Samen zorgen we ervoor dat jouw organisatie klaar is voor certificering
Informatiebeveiliging
ISO 27001
ISO 27001 de norm voor informatiebeveiliging zorgt dat jouw organisatie kan aantonen, dat je op een verantwoorde wijze omgaat met bedrijfsinformatie en zorgt dat je afdoende beveiligingsmaatregelen implementeert. Je moet er als bedrijf namelijk niet aan denken dat bedrijfsinformatie, zoals bijvoorbeeld persoonsgegevens van klanten, in verkeerde handen valt. De ISO 27001 norm geeft richtlijnen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden én verbeteren van een gedocumenteerd Information Security Management System (ISMS). Daardoor worden beschikbaarheid, integriteit en vertrouwelijkheid binnen jouw organisatie gewaarborgd. Werken volgens de ISO 27001 certificering, kun jij als organisatie laten zien dat alle risico’s rond vertrouwelijkheid op de juiste manier zijn afgedekt.
GAP analyse: ISO 27001
Wil je inzicht of jouw organisatie klaar is voor de ISO 27001 certificering? Laat dan een GAP analyse uitvoeren, deze wordt vaak uitgevoerd om inzicht te krijgen waar je als organisatie ten aanzien van de certificering staat. Dan weet je aan welke eisen van de certificering je voldoet en waar de (grootste) gaps; gaten zitten. De GAP analyse wordt in stappen doorlopen, waardoor je kennis maakt met de norm en inzicht krijgt wat de ISO 27001 norm van jouw organisatie vraagt.
Tijdens een gap analyse wordt er onder andere gekeken naar de volgende onderwerpen, wij kijken samen naar jouw organisatie. Zodat we onderstaande vragen kunnen beantwoorden en inzichtelijk kunnen maken:
-
Algemeen: Wat is de structuur van de gedocumenteerde informatie van het managementsysteem?
-
Leiderschap en strategie: Op welke wijze is inzichtelijk gemaakt wat je als organisatie doet en welke stakeholders hierbij zijn betrokken? Op welke wijze wordt er bijvoorbeeld invulling gegeven aan wet- en regelgeving, die op de bedrijfsvoering van toepassing is?
-
Procesmanagement: Hoe worden de werkzaamheden binnen de organisatie uitgevoerd en welke processen zijn hiervoor nodig en vallen binnen het managementsysteem vallen?
-
Medewerkers en leveranciers: Welke beleid is opgesteld ten aanzien van medewerkers en leveranciers? Wie en wat is er nodig voor het uitvoeren van het primaire proces; de dienstverlening?
-
IT-infrastructuur: Welke hard- en software, netwerk en faciliteiten er worden gebruikt in jouw organisatie?
-
Softwareontwikkeling: Hoe wordt de software binnen jouw organisatie ontwikkeld?
-
Risicoanalyse: Welke bedrijfsmiddelen zijn in kaart zijn gebracht en welke risico’s hier kunnen optreden om deze vervolgens te beoordelen? Continue verbetering: Hoe ga je de werking van je managementsysteem, de PDCA-cyclus, de maandelijkse, je wederkerende taken uitvoeren in je managementsysteem, borgen en die borging aantoonbaar maken?
Meer over de GAP analyse lees je in ons blog.
Waarom certificeren volgens ISO 27001; wat zijn de voordelen?
Bescherming van bedrijfsgegevens en -informatie is natuurlijk belangrijk, de norm heeft meer voordelen voor jouw organisatie:
-
Het helpt jouw bedrijf om aan te tonen dat je aan de relevante wet- en regelgeving te voldoet.
-
Het ondersteunt bij het werken volgens een vast beleid.
-
Het biedt vertrouwen en zekerheid voor klanten.
-
De processen voor informatiebeveiliging zijn goed vastgelegd, met als voordeel dat er veel minder risico’s zijn en daardoor minder incidenten.
-
Binnen enkele maanden geïmplementeerd.
De ISO 27001 audit
Een certificeringsproces op basis van een audit kan een proces zijn waar je nog niet eerder mee te maken hebt gehad. Er kunnen veel onduidelijkheden zijn, wat kan leiden tot stress. Daarom adviseren wij om een ISMS te implementeren, die jouw organisatie helpt om het certificeringsproces prettiger te laten verlopen. Een ISMS helpt je voor stapsgewijze implementatie van de informatie die je per onderwerp dient toe te voegen. Zo kun je als organisatie de audit goed voorbereiden en tijdens de ISO 27001 aantonen aan de auditor dat je als organisatie de documentatie goed op orde hebt. Een onafhankelijke certificatie-instelling (CI) beoordeelt of een organisatie voldoet aan de certificeringscriteria van de ISO 27001 norm. Tekortkomingen worden door de CI gerapporteerd als het proces verder verbeterd moet worden. Als de auditresultaten positief zijn volgt certificering en ontvang je een officieel ISO 27001 certificaat!
Plan Do Check Act (PDCA)
De norm ISO 27001 voor informatiebeveiliging omschrijft de stappen voor het beveiligen van informatie aan de hand van Plan Do Check Act (PDCA) cyclus. Je werkt met de PDCA-cyclus aan continue verbetering, wat een belangrijk onderdeel vormt van jouw ISMS. Een ISMS-software tool kan je helpen de PDCA stappen te doorlopen die aansluiten op de doelstellingen en risico’s van jouw organisatie. Zo kun je zorgen dat er continue verbetering plaats vindt.
De PDCA-cyclus is het uitgangspunt van het ISO-managementsysteem:
-
‘Plan’ fase: een plan wordt opgesteld, hierin neem je op welke resultaten je wilt behalen en hoe dat moet gebeuren.
-
‘Do’ fase: aan het plan worden doelstellingen en taken gekoppeld welke gedurende het jaar uitgevoerd dienen te worden.
-
‘Check’ fase: de werkelijk behaalde resultaten worden vergeleken met de geplande resultaten.
-
‘Act’ fase: als er aanpassingen nodig zijn, dan wordt er in de bijgestuurd in de ‘re-act’ fase bijgestuurd. Daarnaast wordt er in de ‘pro-act’ fase onderzoek gedaan naar innovatieve mogelijkheden en hoe deze kunnen worden opgenomen in het managementsysteem, dit noemen we de pro-act fase.
AVG in relatie tot ISO 27001
De Algemene Verordening Gegevensbescherming (AVG) is een Europese wet die in het leven is geroepen om de bescherming van persoonsgegevens binnen de EU te waarborgen. Naleving van de ISO 27001 standaard helpt jouw organisatie om passende en consequente maatregelen voor de bescherming van persoonsgegevens te implementeren.
Aan de slag met informatiebeveiliging
Wanneer je als organisatie aan de slag gaat met informatiebeveiliging is het mogelijk om met behulp van Protify binnen vier tot vijf maanden een ISMS te implementeren en certificering aan te vragen. Belangrijk is dat het managementsysteem al enige tijd ‘draait’, voordat je een externe audit laat uitvoeren. Dit voorkomt onnodige afwijkingen. Samen zorgen we dat alle bedrijfsprocessen waar informatie doorheen gaat inzichtelijk gemaakt worden, de vereiste beleidsdocumentatie wordt opgesteld en ondersteunen we bij de implementatie. In overleg bepalen we gezamenlijk welke onderdelen je als organisatie uitwerkt, of wanneer je beperkter in de tijd zit, door Protify laat uitwerken.
Snel aan de slag om binnen enkele maanden gecertificeerd te worden? Of wil je weten waar je organisatie staat met behulp van een GAP analyse? Voor iedere vraag is er een op maat gemaakt programma. Van advies tot begeleiding en uitvoering.
Meer over de GAP analyse lees je in ons blog.
Wil je meer informatie?
Onze ervaren consultants helpen je graag.