ISO 27001-certificering, vereenvoudigd

ISO 27001 Certification

Certificering toont aan dat de organisatie zich inzet voor voortdurende verbetering, ontwikkeling en bescherming van informatiemiddelen/gevoelige gegevens door het implementeren van passende risicobeoordelingen, passend beleid en passende controles.

Een ISO 27001-gecertificeerde organisatie maakt reclame voor de wereld waarin zij vertrouwd wordt, heeft een Information Security Management System (ISMS) geïmplementeerd in overeenstemming met clausule 4.4 van de norm en heeft aangetoond dat zij voldoet aan een externe auditor/onafhankelijke ISO-certificeringsinstantie, bijvoorbeeld UKAS.

ISO 27001-certificering is een bedrijfsdifferentiator en laat aan andere bedrijven zien dat zij erop kunnen vertrouwen dat uw organisatie waardevolle informatiemiddelen/gegevens van derden en intellectueel eigendom beheert; dit schept een schat aan nieuwe kansen en beschermt uw bedrijf tegen blootstelling aan risico's.

ISO 27001-norm is het internationaal erkende best practice-raamwerk voor een ISMS

ISO 27001-erkenning is het meest waardevol voor organisaties in het Verenigd Koninkrijk wanneer u zich laat certificeren door een door UKAS (United Kingdom Accreditation Service) geaccrediteerde certificeringsinstantie die uw organisatie onafhankelijk zal auditen en u de ISO 27001-certificering zal verstrekken.

Er bestaan ​​internationaal andere certificeringsinstanties die vergelijkbaar zijn met UKAS, wat helpt bij het handhaven van de ISO/IEC 27001 Information Security Management-norm overal waar een organisatie ISO 27001-certificering wil behalen. ISO 27001-certificering gaat niet alleen over de technische maatregelen die u treft. ISO 27001 gaat over het waarborgen dat de bedrijfscontroles en de beheerprocessen die u hanteert adequaat en proportioneel zijn voor de bedreigingen en kansen voor de informatiebeveiliging die u in uw risicobeoordeling hebt geïdentificeerd en geëvalueerd. En dat moet allemaal gebeuren met een door het bedrijfsleven geleide benadering van het informatiebeveiligingsbeheerproces.

ISO 27001-certificering versus naleving

Organisaties die nieuw zijn op het gebied van managementsystemen voor informatiebeveiliging vragen vaak naar het verschil tussen ISO 27001-certificering en compliance, vooral als het gaat om het volgen van erkende normen zoals ISO 27001.

Simpel gezegd kan compliance betekenen dat de organisatie de ISO 27001-norm (of delen daarvan) volgt. ISO 27001-certificering betekent dat het ISO 27001-managementsysteem voor informatiebeveiliging van de organisatie is gecertificeerd in overeenstemming met de norm door auditors die bekend staan ​​als certificeringsinstanties.

Waarom heeft u een ISO 27001-certificering nodig?

De ISO 27001-certificering is van toepassing op elke organisatie die bedrijfsprocessen rond informatiebeveiliging, privacy en het beveiligen van haar informatiemiddelen wil of moet formaliseren en verbeteren.

De omvang/omzet van een bedrijf bepaalt niet de noodzaak van ISO 27001 van een organisatie; zelfs de kleinste bedrijven kunnen invloedrijke klanten of andere belanghebbenden hebben, zoals investeerders, die op zoek zijn naar de intrinsieke zekerheid van UKAS ISO 27001-certificeringsaanbiedingen.

Als gevolg van de ISO 27001-certificering kan uw organisatie aantonen dat haar mensen, processen, hulpmiddelen en systemen zich houden aan een erkend raamwerk. Stel je een wereld voor van financiële rapportage of gezondheid en veiligheid zonder normen. Informatiebeveiliging loopt wat betreft certificering en onafhankelijke auditperspectieven enigszins achter op deze gebieden. Maar nu het tempo van de veranderingen voor bijna alles toeneemt, boeken steeds meer innovatieve organisaties intern vooruitgang, vooral met hun toeleveringsketen. U kunt de ISO 27001-certificering dus door twee lenzen bekijken;

Vertrouwen in uw leveranciers

Als klant heeft u het vertrouwen nodig dat uw leveranciers gecertificeerd zijn om uw bedrijfsrisico's te beperken en kansen te benutten, bijvoorbeeld door consistentere, hogere normen en lagere totale kosten en risico's van het werk dat u van hen tegenkomt.

Vertrouwen opbouwen in uw bedrijf

Uw klanten worden slimmer; ze vinden het leuk dat je moet weten dat de toeleveringsketen voldoende wordt beschermd. Invloedrijke klanten eisen eenvoudigweg ISO 27001-certificering en dragen het risicobeheerproces over naar de toeleveringsketen. Er zijn ook nog andere voordelen, laat staan ​​alle extra omzet die u kunt behalen door gecertificeerd te zijn volgens ISO 27001, vergeleken met achterblijvers die dat niet zijn. Goed geïnformeerd personeel zal bijvoorbeeld voor vertrouwde merken willen werken. Naarmate verzekeraars hun betere werkpraktijken inhalen, zou dit ook lagere premies moeten betekenen voor organisaties met een onafhankelijk gecertificeerd ISO 27001-informatiemanagementsysteem.

De voordelen van ISO 27001-certificering

Voor alle belanghebbenden is de kernboodschap het vertrouwen en de zekerheid die wordt verkregen door extern gecontroleerd informatiebeveiligingsbeheer. ISO 27001-certificering biedt meerdere voordelen, bijvoorbeeld:

Voordelen voor u

• Bescherm IP, merk en reputatie
• Haal meer omzet uit nieuwe en bestaande klanten
• Verlaag de verkoopkosten
• Behoud meer omzet
• Verbeterde processen die leiden tot kosten- en tijdbesparingen
• Voorkom boetes als gevolg van niet-naleving van de regelgeving (zoals AVG)
• Voorkom civiele rechtszaken als gevolg van een datalek
• Vermijd kosten voor herstelmaatregelen als gevolg van incidenten en/of inbreuken
• Trek beter personeel aan

Voordelen voor uw personeel

• Vertrouw op de duurzaamheid van de organisatie
• Training voor werk (en huisbeveiliging)
• Duidelijkheid door beleid en procedures
• Trots op de organisatie en hun rol bij het beschermen ervan

Voordelen voor uw klanten

• Vertrouwen en zekerheid in u en uw supply chain
• Minder kans op een kostbare inbreuk
• Lagere kosten voor onboarding van leveranciers

ISO 27001-certificering: is het de moeite waard?

Niets doen is waarschijnlijk geen optie als u toegang heeft tot waardevolle informatiebronnen die eigendom zijn van anderen en deze beheert. Voor sommige organisaties is hun hele bedrijfsvoering gebaseerd op het ontwikkelen of beheren van informatiemiddelen.

Dus in dat geval betekent het verlies van een deel of het geheel van die omzet of het niet meer winnen in de toekomst waarschijnlijk dat het de moeite waard is om te investeren in een ISO 27001-certificering, vooral als klanten of andere belanghebbenden zoals investeerders een risico zien.

Het behalen van de ISO 27001-certificering is niet meer zo ingewikkeld en duur als vroeger dankzij innovatieve oplossingen als ISMS.online. En ondanks de vele strategische en financiële voordelen beschouwen sommige leiders het nog steeds als een 'wrok'-aankoop en een zoveelste bureaucratische afvinklijstje. Het behalen van een certificering betekent doorgaans een investering in tijd en kosten; zoals bij de meeste strategische investeringen is het de moeite waard om het rendement en de bredere voordelen in ogenschouw te nemen.

Wat komt er kijken bij de implementatie van ISO 27001?

Om ISO 27001 te implementeren moet je een 'managementsysteem' ontwikkelen, bestaande uit mensen, processen en technologie.

Wat het menselijke gedeelte betreft, heb je leiderschap nodig om de implementatie te begeleiden, om te voldoen aan de bedrijfsdoelen, culturele normen en regelmatige evaluaties en om te laten zien dat de organisatie het serieus neemt. Auditors zullen graag zien dat 'de geest van ISO 27001' wordt toegepast, evenals de documenten op dit hogere niveau, dus een directeur die een audit binnenstormt en doet alsof hij het ISO 27001 Information Security Management System begrijpt, is ook een recept voor een ramp.

U heeft ook mensen nodig die uw bedrijf begrijpen en die de capaciteiten, capaciteiten en het vertrouwen hebben om aan de vereisten te voldoen. De 'people'-investering wordt bepaald door de technologie die wordt gebruikt om het ISO 27001 Information Security Management System (ISMS) te implementeren en te onderhouden.

Je hebt bijvoorbeeld het volgende nodig:

• Een digitale of papieren oplossing om te beschrijven hoe u voldoet aan de kerneisen van ISO 27001 en hoe dat in de loop van de tijd wordt beheerd (u wordt minimaal jaarlijks geaudit – zie verder hieronder).
• Het is een vergelijkbare omgeving om alle ontwikkelde controles en beleidsmaatregelen uit bijlage A te documenteren en te beheren en er vervolgens voor te zorgen dat ze beschikbaar worden gesteld aan de mensen op wie ze van toepassing zijn. Je kunt bewijzen dat ze zich hiervan bewust zijn en betrokken zijn (onthoud dat deze mensen personeel en leveranciers kunnen zijn). Schrijf ook niet alleen controles en beleid voor het doel ervan. Ze moeten allemaal gebaseerd zijn op de problemen waarmee uw organisatie wordt geconfronteerd, de verwachtingen van uw belanghebbenden, uw reikwijdte en grenzen (bijvoorbeeld producten, locaties, enz.) en de informatiemiddelen die u wilt beschermen. Ook hier moet je 'je werk laten zien' en dat allemaal documenteren. Het wordt moeilijk om dat goed te doen en in de loop van de tijd te onderhouden met alleen Word-documenten, spreadsheets en een gedeelde Drive.
• Uw managementsysteem beschikt over alle hulpmiddelen die dat werk ondersteunen, gedocumenteerd en gemakkelijk te volgen door de auditor.
  Voor al deze activiteiten wordt een risicobeoordeling uitgevoerd (met uw risicobeheertool) om u te helpen bepalen welke van de controledoelstellingen van Bijlage A u moet implementeren. Dit leidt, zonder in dit stadium al te technisch te worden, tot uw Verklaring van Toepasselijkheid. Had ik al gezegd dat je dit aan een auditor moet aantonen om gecertificeerd te worden volgens ISO 27001?
• Een documentenset kan helpen als deze uitvoerbaar is, dat wil zeggen dat u deze praktisch kunt gebruiken en gemakkelijk kunt overnemen, aanpassen en toevoegen. Het zou ook binnen die technologische oplossing moeten worden geïntegreerd.
• Als u op de toeleveringsketen vertrouwt, moet u laten zien hoe u die leveranciers en vooral hun contracten controleert (het is ook een fundamentele vereiste voor naleving van de AVG!)
• De controledoelstellingen en -vereisten verwachten een beschrijving van de aanpak (bijvoorbeeld het beleid over hoe beveiligingsincidenten moeten worden aangepakt) en de demonstratie ervan (dat wil zeggen de tracker van beveiligingsincidenten met al zijn details over incidenten, gebeurtenissen en zwakke punten en bewijsmateriaal dat ook gemakkelijk toegankelijk is).

Plannen, Doen, Controleren, Handelen

Erkende benaderingen voor het implementeren van een systeem zijn onder meer de PDCA-aanpak (Plan, Do, Check, Act). Het was een standaardaanpak voor kwaliteitsmanagement, maar in zijn letterlijke vorm is het misschien een beetje passé.

De 2013/17-versie van ISO 27001 faciliteerde een flexibeler en dynamischer proces dat continue evaluatie en verbetering van het managementsysteem ondersteunt, dus meer een realtime PDCA en ook een vermenging van de PDCA-volgorde voor een pragmatische agile aanpak. Organisaties hanteren doorgaans dit soort dynamische benadering voor hun operationele beveiligingssystemen, bijvoorbeeld firewalls, netwerkscanners enz. Deze is beter geschikt voor het steeds veranderende moderne risicolandschap. Een goed beheerd informatiebeveiligingsbeheersysteem zal in de toekomst een veel flexibeler, dynamischer en continu bewaakt ISMS zijn.

1. Plan voor implementatie van ISO 27001

Wanneer u meer context en structuur toevoegt aan uw ISO 27001-implementatieplan, moet de hoofdimplementator rekening houden met de volgende aspecten:

• Wees duidelijk over de doelstellingen, dwingende redenen om in actie te komen en eventuele deadlines die u wilt halen – en over de gevolgen als die niet door gaan.
• Identificeer de belangrijkste RoI, zodat u de juiste mensen en het juiste leiderschap kunt inzetten. Dit zal ook de begrotingsontwikkeling ten goede komen, als dat nodig is.
• Als het team nieuw is bij ISO 27001, koop dan de ISO-normen en de ISO 27002-richtlijnen en lees deze – vergelijk uw huidige interne omgeving met wat nodig is voor succes (een lichte kloofanalyse). Veel van de vereisten, processen en controles zijn mogelijk al aanwezig en moeten worden geformaliseerd. Het kan zijn dat u geen externe training of implementatieprogramma's voor hoofdauditors nodig heeft; deze kunnen verspillend zijn en een negatieve invloed hebben op de manier waarop u wilt dat uw Information Security Management System werkt als een praktisch ISMS.
• Overweeg vooraf geconfigureerde technologische oplossingen en tools om te vergelijken of dat beter is dan wat u intern al heeft en om uw waardevolle middelen beter te gebruiken. Sommige van deze oplossingen, zoals ISMS.online, beschikken al over alle tools die u nodig heeft en bevatten bruikbare documentatie die u kunt overnemen, aanpassen en toevoegen voor een enorme voorsprong, en bieden virtuele coaching en training voor het behalen van certificering.
• Ga aan de slag... en verdeel al het werk in hapklare brokken en vier de kracht van kleine overwinningen. Het is aanstekelijk om regelmatig vooruitgang te zien richting 100% volledigheid. Denk er dus aan om een ​​zichtbare, transparante en op samenwerking gerichte oplossing te vinden om die kleine successen te delen!

2. Behandel de belangrijkste elementen van de ISO 27001-norm

ISO 27001 kan bottom-up worden uitgevoerd door een beleidsgestuurde aanpak te volgen, door eenvoudigweg documentatie te creëren voor bijlage A-controles. De meer strategische en bedrijfsgerichte aanpak volgt echter in grote lijnen de manier waarop ISO 27001 is geschreven en logisch. We hebben het eenvoudig als volgt samengevat:

• Kijk naar de vraagstukken waarmee uw organisatie wordt geconfronteerd en begrijp de behoeften van belanghebbenden (stakeholders); Identificeer vooral de informatiemiddelen zo vroeg mogelijk (daarover wordt later meer gedetailleerd gesproken).
• Stel de grenzen en reikwijdte van het ISMS vast.
• Definieer de beveiligingsdoelstellingen van uw organisatie vanuit het ISMS.
• Zorg voor de mogelijkheid voor regelmatige implementatiebeoordelingen, audits en evaluaties om aan te tonen dat u de controle hebt en documenteer (kort) vanaf dag 1 van de implementatie om dat traject met de auditor te delen en voor de geleerde lessen.
• Identificeer de risico's voor deze informatiemiddelen en voer risicobeoordelingen uit. Als u over onvoldoende middelen beschikt, raden we u aan prioriteit te geven aan de informatiemiddelen met een hoger risico en de grotere bedreigingen voor de CIA op basis van waarschijnlijkheid en impact.
• Maak voor elk risico een risicobehandelingsplan. Kies waar nodig de controledoelstellingen en controles uit bijlage A die moeten worden geïmplementeerd en pak die risico's aan. Idealiter koppelt u die aan elkaar, zodat u weet dat uw activa, risico's en controles op elkaar aansluiten. Als je één onderdeel wijzigt of beoordeelt, zie je de impact op de gerelateerde onderdelen.
• Bereid uw Verklaring van Toepasselijkheid voor – dit spreekt veel mensen aan, maar het is een verplichte vereiste en kan veel tijd verspillen.

Vergeet niet om alles te documenteren en te laten zien dat het hele systeem werkt met die regelmatige evaluatie.

3. Evalueer uw ISO 27001 in overeenstemming met de norm en de gereedheid ervan voor certificering

Het is van cruciaal belang om metingen en beoordelingen te hebben om ervoor te zorgen dat uw ISMS zijn doelstellingen bereikt. ISO 27001 bevat eisen voor geplande evaluatie in de vorm van:

• Managementrecensies
• Interne audits
• Externe audits – indien van toepassing kan dit afkomstig zijn van een ISO 27001-certificeringsinstantie of van klanten of consultants

4. Verbeter uw ISMS indien nodig en organiseer de fase 1-audit door de externe certificeringsinstantie

Het voortdurende verbeteringsproces is de sleutel tot het succes van ISO 27001 en het is iets waar auditors naar zullen kijken om hiervan bewijs te zien.

Beveiligingsbedreigingen en kwetsbaarheden veranderen snel, net als in veel gevallen de groei of doelstellingen van organisaties. Een bedrijf moet aantonen dat het zich inzet voor het nemen van corrigerende maatregelen en het aanbrengen van verbeteringen in het ISMS. Als uw ISMS op de juiste manier wordt geïmplementeerd, zal het een business enabler zijn in plaats van de manier waarop u uw bedrijf wilt runnen te beperken.

Hoe krijg ik een ISO 27001-certificering?

Nadat u uw Information Security Management System heeft geïmplementeerd, de eerste managementbeoordelingen van het ISMS heeft uitgevoerd en de aanpak in de praktijk heeft gebracht, bent u goed op weg om gecertificeerd te worden volgens ISO 27001.

Het proces om gecertificeerd te worden volgens de geaccrediteerde standaard van de United Kingdom Accreditation Service bestaat uit twee fasen:

Fase 1 Audit

Simpel gezegd: de auditor van de certificatie-instelling wil de documentatie van het Information Security Management System zien en zien of aan de vereisten is voldaan, althans in theorie! In dit stadium is het meer een desktop review van het ISMS met de auditor, waarbij de verplichte gebieden worden besproken en wordt verzekerd dat de geest van de norm wordt toegepast. Vooruitstrevende certificeringsinstanties beginnen deze op afstand te doen, wat de kosten verlaagt en het proces versnelt.

Het resultaat van deze oefening is een aanbeveling voor de bereidheid tot fase 2-audit (misschien met observaties om opnieuw te beoordelen tijdens de fase 2-audit) of de noodzaak om eventuele geïdentificeerde non-conformiteiten aan te pakken voordat verdere vooruitgang kan worden geboekt.

Afhankelijk van uw status van interne audits, kan het zijn dat u vóór fase 2 een volledige interne audit moet voltooien. We raden u aan om met uw auditors de details af te spreken, aangezien sommigen naar iets andere dingen zoeken – het lijkt een beetje op voetbalregels, waarbij scheidsrechters ze anders interpreteren . Zorg ervoor dat je het hen vraagt! Een goede auditor wil dat u slaagt en helpt u begrijpen wat hij verwacht van een fase 2-audit.

Veel organisaties falen in fase 1, en dat is om een ​​veel voorkomende reeks redenen die over het algemeen gemakkelijk kunnen worden aangepakt met een goede Information Security Management System-oplossing (tenzij uw leiderschap niet betrokken is, zal niets helpen met het ISMS!)

Fase 2 Audit

Dit is waar de auditors op zoek gaan naar het bewijs dat het gedocumenteerde Information Security Management System in de praktijk wordt nageleefd. Uw medewerkers worden betrokken en geïnterviewd; de ISO 27001-auditor beoordeelt uw reikwijdte rond de fysieke locatie, systemen, processen en procedures. Zoals bij de meeste audits zal het om een ​​steekproefomvang gaan, en als je de auditor kunt leiden met een samengevoegd systeem, zullen ze daar veel vertrouwen uit putten.

De uitkomst van deze oefening is een voldoende of een onvoldoende. Als u slaagt, heeft u dat zeer gewaardeerde certificaat, zakt u niet en heeft u nog werk te doen rond non-conformiteiten voordat u zich opnieuw kunt aanmelden voor een nieuwe audit of een specifieke beoordeling van de non-conformiteit.

Hoeveel kost ISO 27001-certificering?

Certificeringsaudits zijn niet de belangrijkste kosten waarmee u rekening moet houden. De hoogste kosten zijn de tijd en moeite voor het verkrijgen van certificering van de mensen die betrokken zijn bij het initieel bouwen van uw Information Security Management System en het jaar na jaar onderhouden van het ISMS.

Het kan opportuniteitskosten met zich meebrengen als inkomensverlies uit senior resources, afleiding van kerncompetenties voor het bedrijf en hogere advieskosten als u hulp van buitenaf inschakelt zonder een sterk technologisch uitgangspunt.

De certificeringskosten zijn echter nog steeds de moeite waard om te overwegen en zijn gebaseerd op de omvang, reikwijdte, processen, enz. van uw organisatie. De meeste certificeringsinstanties zullen online snel een offerte uitbrengen of een follow-up geven.

De kosten voor ISO 27001-certificering moeten worden beschouwd over een certificeringscyclus van drie jaar:

• Initiële audit en certificeringsaudit – fase 1 en 2
• Toezichtaudits voor jaar 1 en 2
• Daarna gaat de cyclus weer verder, met elke drie jaar een hercertificering.

Auditkosten bedragen doorgaans ongeveer £1,000 per dag (excl. BTW), en het aantal benodigde dagen varieert afhankelijk van de grootte van de organisatie en de reikwijdte van het managementsysteem. Een klein bedrijf met een eenvoudige reikwijdte (bijvoorbeeld één product, weinig processen, één hoofdkantoor enz.) heeft bijvoorbeeld één dag nodig voor een fase 1-audit, twee dagen voor een fase 2-audit en een extra dag per jaarlijkse surveillance.

Het is ook de moeite waard om uit te kijken naar meer innovatieve auditinstanties die bereid zijn om fase 1-audits op afstand te onderzoeken. Dit zal waarschijnlijk alleen in overweging worden genomen als het beheersysteem volledig digitaal wordt beheerd, zoals bij ISMS.online. Dit betekent dat het voor hen als auditors gemakkelijker is om de implementatie in het werk te zien. Dit bespaart kosten op de onvermijdelijke reiskosten en tijd.

Behoud van uw ISO 27001 certificering

ISO 27001-certificering vindt plaats over een cyclus van 3 jaar:

• In fase 1 en 2 wordt vervolgens het certificaat uitgereikt
• Toezichtaudit 1 (meestal jaarlijks of kan vaker voorkomen op basis van reikwijdte, risico en omvang)
• Toezichtaudit 2
• Derdejaars hercertificering en uitgebreidere evaluatie

Het kan vier tot zes weken duren om een ​​boeking te maken bij een auditinstantie. Houd dus rekening met die doorlooptijd. We raden u aan een auditor te zoeken die goed thuis is in uw sector en bedrijfsomvang. Anders kunnen ze duurder of goedkoper zijn, maar als ze de uitdagingen van uw Information Security Management System niet vanuit zakelijk perspectief begrijpen, kan het een pijnlijk proces zijn. Bedenk dat de auditor over het algemeen altijd gelijk heeft (hoewel u gemakkelijker kunt aantonen waarom u iets hebt gedaan en uw risicobereidheid, controleselectie enz. kunt uitleggen, als u over een goed beheerd ISMS beschikt.)