Wat is ISO 27001

De ISO 27001 norm is onderdeel van de 27000 serie (ook wel bekend als de ISMS Family of Standards). Deze serie bevat normen op het gebied van informatiebeveiliging. In de ISO 27001 staat beschreven hoe een organisatie informatie procesmatig moet beveiligen. Onderdeel hiervan is het opzetten van een zogenaamd ISMS, een Information Security Management System. Normity biedt volledige ondersteuning voor alle aspecten van de ISO 27001 norm. Er zijn twee versies van de ISO 27001: versie 2005 en de vernieuwde versie 2013. Beide versies zijn grotendeels hetzelfde, met een paar kleine veranderingen.

blauw logo iso 27001 met wereldbol en tekst

Aantallen

In 2020 onderzocht ISO het aantal certificaten. Daarbij kijken zij naar het aantal geldige certificaten tegen de ISO standaarden als ISO 27001, ISO 9001 en ISO 14001. In het rapport wordt dit verder uitgesplitst naar land. Daaruit blijkt dat er in 2020 op het gebied van ISO 27001 wereldwijd 44499 certificaten waren uitgegeven. Daarvan zijn er 1326 in Nederland uitgegeven. Het land met het grootste aantal certificeringen was China (12.403) met Japan (5.645) en UK (3.327) op de plaatsen twee en drie.

Normity - Icoon - Aantallen

Filosofie van ISO 27001

ISO 27001 draait om het beschermen van de vertrouwelijkheid, integriteit en de beschikbaarheid van informatie in een organisatie. Om dat mogelijk te maken is ISO 27001 gebaseerd op het beheersen van risico's. De risicoanalyse heeft dan ook een centrale positie in ISO 27001. Het draait daarbij natuurlijk niet alleen om het achterhalen van de risico's, maar evenzeer over het beoordelen van deze risico's en natuurlijk het behandelen van deze risico's. Normity biedt hiervoor uitgebreide functionaliteit, met onder andere alle relevante dreigingsmodellen.

Normity - Icoon - Bank

Voordelen van ISO 27001

ISO 27001 helpt organisaties bij het opzetten van een managementsysteem voor informatiebeveiliging (ISMS). Het ISMS (en het ISO 27001 certificaat) levert de organisatie verschillende voordelen op:

  • Je laat met ISO 27001 zien dat je voldoet aan de strenge normeisen voor informatiebeveiliging. Steeds meer klanten eisen een goede informatiebeveiliging van hun partners. Het certificaat biedt hierdoor commerciële kansen.
  • Het ISO 27001 certificaat helpt risico's op het gebied van informatiebeveiligings te verkleinen en incidenten te voorkomen. Het gevolg: een uitstekende reputatie.
  • Met het ISO 27001 certificaat geef je aan dat je voldoet aan de wet- en regelgeving op het gebied van informatiebeveiliging. Bijkomend voordeel: ISO 27001 is eenvoudig te integreren in de processen van jouw organisatie.

Normity - Icoon - Voordelen

ISO 27001 voor wie?

Bij een norm als de ISO 27001 denken veel mensen direct aan ICT bedrijven. Deze gedachte komt voort uit de aanname dat informatiebeveiliging vooral een technische kwestie is. Dat is echter niet het geval. ISO 27001 gaat net zo goed over processen, voldoen aan wetgeving, beheersing van risico's. Allemaal zaken die bij alle organisaties spelen die te maken hebben met vertrouwelijke informatie. Kortom: bijna iedere organisatie heeft baat bij ISO 27001. Specifiek voor zorginstellingen is er de NEN 7510 norm. Deze norm heeft betrekking op informatiebeveiliging in de zorg.

Normity - Icoon - Gebouw

ISO 27001 certificering

Voldoet jouw organisatie aan de eisen van de ISO 27001 norm, dan kun je je laten certificeren voor de ISO 27001. Zo'n ISO 27001 certificaat wordt afgegeven door een onafhankelijke organisatie als Tüv, DigiTrust of Kiwa. Met een certificaat laat je zien dat je je informatie goed hebt beveiligd. Sommige organisaties kiezen ervoor om wel te voldoen aan de norm, maar zich niet te laten certificeren. Je bent dan ISO 27001 compliant zonder een ISO 27001 certificaat (en dus zonder de kosten die daarmee gepaard gaan). Voor sommige organisaties is dit een zinvolle eerste stap richting een uiteindelijke ISO 27001 certificering.

Normity - Icoon - Check
ISO 27001 en Normity

Normity ondersteunt organisaties bij het opzetten van een ISMS op basis van ISO 27001. Normity biedt alle functionaliteit die je hiervoor nodig hebt. Denk aan zaken als het vastleggen, inschatten en beheersen van risico's, het beheren van competenties, documentbeheer, het vastleggen, monitoren... en natuurlijk het voorbereiden op de audit!

Risicoanalyse

Normity - Screenshot - Risicoanalyse

Risicoanalyses zijn een belangrijk onderdeel van veel normen. Logisch ook, want daarmee krijg je inzicht in je kwetsbaarheden. Normity biedt veel op dit gebied. Denk bijvoorbeeld aan automatische koppelingen met maatregelen, meerdere dreigingsmodellen (waaronder RAVIB en MAPGOOD) en toewijzing van risico's.

Risico

Normity - Screenshot - Risico

Iedere organisatie kan Normity toepassen voor risicoanalyses. Individuele risico's kunnen worden gevolgd in de tijd, afhankelijk van de behandeling. Ook kunnen maatregelen gekoppeld worden om de risico's te mitigeren. En natuurlijk geldt dat niet alleen voor risico's, maar ook voor kansen!

Taken

Normity - Screenshot - Taken

Direct inzicht in de activiteiten die moeten worden uitgevoerd. Via het overzicht met taken zie je alle terugkerende taken, inclusief de status per onderdeel. Door het gebruik van kleuren en symbolen weet je in een oogopslag waar nog wat extra aandacht nodig is.

Acties

Normity - Screenshot - Acties

Losse acties worden vastgelegd, ongeacht de bron (audit, directiebeoordeling, constateringen etc.). Via de planning worden deze aan een medewerker toegewezen. Vervolgens kun je in dit onderdeel de individuele acties volgen, notities maken, onderzoeken, de doeltreffendheid vastleggen, en nog veel meer!

Toepasselijkheid

Normity - Screenshot - Verklaring van Toepasselijkheid

Veel normen vereisen een verklaring van toepasselijkheid. Normity biedt hiervoor alle functionaliteit. Leg vast welke norm elementen van toepassing zijn, voeg een toelichting toe en geef aan wat de grondslagen zijn. Meerdere normen? Geen enkel probleem.

Documenten

Normity - Screenshot - Documenten

Je legt al je documenten (en verwijzingen) vast in Normity. Alles is hierbij geregeld: workflow, versiebeheer, zoekfunctionaliteit, meldingen bij (bijna) verlopen, onderlinge verwijzingen tussen documenten, en nog veel meer. En natuurlijk wordt in Normity netjes vastgelegd wie welke verwerking doet met een bestand.

Stakeholders

Normity - Screenshot - Stakeholders

In Normity leg je je complete organisatie vast. Als je wilt. Van ICT infrastructuur tot bedrijfsmiddelen. Afhankelijk hoe ver je bent als organisatie, maar natuurlijk ook wat de norm van je verwacht. Ook de stakeholders (belanghebbenden) kun je in Normity vastleggen, inclusief zaken als hun eisen en verwachtingen.

Nog veel meer

Bovenstaande is slechts een greep uit de functionaliteit die Normity biedt. Normity biedt nog veel meer. Normity zorgt er hiermee voor dat het beheren van een KMS een stuk gestructureerder, onderhoudbaarder en daarmee gemakkelijker wordt. Daarnaast biedt Normity een helpdesk met veel ervaring in ISO 27001, een complete set templates voor ISO 27001, volledige ondersteuning voor de NEN 7510, een complete privacy module en vanzelfsprekend (geautomatiseerde) monitoring van het ISMS.

Gerelateerde normen

Er zijn verschillende normen nauw verwant aan ISO 9001. Het kan dan ook zinvol zijn om deze normen te overwegen wanneer je bezig bent met een ISO 9001 certificering. De meest relevante gerelateerde normen zijn:

  • NEN 7510
    NEN 7510 is volledig gebaseerd op de ISO 9001 norm. NEN 7510 is gericht op informatiebeveiliging in de zorg. Logischerwijs ligt de nadruk dan ook op het beschermen van patiëntinformatie. NEN 7510 helpt zorginstellingen de juiste maatregelen te treffen om de beschikbaarheid, integriteit en vertrouwelijkheid van deze informatie te beschermen.
  • ISO 27002
    ISO 27002 is nauw verwant aan de ISO 9001 en heeft in 2022 een belangrijke update gekregen. ISO 27002 is te zien als een verdieping van ISO 9001. ISO 27002 biedt een verdiepingsslag. Het bevat een gedetailleerde opsommigen welke maatregelen je moet nemen als organisatie om te voldoen aan de ISO 9001. Je kunt je niet laten certificeren voor ISO 27002.
  • ISO 27701
    Dit is een minder bekende norm, maar zeker niet onbelangrijk. ISO 27701 is namelijk een uitbreiding op de ISO 9001 en ISO 27002 die zich specifiek richt op de privacy. Een onderwerp wat ook in de aankomende jaren veel aandacht zal krijgen! ISO 27701 biedt richtlijnen voor het beschermen van de privacy en het naleven van de (wettelijke) regels op het gebied van privacy.

Checklist

Wil je aan de slag met ISO 27001? Mooi! Dat betekent wel dat je als organisatie het nodige moet gaan oppakken om te voldoen aan de eisen van ISO 27001. De norm is gelukkig opgebouwd volgens de zogenaamde HS (Harmonized Structure). Wij raden dan ook iedereen om om de ISO 27001 norm te downloaden en zelf door te nemen. Dan wordt vanzelf stap voor stap duidelijk wat je moet doen. Veel organisaties vragen adviesbureau's om hen hierin te ondersteunen. Normity heeft veel ervaring met ISO 27001 en kan deze rol eveneens vervullen.

  • Context van de organisatie (4.1)
  • Overzicht van belanghebbenden van de organisatie (4.2)
  • De scope van het ISMS (4.3)
  • Betrokkenheid van de leiding (5.1)
  • Een beleidsdocument informatiebeveiliging (5.2)
  • Rollen en verantwoordelijkheden(5.3)
  • Bepalen van kansen en risico's (6.1.1)
  • Een proces voor risico-inventarisatie (6.1.2) en risicobehandeling (6.1.3)
  • Het zetten van meetbare doelen (6.2)
  • Voldoende middelen voor het ISMS (7.1)
  • Voldoende training en kennis (7.2)
  • Bewustzijn bij alle medewerkers (7.3)
  • Communicatieplan voor interne en externe communicatie (7.4)
  • Documentatie van het ISMS (7.5.1).
  • Het plannen en controleren van operationele aspecten (8.1)
  • Het regelmatig en gepland uitvoeren van risico-analyses (8.2)
  • Implementatie van het risico-behandelplan (8.2)
  • Monitoren van de effectiviteit van het ISMS (9.1)
  • Plannen en uitvoeren van interne audits (9.2)
  • Plannen en uitvoeren van directie-beoordelingen (9.3)
  • Het reageren door de directie bij afwijkingen (10.1)
  • Zorgen voor continu verbetering (10.2)

Meer weten?

Misschien ben je nieuwsgierig geworden wat Normity voor jou en jouw organisatie kan betekenen? Wellicht hoe Normity jouw organisatie kan ondersteunen bij de implementatie? Of misschien zoek je een adviseur? Wij vinden het leuk om hierover met jou vrijblijvend van gedachten te wisselen. Via het formulier hieronder kun je contact met ons opnemen. Wij nemen dan zo spoedig mogelijk contact met je op!

Dit formulier vraagt om jouw contactgegevens zodat wij met je kunnen communiceren. Jouw gegevens worden nooit aan derden verstrekt. Zie onze privacyverklaring om te zien hoe wij met jouw gegevens omgaan.