudig punt van waarheid, of SPoT, om ons geïntegreerde managementsysteem (IMS) te bouwen. Ons IMS combineert ons informatiebeveiligingsmanagementsysteem (ISMS) en privacy-informatiemanagementsysteem (PIMS) in één naadloze oplossing.

In deze blog deelt ons team haar gedachten over het proces en haar ervaringen. Ook legt het uit hoe wij onze ISO 27001- en ISO 27701-hercertificeringsaudits hebben aangepakt.

Wat is ISO 27701?

ISO 27701 is een privacy-uitbreiding van ISO 27001. De norm biedt richtlijnen en vereisten voor het implementeren en onderhouden van een PIMS binnen een bestaand ISMS-raamwerk.

Waarom zouden organisaties ISO 27701 willen implementeren?

Organisaties zijn verantwoordelijk voor het opslaan en verwerken van meer gevoelige informatie dan ooit tevoren. Zo'n hoog – en toenemend – volume aan data biedt een lucratief doelwit voor dreigingsactoren en vormt een belangrijke zorg voor consumenten en bedrijven om ervoor te zorgen dat het veilig wordt bewaard.

Met de groei van wereldwijde regelgeving, zoals AVG, CCPA en HIPAA, organisaties hebben een toenemende wettelijke verantwoordelijkheid om de gegevens van hun klanten te beschermen. Wereldwijd bewegen we gestaag richting een compliancelandschap waarin informatiebeveiliging niet langer kan bestaan ​​zonder gegevensprivacy.

De voordelen van het aannemen van ISO 27701 gaan verder dan het helpen van organisaties om te voldoen aan wettelijke en nalevingsvereisten. Deze omvatten het tonen van verantwoording en transparantie aan belanghebbenden, het verbeteren van het vertrouwen en de loyaliteit van klanten, het verminderen van het risico op privacyschendingen en bijbehorende kosten en het ontsluiten van een concurrentievoordeel.

Onze voorbereiding op de hercertificeringsaudit van ISO 27001 en ISO 27701

Omdat deze ISO 27701-audit een hercertificering was, wisten we dat het waarschijnlijk diepgaander zou zijn en een grotere reikwijdte zou hebben dan een jaarlijkse surveillance-audit. Het zou in totaal 9 dagen duren. Bovendien is ISMS.online sinds onze vorige audit verhuisd naar een nieuw hoofdkantoor, heeft het een nieuw kantoor gekregen en zijn er verschillende personeelswisselingen geweest. We waren voorbereid om eventuele non-compliances die door deze veranderingen werden veroorzaakt, aan te pakken, mocht de auditor die vinden.

IMS-beoordeling

Vóór onze audit hebben we ons beleid en onze controles herzien om ervoor te zorgen dat ze nog steeds onze aanpak van informatiebeveiliging en privacy weerspiegelen. Gezien de grote veranderingen in onze onderneming in de afgelopen 12 maanden, was het noodzakelijk om ervoor te zorgen dat we konden aantonen dat we onze aanpak voortdurend monitoren en verbeteren.

Dit hield in dat we ervoor moesten zorgen dat ons interne auditprogramma up-to-date en volledig was, dat we de uitkomsten van onze ISMS-managementvergaderingen konden vastleggen en dat onze KPI's up-to-date waren, zodat we konden aantonen dat we onze prestaties op het gebied van infosec en privacy maten.

Risicomanagement en gapanalyse

Risicomanagement en gapanalyse zouden onderdeel moeten zijn van het continue verbeteringsproces bij het handhaven van de naleving van zowel ISO 27001 als ISO 27701. Dagelijkse bedrijfsdruk kan dit echter moeilijk maken. We gebruikten onze eigen ISMS.online platform projectmanagementtools om regelmatige beoordelingen van de kritieke elementen van het ISMS te plannen, zoals risicoanalyse, intern auditprogramma, KPI's, leveranciersbeoordelingen en corrigerende maatregelen.

Gebruik van ons ISMS.online-platform

Alle informatie met betrekking tot ons beleid en onze controles wordt bewaard in ons ISMS.online-platform, dat toegankelijk is voor het hele team. Dit platform maakt het mogelijk om gezamenlijke updates te beoordelen en goed te keuren en biedt ook automatische versiebeheer en een historische tijdlijn van alle wijzigingen.

Het platform plant ook automatisch belangrijke beoordelingstaken, zoals risicobeoordelingen en beoordelingen, en stelt gebruikers in staat om acties te creëren om ervoor te zorgen dat taken binnen de benodigde tijdschalen worden voltooid. Aanpasbare frameworks bieden een consistente aanpak voor processen zoals leveranciersbeoordelingen en werving, waarbij de belangrijke infosec- en privacytaken die voor deze activiteiten moeten worden uitgevoerd, worden beschreven.

Wat u kunt verwachten tijdens een ISO 27001- en ISO 27701-audit

Tijdens de audit zal de auditor een aantal belangrijke onderdelen van uw IMS willen beoordelen, zoals:

  1. Het beleid, de procedures en processen van uw organisatie voor het beheer van persoonsgegevens of informatiebeveiliging
  2. Evalueer uw informatiebeveiligings- en privacyrisico's en de passende controlemaatregelen om te bepalen of uw controlemaatregelen de geïdentificeerde risico's effectief beperken.
  3. Beoordeel uwprobleembehandelingBent u voldoende in staat om incidenten te detecteren, melden, onderzoeken en erop te reageren?
  4. Onderzoek uw externe management om ervoor te zorgen dat er voldoende controles zijn om de risico's van externe partijen te beheren.
  5. Zorg ervoor dat uw opleidingsprogramma's uw personeel voldoende informeren over privacy en informatiebeveiliging.
  6. Controleer de prestatiegegevens van uw organisatie om te bevestigen dat deze voldoen aan de door u gestelde doelstellingen op het gebied van privacy en informatiebeveiliging.

Het externe auditproces

Voordat uw audit begint, zal de externe auditor een schema opstellen waarin de reikwijdte van de audit wordt beschreven. Ook zal hij aangeven of hij met specifieke afdelingen of personeelsleden wil spreken of specifieke locaties wil bezoeken.

De eerste dag begint met een openingsvergadering. Leden van het executive team, in ons geval de CEO en CPO, zijn aanwezig om de auditor ervan te overtuigen dat zij het informatiebeveiligings- en privacyprogramma voor de hele organisatie beheren, actief ondersteunen en eraan deelnemen. Dit richt zich op een beoordeling van de beleidsregels en controles van de ISO 27001- en ISO 27701-managementclausules.

Voor onze laatste audit, na afloop van de openingsvergadering, nam onze IMS Manager rechtstreeks contact op met de auditor om het ISMS en PIMS beleid en de controles te beoordelen volgens het schema. De IMS Manager faciliteerde ook de betrokkenheid tussen de auditor en bredere ISMS.online teams en personeel om onze aanpak van de verschillende informatiebeveiligings- en privacybeleid en controles te bespreken en bewijs te verkrijgen dat we deze in de dagelijkse gang van zaken volgen.

Op de laatste dag is er een afsluitende vergadering waarin de auditor formeel zijn bevindingen van de audit presenteert en de mogelijkheid biedt om alle gerelateerde kwesties te bespreken en te verduidelijken. We waren blij om te zien dat, hoewel onze auditor enkele observaties maakte, hij geen non-compliance ontdekte.

Mensen, processen en technologie: een drieledige aanpak voor een IMS

Een deel van de ISMS.online ethos is dat effectieve, duurzame informatiebeveiliging en dataprivacy worden bereikt door mensen, processen en technologie. Een aanpak die alleen op technologie is gebaseerd, zal nooit succesvol zijn.

Een technologie-only-benadering richt zich op het voldoen aan de minimumvereisten van de standaard in plaats van het effectief beheren van dataprivacyrisico's op de lange termijn. Uw mensen en processen, samen met een robuuste technologische opstelling, zullen u echter een voorsprong geven en uw informatiebeveiliging en dataprivacy-effectiviteit aanzienlijk verbeteren.

Als onderdeel van onze auditvoorbereiding hebben we er bijvoorbeeld voor gezorgd dat onze mensen en processen op één lijn zaten door de ISMS.online policy pack-functie te gebruiken om alle beleidsregels en controles te distribueren die relevant zijn voor elke afdeling. Deze functie maakt het mogelijk om bij te houden hoe elk individu de beleidsregels en controles leest, zorgt ervoor dat individuen op de hoogte zijn van informatiebeveiligings- en privacyprocessen die relevant zijn voor hun rol en zorgt voor naleving van records.

Een minder effectieve aanpak met alleen maar hokjes zal vaak het volgende tot gevolg hebben:

  • Een oppervlakkige risicobeoordeling uitvoeren, waarbij belangrijke risico's over het hoofd kunnen worden gezien
  • Negeer de zorgen van belangrijke belanghebbenden over de privacy.
  • Geef geen generieke trainingen die niet zijn afgestemd op de specifieke behoeften van de organisatie.
  • Voer beperkte monitoring en evaluatie van uw controles uit, wat kan leiden tot onopgemerkte incidenten.

Al deze zaken stellen organisaties bloot aan potentieel schadelijke inbreuken, financiële boetes en reputatieschade.

Mike Jennings, IMS Manager van ISMS.online adviseert: "Gebruik de normen niet alleen als checklist om certificering te behalen; 'leef en adem' uw beleid en controles. Ze maken uw organisatie veiliger en zorgen ervoor dat u 's nachts wat rustiger slaapt!"

ISO 27701-routekaart – nu downloaden

We hebben een praktische roadmap van één pagina gemaakt, onderverdeeld in vijf belangrijke aandachtsgebieden, voor het benaderen en behalen van ISO 27701 in uw bedrijf. Download de PDF vandaag nog voor een eenvoudige kickstart op uw reis naar effectievere dataprivacy.

Nu downloaden

Ontgrendel uw compliancevoordeel

Het behalen van de hercertificering volgens ISO 27001 en ISO 27001 was voor ons bij ISMS.online een belangrijke prestatie. Dankzij ons eigen platform konden we dit snel, effectief en zonder enige non-conformiteit realiseren.

ISMS.online biedt een voorsprong van 81%, de Assured Results Method, een catalogus met documentatie die kan worden overgenomen, aangepast of aangevuld, en de altijd beschikbare ondersteuning van onze Virtual Coach. Zorg er eenvoudig voor dat uw organisatie uw informatie en gegevensprivacy actief beveiligt, de aanpak van beveiliging continu verbetert en voldoet aan normen zoals ISO 27001 en ISO 27701.

Ontdek de voordelen zelf: vraag vandaag nog een gesprek aan met een van onze experts.

Auteur

Christie Rae

Christie is contentmarketingspecialist bij ISMS.online. Met meer dan zeven jaar ervaring wil ze informatieve, boeiende inhoud schrijven en heeft ze in een groot aantal sectoren gewerkt, waaronder cyberbeveiliging, software as a service, technologie en farmaceutica.

Bekijk alle berichten van Christie Rae

gerelateerde berichten

SOC 2 is hier! Versterk uw beveiliging en bouw vandaag nog aan het vertrouwen van uw klanten met onze krachtige compliance-oplossing!