Heeft u hulp nodig met ISO 27001? Chat vandaag nog met een van ons team.
Zoals bij elke nieuwe onderneming of project is het van cruciaal belang om te begrijpen bij wie betrokken moet worden ISO 27001 . Dit zodat de juiste niveaus van middelen in termen van competentie en capaciteit kunnen worden bepaald en geïdentificeerd.
Omdat ISO 27001 bedoeld is als norm voor bedrijfsmanagementsystemen, vereist het de betrokkenheid van het senior management, het management in de hele organisatie en de inhoudelijke expertise uit belangrijke gebieden van de organisatie.
Traditioneel moet een organisatie mogelijk een ISO 27001-specialist inschakelen of een medewerker op pad sturen cursus leidende implementatie om de aanvankelijke competentiekloof op te vullen. ISMS.online kan helpen deze competentiekloof te dichten zonder de noodzaak van dure consultants of training.
ISO/IEC 27001:2013 – om de huidige internationale versie de volledige referentie te geven – gewoonlijk ISO 27001 genoemd, is de internationaal erkende standaardspecificatie voor een informatiebeveiligingsbeheersysteem (ISMS).
ISO 27001 maakt deel uit van een familie van normen in de ISO 27k-reeks, die een breed scala aan informatie- en cyberbeveiligingsonderwerpen en richtlijnen voor naleving bestrijkt.
De ISO 27k-familie maakt zelf deel uit van een bredere familie van managementsysteemnormen gebaseerd op de ISO/IEC-richtlijnen Deel 1 (11e editie 2020) Bijlage SL, dat een gemeenschappelijk managementsysteemkader definieert.
Het is ontworpen om een risicogericht bedrijfsbeheersysteem mogelijk te maken dat de bescherming ondersteunt van informatie-activa in welke vorm dan ook – bijvoorbeeld binnen IT-systemen, op papieren of digitale media, en zelfs in de hoofden van mensen. Het is niet bedoeld om te worden gebruikt als technische beveiligingsstandaard.
De standaard bevat:
Lees meer over de kernvereisten van ISO 27001 en de controles uit bijlage A die u mogelijk wilt implementeren hier.
Alle organisaties creëren, beheren en distribueren informatie, en alle informatie heeft waarde. Het implementeren van een internationaal erkend managementsysteem voor informatiebeveiliging zal de waarde helpen beschermen en aanzienlijke zakelijke voordelen en rendement op investeringen opleveren.
Dergelijke voordelen kunnen zijn:
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
Hoewel ISO 27001 de vereiste rollen niet specificeert; Er zullen verschillende fundamentele verantwoordelijkheden moeten worden toegewezen om ervoor te zorgen dat het ISMS aansluit bij de cultuur, de aard en de bedrijfsvoering van uw organisatie en de informatierisico's succesvol beheert tot een aanvaardbaar niveau.
De term ‘stakeholders’ betekent verschillende dingen voor verschillende mensen, en vaak hoor je over primaire, secundaire en zelfs tertiaire stakeholders, directe en indirecte stakeholders. In de ISO-managementsysteemnormen wordt niet gesproken over belanghebbenden, maar over “belanghebbende partijen”, maar dit betekent niet dat je geen interne belanghebbenden voor het ISMS zult hebben.
Omdat ISO 27001 in de eerste plaats een standaard voor bedrijfsmanagementsystemen is, moeten uw belangrijkste belanghebbenden op het hoogste managementniveau zitten – het gaat tenslotte om de bescherming van uw bedrijf!
U, primaire belanghebbenden, zult waarschijnlijk het volgende opnemen:
Secundaire belanghebbenden zullen degenen zijn die verantwoordelijk zullen zijn voor een deel van het ISMS. Hiertoe behoren vakvertegenwoordigers uit de hele organisatie en mogelijk haar partners en zelfs leveranciers.
De lijst met secundaire belanghebbenden wordt bepaald door de omvang en aard van uw organisatie, maar kan het volgende omvatten:
De rol van “Lead Implementer” is de persoon die verantwoordelijk is voor het toezicht op de ISMS-implementatie en moet als zodanig iemand zijn met de kennis en competentie die nodig is voor de taak.
Ze zullen de ISO 27001-norm en de bijbehorende richtlijnen uit dezelfde familie moeten begrijpen. Ze zullen ook de belangrijkste processen moeten kennen voor de implementatie, bediening, monitoring en verbetering van het ISMS om ervoor te zorgen dat het ISMS efficiënt en effectief is.
Traditioneel wordt dit 'ingekocht' in de vorm van een gespecialiseerde consultant, of 'ingebakken' door een of meer bestaande medewerkers naar een ISO 27001-training voor hoofdimplementeerders te sturen. Beide zijn meestal dure opties.
Het ISMS.online-platform biedt verschillende hulpmiddelen die helpen de kennis- en competentiekloof te dichten en de noodzaak van dergelijke kosten te verminderen of te elimineren. Deze omvatten:
Ontdek hoe u meer kunt lezen over hoe het vereenvoudigde, veilige en duurzame platform van ISMS.online aan uw behoeften kan voldoen hier.
We hadden het gevoel dat we dat hadden gedaan
het beste van beide werelden. We waren
onze kunnen gebruiken
bestaande processen,
& de Adopteer, pas aan
inhoud gaf ons nieuw
diepgang van ons ISMS.
“Alles begint aan de top” – ISO 27001 is in de eerste plaats een bedrijfsbeheersysteem dat is ontworpen om de bescherming van de informatiemiddelen van een organisatie te beheren en de informatierisico's tot een aanvaardbaar niveau te beperken.
Zonder steun van het topmanagement is het onwaarschijnlijk dat de implementatie en werking van het ISMS succesvol, efficiënt of effectief zal zijn.
ISO 27001 definieert er enkele fundamentele clausules die onder de verantwoordelijkheid van het senior management vallen, Waaronder:
Van fundamenteel belang voor de succesvolle implementatie en werking van het ISMS zal het informatiebeveiligings- en bestuurspersoneel zijn dat belast is met het algehele beheer van het ISMS en de componenten ervan.
Dit zijn doorgaans medewerkers wiens primaire rol gericht is op informatiebeveiliging en governance. Als uw organisatie echter klein is, is de kans groot dat dit iemand is die ook nog een andere baan heeft.
Het ISMS.online-platform kan helpen de kennis, competentie en het vertrouwen te bieden waar middelen op expertniveau niet beschikbaar zijn en ervoor te zorgen dat het ISMS geen belastende overhead wordt.
Omdat veel informatie wordt opgeslagen, verwerkt en verzonden op of via IT-systemen, netwerken en applicaties, zal het nodig zijn ervoor te zorgen dat passende interactie met IT-afdelingen en/of leveranciers in een vroeg stadium in het ISMS wordt ingebouwd.
Veel van de controles die worden geïmplementeerd om uw informatiemiddelen te beschermen, zullen technische controles zijn die zijn ontworpen, ontwikkeld, geïmplementeerd en beheerd door uw IT-afdeling of leveranciers.
Het beheren van de verwachtingen en de verdeling van verantwoordelijkheden voor de technische aspecten van informatie- en cyberbeveiliging zal van cruciaal belang zijn voor het succes van het ISMS.
ISO 27001 vereist, net als alle ISO-managementsysteemnormen, dat een organisatie een programma van interne audits heeft om de effectieve werking van het ISMS en zijn vermogen om informatierisico's tot een aanvaardbaar niveau terug te brengen, te verifiëren.
De ISMS-beheerclausules (4-10) moeten minimaal jaarlijks worden gecontroleerd en de controles van bijlage A moeten binnen de certificeringsperiode (3 jaar voor door UKAS geaccrediteerde certificeringen) worden gecontroleerd.
De selectie van interne auditors moet zorgen voor objectiviteit – dat wil zeggen dat u uw eigen werk niet kunt controleren – en competentie – de auditor moet over de kennis en competentie beschikken om de audit uit te voeren.
Onze Virtual Coach-service is vooraf gebouwd met alles wat u moet weten over interne audits of lees onze vereenvoudigde gids voor ISO 27001:2013 interne audits met begeleiding en ideeën over hoe u uw doel kunt bereiken.
De Functionaris voor Gegevensbescherming is doorgaans verantwoordelijk voor het waarborgen van het juiste beheer, gebruik en bescherming van persoonlijk identificeerbare informatie (PII) binnen de organisatie. Dergelijke informatie zal betrekking hebben op het personeel van een organisatie, en vaak ook op dat van haar klanten.
Deze verantwoordelijkheid omvat duidelijk het waarborgen dat er adequate informatie- en cyberbeveiligingscontroles en -processen aanwezig zijn om dit soort informatie te beschermen.
De rol van een functionaris voor gegevensbescherming is niet gespecificeerd of verplicht binnen ISO 27001, maar andere relevante wet- en regelgeving, zoals de Britse Data Protection Act (2018) en de Algemene Gegevensbeschermingsverordening (GDPR) vereisen een dergelijke rol. Bovendien impliceren nalevings- en andere controles binnen ISO 27001 sterk de noodzaak van een dergelijke rol.
Download uw gratis gids voor snelle en duurzame certificering
We hebben slechts een paar gegevens nodig, zodat we u per e-mail uw handleiding kunnen sturen voor het voor de eerste keer behalen van ISO 27001
Download nu uw gratis gids en als u vragen heeft, neem dan contact met ons op Boek een demo or Contact. We helpen je graag verder.
Als u erkend en gerespecteerd wilt worden certificering voor uw ISMS – noodzakelijk om er maximaal voordeel uit te halen – u moet een ISO 27001-geaccrediteerde certificeringsinstantie inschakelen om de vereiste audits voor certificering uit te voeren.
De certificeringsinstanties voorzien auditors van de vaardigheden, kennis en competentie om de certificeringsaudits uit te voeren en ervoor te zorgen dat certificeringen op een consistent niveau worden geaccrediteerd.
Dergelijke organisaties worden doorgaans vermeld op de website van de territoriale accreditatie-instantie. In Groot-Brittannië is de accreditatie-instantie de United Kingdom Accreditation Service (UKAS), en zij houden toezicht op de geaccrediteerde certificeringsinstanties in het VK.
Zoals bij elk belangrijk project zal de benodigde tijd afhangen van wat er gedaan moet worden en van de capaciteit en competentie van de middelen die daarvoor beschikbaar worden gesteld.
Voor ISO 27001 is ‘wat er moet gebeuren’ duidelijk gedefinieerd binnen de norm en worden de ter beschikking gestelde middelen bepaald door uw organisatie.
Voor een kleine tot middelgrote organisatie met een aantal reeds bestaande beleidsregels en controles kan het bouwen van een ISMS doorgaans zes maanden tot een jaar duren (afhankelijk van de hoeveelheid middelen). Soms duurt het zelfs langer als de beschikbare middelen hun tijd over andere banen moeten verdelen. Een project van 6 dagen (fulltime equivalent) is heel gebruikelijk.
De ISMS.online-platform kan u helpen uw hulpbronnenniveau aanzienlijk te verminderen. Afhankelijk van hoeveel van de bruikbare inhoud u kunt overnemen of eenvoudig kunt aanpassen, kan de opbouw van uw ISMS met maar liefst 75% of 80% worden verminderd. Sommige klanten kunnen van een staande start naar een gereedheid om binnen zes weken met het certificeringsauditproces te beginnen.
Zodra uw ISMS is gebouwd, vindt het certificeringsauditproces plaats in twee fasen, waarbij een verstreken tijdsbestek van twee maanden gebruikelijk is. Meestal is het proces in twee fasen:
Er zijn veel factoren die uw keuze voor een certificeringsinstantie zullen beïnvloeden.
De belangrijkste hiervan is ervoor te zorgen dat de certificatie-instelling geaccrediteerd is. Het is mogelijk om een niet-geaccrediteerde certificering te behalen. Dit zal echter een beperkte integriteit en waarde hebben. Wij raden u ten zeerste af deze route te volgen.
Als u al over andere certificeringen beschikt, zoals:
Waarschijnlijk zult u eerst uw bestaande certificatie-instelling benaderen om te kijken of zij ook geaccrediteerd zijn voor ISO 27001.
*Opmerking: als u al over certificeringen voor andere managementsysteemstandaarden beschikt, kunt u er baat bij hebben deze in één systeem te integreren “Geïntegreerd managementsysteem” – en het ISMS.online-platform kan hierbij helpen.
Download uw gratis gids
om uw Infosec te stroomlijnen
We hebben hierboven verschillende rollen geïdentificeerd die betrokken zullen zijn bij de implementatie van uw ISMS, maar in essentie heeft u het volgende nodig:
Het is een essentieel onderdeel van uw ISMS-implementatieplanning dat u rekening houdt met de competentie-, capaciteits-, vertrouwens- en disciplinevereisten van uw middelen als u een succesvolle, efficiënte en effectieve implementatie binnen een redelijk tijdsbestek wilt bereiken.
Een gecertificeerd ISMS is een doorgaande reis, geen bestemming. Als zodanig zal het een bepaald niveau van hulpbronnen vereisen om het te behouden. Hoe meer een ISMS is geïntegreerd in de dagelijkse processen van de organisatie, en hoe meer gefedereerd de verantwoordelijkheid is, hoe minder overhead het zal zijn.
Naast de geïntegreerde controleaspecten van het ISMS moet u ervoor zorgen dat de kritieke processen van het ISMS worden uitgevoerd:
Dit is afhankelijk van de aard van de update. Alle ISO-managementsysteemnormen worden periodiek bekeken en bijgewerkt.
Als blijkt dat de standaard grotendeels geschikt is, kan het zijn dat er slechts kleine aanpassingen aan de formulering worden aangebracht.
Soms wordt de standaard echter om de een of andere reden opnieuw bewerkt. Dit resulteert in een grote update die mogelijk een ‘transitie’-audit van de ene versie van de standaard naar de nieuwe vereist.
De laatste keer dat een grote herstructurering van ISO 27001 plaatsvond was in 2013 (de wijziging van de versie van 2005 naar de versie van 2013). Omdat dit een ingrijpende herziening betrof, werd aan organisaties een overgangsperiode van twee jaar toegekend.
Omdat een dergelijke verandering voor veel organisaties grote hoeveelheden werk en kosten met zich mee kan brengen, probeert ISO dergelijke ingrijpende veranderingen waar mogelijk te vermijden.
Wat de updates ook zijn, uw certificeringsinstantie moet u laten weten wat u moet doen.
U kunt er zeker van zijn dat we het ISMS.online-platform zullen updaten om de huidige versie van de standaard weer te geven wanneer dit gebeurt.
Afhankelijk van hoe belangrijk de wijzigingen zijn, heeft u mogelijk een buitengewone audit door de certificeringsinstantie nodig om ervoor te zorgen dat uw certificering de nieuwe producten en diensten dekt binnen de reikwijdte van het ISMS.
Het is echter gebruikelijk dat de certificatie-instelling deze audit combineert met een periodieke tussentijdse audit of bij uw volgende hercertificeringsaudit.
Het is belangrijk op te merken dat uw nieuwe producten of diensten mogelijk niet onder uw bestaande certificering vallen totdat de bevestiging van de certificeringsinstantie is gegeven.
Net als bij wijzigingen in producten/diensten hierboven, zult u waarschijnlijk een zekere mate van aanvullende audit van uw certificeringsinstantie nodig hebben om te verifiëren dat uw activiteiten in het nieuwe land onder de reikwijdte van de certificering vallen.
Een cruciale factor waarmee u rekening moet houden als u uw ISO 27001 wilt uitbreiden naar activiteiten in nieuwe landen, is dat er vrijwel zeker verschillende wet- en regelgeving op het gebied van informatiebeveiliging waarmee rekening moet worden gehouden.
Er is geen goed of fout antwoord op deze vraag, en het zal volledig afhankelijk zijn van de structuur van uw organisatie en haar cultuur. Er zijn echter enkele belangrijke punten waarmee u rekening moet houden:
Een goede manier die voor veel organisaties kan werken, is dat het eigenaarschap op het hoogste niveau van de organisatie ligt. De ISMS-operatie kan binnen de hele organisatie worden gebundeld, maar wordt gecoördineerd door een leidende medewerker, zoals een CISO of informatiebeveiligingsmanager.
Door ISO 27001 en de aanpak voor het implementeren van een ISMS te ontraadselen, kan het ISMS.online-platform uw implementatie versnellen door uw inspanningen op de juiste plaats op het juiste moment te concentreren.
Bovendien kan door het bieden van een alles-in-één-ISMS-oplossing aanzienlijke tijd worden bespaard doordat u niet hoeft te zoeken naar meerdere tools, geen complexe documentatieopslagplaatsen hoeft op te zetten en nieuwe processen hoeft te implementeren – deze zitten dan allemaal in de doos van dag 1.
Het ISMS.online-platform kan u helpen de tijd die nodig is om een ISMS te implementeren aanzienlijk te verkorten door u alles te bieden wat u nodig heeft om eerste keer ISO 27001-certificering behalen.
Boek een hands-on sessie op maat op basis van uw behoeften en doelen.
Het ISMS.online-platform ontrafelt ISO 27001 en implementeert en beheert een ISO 27001-compatibel en gecertificeerd ISMS. Met deze en gecontextualiseerde informatie op de juiste plaats helpt het ISMS.online-platform u om onze voorbeeldinhoud eenvoudig over te nemen, aan te passen of toe te voegen, en uw reis naar certificering veel gemakkelijker te maken.
We zijn begonnen met het gebruik van spreadsheets en het was een nachtmerrie. Met de ISMS.online-oplossing werd al het harde werk gemakkelijk gemaakt.
Werk eenvoudig samen, creëer en laat zien dat u altijd op de hoogte bent van uw documentatie
Ontdek meerGa moeiteloos bedreigingen en kansen aan en rapporteer dynamisch over de prestaties
Ontdek meerNeem betere beslissingen en laat zien dat u de controle heeft met dashboards, KPI's en gerelateerde rapportages
Ontdek meerMaak licht werk van corrigerende maatregelen, verbeteringen, audits en managementreviews
Ontdek meerSchijn een licht op kritische relaties en koppel op elegante wijze gebieden als activa, risico's, controles en leveranciers
Ontdek meerSelecteer activa uit de Activabank en creëer eenvoudig uw Activa-inventaris
Ontdek meerKant-en-klare integraties met uw andere belangrijke bedrijfssystemen om uw compliance te vereenvoudigen
Ontdek meerVoeg netjes andere compliancegebieden toe die van invloed zijn op uw organisatie om nog meer te bereiken
Ontdek meerBetrek medewerkers, leveranciers en anderen te allen tijde bij dynamische end-to-end compliance
Ontdek meerBeheer due diligence, contracten, contacten en relaties gedurende hun levenscyclus
Ontdek meerBreng geïnteresseerde partijen visueel in kaart en beheer ze, zodat duidelijk aan hun behoeften wordt voldaan
Ontdek meerSterke privacy by design en beveiligingscontroles die aan uw behoeften en verwachtingen voldoen
Ontdek meer