De ISO 27001 norm is onderdeel van de 27000 serie (ook wel bekend als de ISMS Family of Standards). Deze serie bevat normen op het gebied van informatiebeveiliging. In de ISO 27001 staat beschreven hoe een organisatie informatie procesmatig moet beveiligen. Onderdeel hiervan is het opzetten van een zogenaamd ISMS, een Information Security Management System. Normity biedt volledige ondersteuning voor alle aspecten van de ISO 27001 norm. Er zijn twee versies van de ISO 27001: versie 2005 en de vernieuwde versie 2013. Beide versies zijn grotendeels hetzelfde, met een paar kleine veranderingen.
In 2020 onderzocht ISO het aantal certificaten. Daarbij kijken zij naar het aantal geldige certificaten tegen de ISO standaarden als ISO 27001, ISO 9001 en ISO 14001. In het rapport wordt dit verder uitgesplitst naar land. Daaruit blijkt dat er in 2020 op het gebied van ISO 27001 wereldwijd 44499 certificaten waren uitgegeven. Daarvan zijn er 1326 in Nederland uitgegeven. Het land met het grootste aantal certificeringen was China (12.403) met Japan (5.645) en UK (3.327) op de plaatsen twee en drie.
ISO 27001 draait om het beschermen van de vertrouwelijkheid, integriteit en de beschikbaarheid van informatie in een organisatie. Om dat mogelijk te maken is ISO 27001 gebaseerd op het beheersen van risico's. De risicoanalyse heeft dan ook een centrale positie in ISO 27001. Het draait daarbij natuurlijk niet alleen om het achterhalen van de risico's, maar evenzeer over het beoordelen van deze risico's en natuurlijk het behandelen van deze risico's. Normity biedt hiervoor uitgebreide functionaliteit, met onder andere alle relevante dreigingsmodellen.
ISO 27001 helpt organisaties bij het opzetten van een managementsysteem voor informatiebeveiliging (ISMS). Het ISMS (en het ISO 27001 certificaat) levert de organisatie verschillende voordelen op:
Bij een norm als de ISO 27001 denken veel mensen direct aan ICT bedrijven. Deze gedachte komt voort uit de aanname dat informatiebeveiliging vooral een technische kwestie is. Dat is echter niet het geval. ISO 27001 gaat net zo goed over processen, voldoen aan wetgeving, beheersing van risico's. Allemaal zaken die bij alle organisaties spelen die te maken hebben met vertrouwelijke informatie. Kortom: bijna iedere organisatie heeft baat bij ISO 27001. Specifiek voor zorginstellingen is er de NEN 7510 norm. Deze norm heeft betrekking op informatiebeveiliging in de zorg.
Voldoet jouw organisatie aan de eisen van de ISO 27001 norm, dan kun je je laten certificeren voor de ISO 27001. Zo'n ISO 27001 certificaat wordt afgegeven door een onafhankelijke organisatie als Tüv, DigiTrust of Kiwa. Met een certificaat laat je zien dat je je informatie goed hebt beveiligd. Sommige organisaties kiezen ervoor om wel te voldoen aan de norm, maar zich niet te laten certificeren. Je bent dan ISO 27001 compliant zonder een ISO 27001 certificaat (en dus zonder de kosten die daarmee gepaard gaan). Voor sommige organisaties is dit een zinvolle eerste stap richting een uiteindelijke ISO 27001 certificering.
Normity ondersteunt organisaties bij het opzetten van een ISMS op basis van ISO 27001. Wij ondersteunen hierbij alle versies van de norm, waaronder de 2022 versie. Normity biedt alle functionaliteit die je hiervoor nodig hebt. Denk aan zaken als het vastleggen, inschatten en beheersen van risico's, het beheren van competenties, documentbeheer, het vastleggen, monitoren... en natuurlijk het voorbereiden op de audit!
Risicoanalyses zijn een belangrijk onderdeel van veel normen. Logisch ook, want daarmee krijg je inzicht in je kwetsbaarheden. Normity biedt veel op dit gebied. Denk bijvoorbeeld aan automatische koppelingen met maatregelen, meerdere dreigingsmodellen (waaronder RAVIB en MAPGOOD) en toewijzing van risico's.
Iedere organisatie kan Normity toepassen voor risicoanalyses. Individuele risico's kunnen worden gevolgd in de tijd, afhankelijk van de behandeling. Ook kunnen maatregelen gekoppeld worden om de risico's te mitigeren. En natuurlijk geldt dat niet alleen voor risico's, maar ook voor kansen!
Direct inzicht in de activiteiten die moeten worden uitgevoerd. Via het overzicht met taken zie je alle terugkerende taken, inclusief de status per onderdeel. Door het gebruik van kleuren en symbolen weet je in een oogopslag waar nog wat extra aandacht nodig is.
Losse acties worden vastgelegd, ongeacht de bron (audit, directiebeoordeling, constateringen etc.). Via de planning worden deze aan een medewerker toegewezen. Vervolgens kun je in dit onderdeel de individuele acties volgen, notities maken, onderzoeken, de doeltreffendheid vastleggen, en nog veel meer!
Veel normen vereisen een verklaring van toepasselijkheid. Normity biedt hiervoor alle functionaliteit. Leg vast welke norm elementen van toepassing zijn, voeg een toelichting toe en geef aan wat de grondslagen zijn. Meerdere normen? Geen enkel probleem.
Je legt al je documenten (en verwijzingen) vast in Normity. Alles is hierbij geregeld: workflow, versiebeheer, zoekfunctionaliteit, meldingen bij (bijna) verlopen, onderlinge verwijzingen tussen documenten, en nog veel meer. En natuurlijk wordt in Normity netjes vastgelegd wie welke verwerking doet met een bestand.
In Normity leg je je complete organisatie vast. Als je wilt. Van ICT infrastructuur tot bedrijfsmiddelen. Afhankelijk hoe ver je bent als organisatie, maar natuurlijk ook wat de norm van je verwacht. Ook de stakeholders (belanghebbenden) kun je in Normity vastleggen, inclusief zaken als hun eisen en verwachtingen.
Bovenstaande is slechts een greep uit de functionaliteit die Normity biedt. Normity biedt nog veel meer. Normity zorgt er hiermee voor dat het beheren van een KMS een stuk gestructureerder, onderhoudbaarder en daarmee gemakkelijker wordt. Daarnaast biedt Normity een helpdesk met veel ervaring in ISO 27001, een complete set templates voor ISO 27001, volledige ondersteuning voor de NEN 7510, een complete privacy module en vanzelfsprekend (geautomatiseerde) monitoring van het ISMS.
Er zijn verschillende normen nauw verwant aan ISO 9001. Het kan dan ook zinvol zijn om deze normen te overwegen wanneer je bezig bent met een ISO 9001 certificering. De meest relevante gerelateerde normen zijn:
Wil je aan de slag met ISO 27001? Mooi! Dat betekent wel dat je als organisatie het nodige moet gaan oppakken om te voldoen aan de eisen van ISO 27001. De norm is gelukkig opgebouwd volgens de zogenaamde HS (Harmonized Structure). Wij raden dan ook iedereen om om de ISO 27001 norm te downloaden en zelf door te nemen. Dan wordt vanzelf stap voor stap duidelijk wat je moet doen. Veel organisaties vragen adviesbureau's om hen hierin te ondersteunen. Normity heeft veel ervaring met ISO 27001 en kan deze rol eveneens vervullen.
Misschien ben je nieuwsgierig geworden wat Normity voor jou en jouw organisatie kan betekenen? Wellicht hoe Normity jouw organisatie kan ondersteunen bij de implementatie? Of misschien zoek je een adviseur? Wij vinden het leuk om hierover met jou vrijblijvend van gedachten te wisselen. Via het formulier hieronder kun je contact met ons opnemen. Wij nemen dan zo spoedig mogelijk contact met je op!
Dit formulier vraagt om jouw contactgegevens zodat wij met je kunnen communiceren. Jouw gegevens worden nooit aan derden verstrekt. Zie onze privacyverklaring om te zien hoe wij met jouw gegevens omgaan.