superhero-534120_1920

In 7 stappen naar een ISO 27001 certificering

ISOISO 27001/2 is de internationale standaard voor informatiebeveiliging. Het ISO 27001/2 certificaat is het bewijs dat uw organisatie de nodige voorzorgsmaatregelen heeft genomen om gevoelige informatie te beschermen tegen ongeautoriseerde toegang en bewerking. De norm staat voor een procesmatige aanpak voor het vaststellen, implementeren, uitvoeren, bewaken, onderhouden en verbeteren van informatiebeveiliging op basis van een ISMS- Information Security Management System. U geeft met ISO 27001/2 certificering richting uw opdrachtgevers aan dat u het informatieproces beheerst en gegevens van uw opdrachtgevers goed heeft beveiligd.

De norm ISO 27000 / 27001 / 27002 is van toepassing op iedere organisatie met uitzondering van organisaties in de zorgsector. Voor de zorgsector is de norm NEN 7510 / NEN 7511 van toepassing.

U wilt een Informatieveiligheidssysteem conform ISO 27001 certificering en zoekt deskundige ondersteuning tot certificering? TotalPrevent levert u die graag. Hiervoor hanteren wij een praktisch model. In 4 fasen behaalt uw organisatie het ISO 27001/2 certificaat.

De ISO 27001 norm stelt dat je een scope en beleid definieert, een risicoanalyse uitvoert, voor gevonden risico’s maatregelen selecteert en deze implementeert en beheert. Dit is een continu proces om de ISO 27001/2 certificering te behalen en te behouden. Met de ISO 27001/2 certificering ben je ‘in control’ voor wat betreft je security risico’s.

1. Nulmeting

Het project start met een nulmeting. Dit geeft inzicht in de huidige status van informatiebeveiliging en wat nodig is om aan de eisen van ISO 27001/2 te voldoen. In de praktijk blijkt dat organisaties onbewust al veel elementen van de ISO 27001/2 goed hebben geregeld.

Belangrijk effect van deze eerste fase is bewustwording van de noodzaak van informatiebeveiliging en het begrijpen welke maatregelen hiervoor nodig zijn.
2. Risico-analyse informatiebeveiliging

De risico-analyse informatiebeveiliging is de basis van alle beheersmaatregelen en essentieel dat deze goed wordt uitgevoerd.

Risico’s beoordelen op het niveau van vertrouwelijkheid, integriteit en beschikbaarheid. Doelstellingen bepalen om het risico terug te brengen tot een aanvaardbaar niveau.
Criteria bepalen voor het accepteren van het risico. Risico’s evalueren.

De risico-analyse wordt uitgevoerd conform ISO 31000. Deze normen geven richtlijnen om het risicomanagementproces goed te beschrijven en te borgen. Na deze fase is de organisatie zich bewust van de risico’s en inzicht in prioritering van diverse beheersmaatregelen die nodig zijn.

3. ISMS opzetten

Het ISMS voorziet in een pakket van beheersmaatregelen welke uit de risico-analsye naar voren zijn gekomen. Het ontwerp wordt op maat gemaakt en bevat ondermeer de volgende elementen:

Beleid en scope Risicomanagement
Procedures personeel (bijv. in- en uit dienst, tijdelijk personeel)
Fysieke beveiliging (bijv. sloten op deuren en kasten, brandbeveiliging, bezoekersregistratie) Beveiliging van apparatuur (bijv. periodiek onderhoud, hergebruik en vernietiging van apparatuur, omgang met usb/telefoon/tablets/laptop)
Beveiliging van systemen (bijv. firewalls, toegangsbeveiliging, softwarebeveiligingsupdates) Beveiliging van gegevens (bijv. clear desk & clear screen, gebruikersrechten) Cryptografische beheersmaatregelen
Communicatie en medewerkersbewustzijn Continue verbetering – PDCA cyclus Bedrijfscontinuïteitsplan

De norm ISO 27002 gebruiken we als een praktische richtlijn voor het ontwerpen van informatiebeveiligingsstandaarden en blijkt in de praktijk een effectieve methoden voor het bereiken van informatieveiligheid en sluit goed aan bij ISO 27001.

Het resultaat van deze fase is een systeem dat aansluit bij de huidige organisatie en risico’s. In het systeem is de PDCA-cyclus geïntegreerd. Het handboek informatiebeveiliging kan desgewenst digitaal voor medewerkers beschikbaar worden gemaakt.

4. Implementatie en training

Het kwaliteitssysteem en de maatregelen worden geïmplementeerd door de organisatie zelf. Dit proces wordt door TotalPrevent begeleid. Om de implementatie te bespoedigen kan Totalprevent trainingen verzorgen gericht op het vergroten van inzicht in informatiebeveiliging en bewustwording.

5. Verklaring van toepasselijkheid

De conformiteitsverklaring, ook wel Verklaring van Toepasselijkheid genoemd, zal worden opgesteld door het management van uw bedrijf. De Verklaring is het vertrekpunt voor de uiteindelijke certificatie en mede bedoeld voor externe communicatiedoeleinden.

6. Interne audit en verbeterproces

Nadat het ISMS is ingericht en de maatregelen zijn geïmplementeerd wordt de PDCA-cyclus gecontinueerd door het uitvoeren van interne audits. Op basis van de interne audits kunnen aanpassingen en verbeteringen worden doorgevoerd. De resultaten van de interne audits vormen samen met het risicomanagement de input voor de managementreview.

7. Certificeringsaudit

TotalPrevent organiseert de externe audit ISO 27001. Wij begeleiden de certificeringsaudit en bewaken dat deze goed verloopt. Resultaat is het ISO 27001 certificaat.

Kosten

Wij bieden u complete begeleiding volgens de bovenstaande stappenplannen. Na een oriënterend gesprek (op uw bedrijf of telefonisch) zenden wij u graag een op maat gesneden offerte.

Ik hoor graag van u,

Suc6 Raymond Lenz

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *