ISO 27001 certificering: bescherm uw bedrijfsinformatie

Bij veel informatiesystemen staan nog altijd de bedrijfsprocessen of het gebruiksgemak voorop. De beveiliging van die bedrijfsinformatie staat op het tweede plan. Hierdoor loopt u het risico dat informatie over uw organisatie, uw klanten of uw medewerkers ‘op straat’ belandt. Dat hoeft niet eens altijd het werk te zijn van kwaadwillende hackers, ook uw eigen medewerkers kunnen onbedoeld informatie ‘lekken’ door een verloren laptop of geheugenstick of een onzorgvuldig verzonden mailbericht.

Om organisaties in staat te stellen hun informatiebeveiliging structureel vorm te geven en zo de vertrouwelijkheid, beschikbaarheid en integriteit van informatie te borgen, is er de ISO 27001. In deze norm, ook bekend als NEN-ISO/IEC 27001, zijn eisen gespecificeerd voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een Information Security Management System (ISMS). 

Een organisatie kan zo’n ISMS naar eigen inzicht en behoefte inrichten. Wel moet een ISMS een aantal verplichte activiteiten bevatten, bijvoorbeeld een interne ISO 27001 audit of risicoanalyse. Een ISMS is feitelijk een manier van werken die aantoonbaar maakt dat een organisatie werkt met een ISO 27001 managementsysteem voor informatiebeveiliging. Met andere woorden: ‘zeg wat je doet, doe wat je zegt en laat zien dat je dat gedaan hebt’.

Certificering volgens de ISO 27001 norm voor informatiebeveiliging is van toepassing op alle soorten organisaties, van commerciële ondernemingen en overheidsinstanties tot non-profitorganisaties en securitybedrijven. Ook in de zorgsector is informatiebeveiliging een belangrijk onderwerp. Speciaal hiervoor is de, op het ISO 27001 certificaat gebaseerde, NEN 7510 geformuleerd. Deze norm wordt vaak aangevuld met de NEN 7512 (gegevensuitwisseling) en NEN 7513 (logging patiëntendossier). Met name de NEN 7512 is goed te combineren met de BRL 21030, de beoordelingsrichtlijn voor alarmcommunicatienetwerken.

Zeker na de komst van de Algemene verordening gegevensbescherming (AVG) staat het beveiligen van informatie bij veel organisaties hoog op de agenda. Het ISO 27001 certificaat is van toegevoegde waarde voor elke organisatie die te maken heeft met processen met financiële risico's en risico’s op het gebied van privacygevoelige informatie. Bij aanbestedingen en offertetrajecten wordt het certificaat steeds vaker gevraagd en ook voor uw medewerkers is het belangrijk te weten dat uw organisatie goed omgaat met vertrouwelijke informatie.

Kiwa heeft jarenlange ervaring op het gebied van het certificeren van bedrijven voor onder andere informatiebeveiliging. Bij een ISO 27001 audit beoordeelt Kiwa op basis van de door u aangeleverde informatie of uw organisatie voldoet aan de criteria voor certificering ISO 27001. Als daarbij tekortkomingen worden geconstateerd, helpt Kiwa u met een stappenplan ISO 27001 de processen binnen uw organisatie waar nodig te verbeteren. Is de uitslag van het onderzoek positief, dan volgt certificering.

Kiwa beschikt over experts op het gebied van informatiebeveiliging. Zij hebben ruime ervaring met certificeringstrajecten op het gebied van ICT- en informatiebeveiliging in de meest uiteenlopende branches. Hierdoor is hun kennis altijd up-to-date en kunnen ze u op tal van kennisgebieden van dienst zijn, bijvoorbeeld in gecombineerde certificeringstrajecten met ISO 9001. Een aantal auditoren van Kiwa is register EDP-auditor (RE), wat wil zeggen dat ze na hun universitaire opleiding een postdoctorale opleiding IT Audit hebben gevolgd en staan ingeschreven in het EDP-auditorsregister van de NOREA, de beroepsorganisatie van IT-auditors.

Wilt u meer weten over ISO 27001 certificering door Kiwa? Meer weten over Kiwa's ISO 27001 audits of ISO 27001 certificering kosten? Wij vertellen u er graag meer over.