ISO/IEC 27001, de internationale norm voor informatiebeveiliging

Hoe een organisatie met informatie omgaat, heeft een grote invloed op haar succes. Zo zijn de vertrouwelijkheid van persoonsgegevens, de beschikbaarheid van IT-systemen en de juistheid van de financiële informatie cruciale elementen voor elk type organisatie: groot of klein, bedrijf of overheid. Recente voorbeelden tonen aan dat geen enkel bedrijf of organisatie immuun is tegen cyberaanvallen of datalekken. Naast het feit dat je dan als organisatie het vertrouwen van de klant verliest, kan dit ook tot serieuze financiële schade leiden.

Een managementsysteem voor informatiebeveiliging (Information Security Management System of ISMS) op basis van ISO/IEC 27001 biedt een antwoord om bovenstaande risico’s beter onder controle te houden.

  1. Wat is ISO/IEC 27001?
  2. Waarom ISO/IEC 27001 toepassen?
  3. Voor wie is ISO/IEC 27001 bedoeld?
  4. Certificaat ISO/IEC 27001
  5. Externe audit ISO/IEC 27001
  6. Opleidingen voor ISO/IEC 27001
  7. Deel van de ISO/IEC 27000-familie

Zelf een managementsysteem voor informatiebeveiliging opzetten?

Koop NBN EN ISO/IEC 27001:2017 aan bij het NBN en krijg een overzicht van alle vereisten.

1. Wat is ISO/IEC 27001?

De norm heet voluit ‘ISO/IEC 27001: Information technology — Security techniques — Information Security Management Systems — Requirements’ en toont met een set van eisen aan hoe je een doeltreffend ISMS opzet, evalueert en continu verbetert. Het doel: de vertrouwelijkheid, beschikbaarheid en integriteit van alle gegevens binnen je organisatie beschermen.

De kernaspecten van een ISMS:

  • Vertrouwelijkheid – Enkel geautoriseerde personen krijgen toegang tot de informatie.
  • Integriteit – De informatie is juist, volledig en correct.
  • Beschikbaarheid – De informatie is op de juiste momenten en tijdig toegankelijk voor de gebruiker.

ISO/IEC 27001: 10 hoofdstukken

De structuur van ISO/IEC 27001 werd in de laatste versie aangepast aan de High Level Structure (HLS). Ook tientallen andere ISO-managementnormen ondergingen in de laatste jaren dezelfde transformatie. Zo zorgt ISO ervoor dat ze allemaal dezelfde uniforme basisstructuur bezitten. Het voordeel: je kan als organisatie makkelijker verschillende normen in één managementsysteem integreren. Zo is het mogelijk om je ISMS op te zetten in combinatie met ISO 9001 (kwaliteitsmanagement), ISO 14001 (milieumanagement) of ISO 45001 (veiligheid en gezondheid op het werk).

Waarom is de High Level Structure zo belangrijk?

Hendrik Decroos, vertegenwoordiger voor België en het NBN in de internationale werkgroep die de HLS herziet, geeft tekst en uitleg.

Meer concreet, betekent HLS onder meer dat ISO/IEC 27001 deze tien hoofdstukken omvat:

  1. Toepassingsgebied
  2. Normatieve verwijzingen
  3. Definities en begrippen zoals bepaald in ISO/IEC 27000
  4. Context van de organisatie
  5. Leiderschap
  6. Planning: doelstellingen en risico’s
  7. Ondersteuning van het ISMS
  8. Uitvoering van het ISMS
  9. Evaluatie
  10. Verbetering

 

ISO/IEC 27001: van paswoorden tot brandbeveiliging

In de hoofdstukken van ISO/IEC 27001 komen onder andere deze thema’s aan bod:

  • Regelgeving (bescherming van persoonsgegevens)
  • Organisatie (rollen en verantwoordelijkheden van medewerkers)
  • Bedrijfsmiddelen (IT-infrastructuur, netwerken en systemen)
  • Personeel (beleid, menselijke fouten, diefstal, fraude en ander misbruik)
  • Fysieke beveiliging (toegang tot gebouwen of IT-infrastructuur)
  • Communicatie en uitbating (beheer van systemen, processen en procedures)
  • Ontwikkeling en onderhoud van systemen en software (documentatie en processen)
  • Bedrijfscontinuïteit (beleid en procedures)

2. Waarom ISO/IEC 27001 toepassen?

De grootste voordelen van ISO/IEC 27001:

  • Bescherming van cruciale gegevens: met een ISMS verklein je het risico dat je informatie wordt misbruikt, dat ze foutief is of niet meer tijdig beschikbaar is.
  • Meer duidelijkheid: uitgeschreven operationele procedures en een duidelijke rollenverdeling laten je toe om kwetsbaarheden systematisch op te sporen en gericht aan te pakken.
  • Verhoogd klantenvertrouwen: klanten tonen alsmaar meer interesse in hoe hun gegevens worden beheerd. Met een ISMS stel je hen gerust. Zo kiezen ze ook in de toekomst voor jouw organisatie.
  • Verlaagd financieel risico: het niet naleven van relevante wetten kan resulteren in hoge boetes. Bovendien kan reputatieverlies en verlies van klanten tot ernstige financiële schade leiden.
  • Op maat van elke organisatie: ISO/IEC 27001 is toepasbaar voor elke organisatie, onafhankelijk van sector, grootte of type.
  • Internationaal aanzien: de ISO-managementnorm is internationaal gekend en geeft je geloofwaardigheid een flinke boost over de landsgrenzen heen.

3. Voor wie is ISO/IEC 27001 bedoeld?

Informatiebeveiliging en een doeltreffend ISMS zijn belangrijk voor alle organisaties en bedrijven. Informatie zit immers overal. Denk aan klantengegevens, data uit een productiesysteem, gegevens uit het R&D-labo of financiële rapportering.

4. Certificaat ISO/IEC 27001

ISO/IEC 27001, dé internationale norm voor informatiebeveiliging, behoort tot de top 4 populairste ISO-managementnormen als het gaat om aantal certificaties. Volgens de laatste ISO Survey (2018) hebben wereldwijd 59.934 sites een certificaat voor ISO/IEC 27001, waarvan 208 in België.

 

Wat is een ISO/IEC 27001-certificaat?

De correcte en volledige implementatie van een ISO-managementnorm is geen verplichting voor organisaties. Je kan bijvoorbeeld gerust de norm deels toepassen. Maar als je een certificaat wil, dan moet je wel aan alle eisen uit de norm voldoen. Een onafhankelijke instelling komt in dat geval – op jouw aanvraag – je ISMS evalueren. Zit alles goed, dan krijg je een schriftelijk bewijs dat je aan alle vereisten van de norm voldoet. Dat certificaat is 3 jaar geldig. Daarna doorloop je (als je dat wil) een nieuw certificatieproces om de geldigheid te vernieuwen.

 

Waarom een ISO/IEC 27001-certificaat behalen?

Dit zijn de 3 grootste voordelen van een ISO/IEC 27001-certificaat:

  1. Nieuwe commerciële opportuniteiten: iedereen wil vandaag zeker zijn dat zijn of haar gegevens bij jouw organisatie een veilig onderkomen vinden. Een certificaat boezemt vertrouwen in bij klanten.
  2. Troef bij aanbestedingen: overheden en grote bedrijven die tenders uitschrijven, gaan in toenemende mate op zoek naar organisaties die hun informatiebeveiliging op orde hebben.
  3. Continue verbetering van je informatiebeveiliging: een certificaat behalen en behouden impliceert dat je periodieke audits moet (laten) uitvoeren. Dat betekent dan weer dat je doelstellingen en procedures altijd bij de tijd zijn.

We schotelden Peter Brosens, Innovation Manager bij het NBN, 4 hardnekkige mythes voor over ISO/IEC 27001-certificatie:

  1. Een certificaat biedt mijn organisatie geen meerwaarde.
  2. Een geschikte certificatie-instelling vinden is nattevingerwerk.
  3. Een certificaat geldt altijd voor mijn volledige organisatie en alle processen.
  4. Certificatie is een duur, lang en complex proces.

Benieuwd naar zijn antwoorden?

Hoe behaal je een ISO/IEC 27001-certificaat?

Hoewel ISO, IEC en het NBN de ontwikkeling van de managementnormen faciliteren, zijn deze organisaties niet betrokken bij de certificatie ervan. Je kan je organisatie met andere woorden niet door ISO, IEC of het NBN laten certificeren. Dat gebeurt door onafhankelijke certificatie-instellingen na een positieve evaluatie.

 

Welke instellingen reiken certificaten voor ISO/IEC 27001 uit?

In België zijn er heel wat instellingen die certificaten voor ISO/IEC 27001 uitreiken na een audit van je organisatie. Niet al die certificatie-instellingen zijn echter geaccrediteerd door BELAC, de Belgische accreditatie-instelling. Dat is ook niet verplicht, maar een geaccrediteerde instelling geeft je wel extra zekerheid op een deskundig auditproces. Accreditatie is immers een bewijs van technische competentie, onafhankelijkheid en onpartijdigheid.

In ons land vind je, via de website van BELAC, een lijst van alle geaccrediteerde certificatie-instellingen die een ISO/IEC 27001 certificaat kunnen afleveren.

ISO/IEC 27001 certificering: stappenplan   

Ben je van plan om je managementsysteem voor informatiebeveiliging te laten certificeren? Dan doorloop je het beste deze stappen:

  1. Draagvlak: alles begint met de buy-in van het management. Pas als zij aan boord zijn en de meerwaarde van een ISMS erkennen, kan ook jij van start gaan.
  2. Koop de NBN EN ISO/IEC 27001:2017 norm aan: dat doe je in de e-shop van het NBN.
  3. Opleiding: zowel voor beginnende als ervaren normgebruikers kan een opleiding nuttige inzichten opleveren. Bekijk daarom zeker het opleidingsoverzicht ISO/IEC 27001 van NBN Learning Solutions.
  4. Nulmeting: voer zelf, met je collega’s of in samenwerking met een externe consultant een nulmeting uit. Deze analyse van de huidige en gewenste situatie toont je waar de grootste werkpunten liggen.
  5. Voorbereiding: werk op basis van voorgaande analyse een stappenplan uit met concrete doelstellingen voor je organisatie en het management. Stel een planning op en duid eventueel projectteams aan met een duidelijke taakverdeling.
  6. Communicatie: communiceer je plan naar de belangrijkste stakeholders, zodat iedereen op dezelfde lijn zit. Zo zal de implementatie van de managementnorm vlotter verlopen.
  7. Implementatie: voer alle vooropgestelde acties uit en werk (geleidelijk) toe naar de volledige implementatie van de managementnorm.
  8. Interne audit: zodra je ISMS op punt staat, voer je een interne audit uit om te zien of je volledig klaar bent voor de officiële (externe) audit. Deze interne audit is een vereiste voor certificatie en kan je zelf doen of in samenwerking met een externe dienstverlener.
  9. Certificatie-audit: neem contact op met een certificatie-instelling voor een audit. Bereid deze goed voor en bespreek na de audit samen eventuele tekortkomingen en hoe je die kan aanpakken.
  10. Certificatie: voldoet je organisatie aan alle eisen uit de norm, dan krijg je een certificaat. Het is uiteraard de bedoeling dat je ook na de certificatie blijft werken aan je ISMS.

Afhankelijk van de grootte en complexiteit van je organisatie is de doorlooptijd voor dit stappenplan 3 maanden tot 1 jaar. Veel hangt daarbij af van je voorbereiding, je begrip van de specifieke vereisten uit de norm en het maturiteitsniveau van je organisatie.

 

ISO/IEC 27001 certificering: kosten

De kosten hangen af van verschillende factoren. Ben je bijvoorbeeld zelf volledig verantwoordelijk voor het managementsysteem voor informatiebeveiliging of laat je je begeleiden door een externe partner? Daarnaast speelt ook de grootte en complexiteit van je organisatie een rol. Wat je alleszins wel moet doen, is een certificatie-instelling aanstellen om de audits uit te voeren. In principe ga je met hen een contract van 3 jaar – de geldigheidsduur van een certificaat – aan.
 

5. Externe audit ISO/IEC 27001

Belangrijk om te weten is dat je de scope van de certificatie – en daarmee de audits – zelf bepaalt. Zo kan je ervoor kiezen om bepaalde diensten wel en andere niet op te nemen in je scope. Het ISMS van de dienst(en) waarvoor je je wil laten certificeren, wordt dan in een audit geëvalueerd door een onafhankelijke certificatie-instelling. Voor die officiële audits kan je bovendien interne audits organiseren om je hierop voor te bereiden.

 

Hoe verloopt een externe audit?

Vanaf 3 maanden na de volledige implementatie van de managementnorm kan je het certificatieproces opstarten en een externe audit plannen. Die audit zal, afhankelijk van de grootte van je organisatie, 1 of meerdere dagen in beslag nemen. Zijn je afdelingen verspreid over meerdere locaties, dan zal de auditor alle relevante faciliteiten bezoeken.

De audit bestaat vervolgens uit 2 fases:

  • Fase 1: een grondige check van alle benodigde documenten
  • Fase 2: een analyse (ter plaatse) van de werking van het ISMS 

 

Wat na de audit?

Na de audit beslist de certificatie-instelling of je je managementsysteem correct implementeerde. Bij een negatief advies krijg je een rapport met niet-conformiteiten en punten waaraan je moet werken. In dat geval zal een bijkomende audit uitsluitsel geven. Bij een positief advies krijg je een certificaat. Daarna komt de auditor jaarlijks langs om je ISMS te evalueren. Om de 3 jaar – de geldigheidsduur van een certificaat – kan je voor de hernieuwing van je certificaat gaan.

Hoe voorbereiden op een audit?

Deze 4 tips verhogen je kansen op succes:

  1. Voer een interne audit uit – al dan niet met externe hulp – om eventuele hiaten op te sporen.
  2. Zorg ervoor dat het management aanwezig is tijdens de audit en dat alle medewerkers op de hoogte zijn.
  3. Bewaar alle nodige documenten in een centrale locatie en ga na of die zijn opgesteld in de taal van de managementnorm.
  4. Stel een lijst op met geslaagde, meetbare acties en projecten die voor continue verbetering zorgen.

Alle richtlijnen voor de audit op een rij

Heb je een managementsysteem voor informatiebeveiliging (ISMS) en wil je je voorbereiden op een externe of interne audit? In de herziene norm ISO/IEC 27007:2020 (Information security, cybersecurity and privacy protection – Guidelines for information security management systems auditing) ontdek je alle richtlijnen voor de audit.
 

Meer informatie

6. Opleidingen voor ISO/IEC 27001

Het NBN organiseert zowel opleidingen op centrale locaties in België als bij jou op kantoor. Het biedt daarvoor een Engelstalig programma op maat aan:

Nieuw: leertraject ISO/IEC 27001

Via deze formule kan je de drie ISO/IEC 27001-opleidingen in een kort traject volgen. Zo word je op enkele maanden tijd een volleerd professional in normen voor informatiebeveiliging. Op het einde van de rit ontvang je bovendien een certificaat van het NBN.

Interesse? Schrijf je hier in en ontvang een korting van 15%.

In onze opleidingskalender vind je alle mogelijke datums terug. Nog niet zeker welke cursus het beste bij jou past? Op de overzichtspagina voor ISO/IEC 27001-opleidingen denken we graag met je mee.

7. Deel van de ISO/IEC 27000-familie

Hoewel ISO/IEC 27001 de enige certificeerbare norm is binnen de ISO/IEC 27000-reeks, kan het handig zijn om de managementnorm toe te passen in combinatie met andere normen uit dezelfde familie. Die geven aan hoe je ISO/IEC 27001 toepast én versterken je ISMS. Concreet gaat het onder meer om deze normen:

  • NBN EN ISO/IEC 27000:2017 – Information technology – Security techniques – Information security management systems – Overview and vocabulary: deze norm geeft een overzicht van de essentiële terminologie die wordt gebruikt in de hele normreeks. Bovendien toont ISO/IEC 27000 hoe de andere normen met elkaar in verband staan.
  • NBN EN ISO/IEC 27002:2017 – Information technology – Security techniques – Code of practice for information security controls: hiermee krijg je een gedetailleerd beeld van welke maatregelen je kan nemen om aan de normeisen van ISO/IEC 27001 te voldoen.
  • NBN ISO/IEC 27018:2019 – Information technology – Security techniques – Code of practice for protection of personal identifiable information (PII) in public clouds acting as PII processors: deze norm laat je toe om de veiligheid te garanderen van persoonlijk identificeerbare informatie op een publieke cloud, zoals Microsoft365, SalesForce en Gmail.
  • NBN ISO/IEC 27701:2019 – Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines: dé tool voor een sterk Privacy Information Management System (PIMS). Zo zijn je digitale data altijd veilig.

Zelf met NBN EN ISO/IEC 27001:2017 aan de slag?

Koop in de e-shop van het NBN de norm aan. Zo krijg je meteen een overzicht van alle vereisten voor een doeltreffend managementsysteem voor informatiebeveiliging.

Blijf je graag als eerste op de hoogte van de laatste normen, events, opleidingen en normcommissies?

Schrijf je dan in op de maandelijkse NBN-nieuwsbrief.