Informatiebeveiliging binnen organisaties wordt steeds belangrijker. Er zijn steeds meer organisaties die zich voor informatiebeveiligingsnormen zoals de ISO 27001 en NEN 7510 laten certificeren, maar waarom is dit zo belangrijk?
Met certificatie wordt uw organisatie gemotiveerd om de bedrijfsprocessen continu te verbeteren. Daarnaast keert certificatie elk jaar terug, waardoor u binnen de organisatie altijd bezig bent met het voldoen aan de eisen van de norm. Met certificatie voor de ISO 27001, krijgt u grip op de risico’s binnen de organisatie. Dit komt doordat de risico’s in kaart worden gebracht en per risico een aantal maatregelen opgesteld worden. Dat is belangrijk, zodat de organisatie direct kan handelen wanneer er een keer iets goeds misgaat, zoals bij een datalek of een cyberaanval.
Wanneer u zich door een geaccrediteerde certificerende instelling laat toetsen geeft dit extra vertrouwen naar uw interne en externe stakeholders. Hierdoor zullen andere organisaties de voorkeur hebben om met u samen te werken. Indien uw organisatie niet gecertificeerd is, betekent dit niet dat er niets aan de informatiebeveiliging wordt gedaan. Alleen zult u merken dat onderwerpen niet structureel op de agenda staan. Hierdoor blijft het qua verbetering vaak bij losse initiatieven en verbeter acties.
Waarom certificeren voor informatiebeveiliging?
Certificeren voor informatiebeveiliging zorgt ervoor dat:
- de bestaande risico’s binnen uw organisatie zo goed mogelijk ingedekt worden met als gevolg minder incidenten;
- interne stakeholders, zoals werknemers binnen de organisatie weten hoe ze juist kunnen handelen tijdens een incident;
- uw organisatie de relevante wet- en regelgeving naleeft;
- uw organisatie geloofwaardig en professioneel overkomt;
- er awareness binnen uw organisatie is;
- uw interne en externe stakeholders en extra vertrouwen hebben in de organisatie;
- uw organisatie continu gemotiveerd is met het aanscherpen en verbeteren van de interne processen;
- betrokkenheid van medewerkers met als gevolg een positieve invloed op het ziekteverzuim, de werkdruk en de werksfeer.
Download 'In 10 stappen naar ISO 27001'
In deze whitepaper ziet u wat nodig is ter voorbereiding op certificering volgens ISO 27001. Ook vindt u in de whitepaper tips van onze auditoren. Download hier de whitepaper 'In 10 stappen naar ISO 27001'.
Wat moet u doen als u wilt starten met certificering?
1. Interpretatie van de norm
Ten eerste is het belangrijk om de norm te begrijpen. Pas als u de norm helemaal heeft doorgenomen en begrijpt kunt u voldoen aan alle eisen van de norm. De norm is een document waarin alle eisen staan waar u aan moet voldoen om uw certificaat te behalen. U kunt alle normen, waaronder ook de ISO 27001 en de NEN 7510 aanschaffen op de website van NEN. Vindt u het lastig om de eisen van de norm naar uw eigen organisatie te vertalen? Dan kunt een training normkennis ISO 27001 volgen, waarin u leert over de basisprincipes van het Informatiebeveiliging Managementsysteem (oftewel ISMS, Information Security Management System), hoe u informatie veiligheidsrisico’s kunt identificeren en hoe uw organisatie kritische informatie kan beschermen tegen verschillende bedreigingen.
2. Risicoanalyse en treatmentplan
Na het doorgronden van de norm gaat u aan de slag met het opstellen van de informatiebeveiligingsrisico’s. Dit kunt u doen door een schema te maken en bij elk risico de mogelijke gevolgen op te schrijven. Hierdoor kunt u beoordelen welke risico’s groter en zwaarder wegen. Wanneer u deze risico’s in kaart heeft gebracht kunt u een plan maken waar u per risico de ernst van de situatie documenteert en welke maatregelen u hiertegen kunt nemen. Hierbij gaat het vooral om preventieve maatregelen.
3. Verklaring van toepasselijkheid
Wanneer u bepaalde activiteiten niet uitvoert, hoeft u deze natuurlijk niet mee te nemen in uw managementsysteem. Dit wordt vastgelegd in de verklaring van toepasselijkheid. Hierin moet u vastleggen welke beheersmaatregelen u van de bijlage van de norm u heeft geïmplementeerd. Daarnaast moet u ook aangeven wanneer u zaken niet hebt geïmplementeerd en waarom dat zo is. De verklaring van toepasselijkheid moet zo opgesteld zijn dat het samen met het beoordelingsdocument gedeeld kan worden met de stakeholders. Dit geeft extra inzicht bij stakeholders zodat zij kunnen zien wat er wel en wat er niet geïmplementeerd is. De verklaring van toepasselijkheid wordt ook vermeld op het certificaat. Het is belangrijk dat deze verklaring elk jaar opnieuw opgesteld wordt aan de hand van een verplichte risicoanalyse (eis vanuit de norm), of als er grote veranderingen zijn zoals extra activiteiten, verhuizing, extra vestiging dan wordt het document aangepast.
Wanneer u de bovenstaande drie stappen heeft uitgevoerd, is het belangrijk om deze na te lopen en uzelf af te vragen of u werkelijk alle informatiebeveiligingsrisico’s binnen de organisatie in kaart heeft gebracht. Hierna moet u een informatiebeveiligingsbeleid opstellen, hieronder valt ook het ISMS. In dit beleid legt u vast welke maatregelen de organisatie neemt om de risico’s terug te dringen.
Hoe kan DNV GL hierbij helpen?
Heeft u de norm gelezen, maar weet u niet hoe u dit alles toe kunt passen? Dan kunnen wij u hierbij helpen door middel van onze training Normkennis ISO 27001. Wilt u zelf ook aan de slag als auditor om audits uit te voeren bij een leverancier? Dan kunt u de training lead auditor ISO 27001 volgen.
Daarnaast kan DNV GL u helpen een adviesbureau te raadplegen die u kunt helpen met het opzetten van een managementsysteem. Als u zelf wel genoeg kennis heeft om een managementsysteem op te zetten kunnen wij beginnen met een nulmeting/proefaudit (GAP Analyse). Tijdens deze nulmeting/proefaudit wordt gekeken naar wat de organisatie al heeft en welke stappen er nog ondernomen moeten worden. U krijgt hier een rapport van zodat u hier zelfstandig mee aan de slag kunt gaan om de laatste punten te kunnen verbeteren voor het behalen van uw certificaat.