De meest erkende norm

ISO 27001 is internationaal de meest erkende norm voor informatiebeveiliging. Met een certificaat voor ISO 27001 kan een organisatie aantonen dat het voldoet aan alle eisen op het gebied van informatiebeveiliging.

​

Managementsysteem

Zoals gebruikelijk bij ISO normen is de kern van de implementatie het realiseren van een effectief managementsysteem. Het doel van dit systeem is om beveiligingsmaatregelen te implementeren die passend zijn bij de organisatie. Elke organisatie is uniek en heeft andere informatie die beveiligd moet worden. Risico's moeten naar een niveau gebracht worden die past bij de risicobereidheid (risk appetite) van die specifieke organisatie. De norm schrijft dus niet exact voor op welke manier maatregelen geïmplementeerd moeten worden. Met behulp van een goede context- en risicoanalyse moet de organisatie zelf tot adequate beslissingen komen. In de praktijk zorgt het Information Security Management System (ISMS) ervoor dat de organisatie de meest belangrijke activiteiten in de juiste volgorde aanpakt. Doelstelling en prioriteiten worden bepaald op basis van de grootste kansen en bedreigingen van de organisatie.

​

Het ISO 27001 managementsysteem bevat dezelfde High Level Structure (HLS) als andere ISO normen. Daardoor is het systeem eenvoudig te verenigen met andere normen, zoals ISO 9001 (kwaliteit) en ISO 14001 (milieu).

​

Vertrouwelijkheid, integriteit & beschikbaarheid

Centraal in ISO 27001 staat het beveiligen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. De vertrouwelijkheid van informatie spreekt vaak het meest tot de verbeelding. Iedereen kent wel voorbeelden van vertrouwelijke informatie die onbedoeld op straat kwam te liggen. De ene keer gaat het om relatief onschuldige informatie, maar vaak gaat het ook om informatie die tot grote schade kunnen leiden bij organisaties of personen. Het is daarom belangrijk dat ongeautoriseerde personen nooit toegang hebben tot geheime informatie.

​

Integriteit gaat erover dat informatie juist, volledig en actueel is. Informatie die is veranderd is niet meer betrouwbaar. In bijvoorbeeld ziekenhuizen is integriteit van groot belang. Indien medische informatie van een patient onjuist is, dan kan dit verstrekkende gevolgen hebben.

 

Het niet beschikbaar zijn van informatie zorgt ervoor dat medewerkers hun werk niet kunnen doen en dat klanten hun gegevens niet meer kunnen benaderen. In de ene organisatie is dit schadelijker dan de andere. Ook hier is een ziekenhuis een goed voorbeeld. Daar kan het niet beschikbaar zijn van informatie in het ergste geval leiden tot levensbedreigende situaties.

​

Continu verbeteren

Het ISO 27001 managementsystem forceert dat de organisatie  altijd blijft verbeteren op het gebied van informatiebeveiliging. Mede door de dynamische ontwikkeling van cybercriminaliteit is het belangrijk om informatiebeveiliging continu aan te scherpen. Het is praktisch onmogelijk om de beveiliging waterdicht te krijgen, maar door aanhoudend bij te schaven, wordt de kans op incidenten drastisch verlaagd.

​

De inhoud van de norm

De meest recente ISO 27001 norm bestaat concreet uit een tiental hoofstukken die beschrijven hoe het managementsysteem ingericht moet worden. Daarnaast bevat het een bijlage (Bijlage A) met 114 beheersmaatregelen verdeeld over 14 onderwerpen die gerelateerd zijn aan informatiebeveiliging. Die beheersmaatregelen variëren van het organiseren van bewustzijnstrainingen voor medewerkers tot de implementatie van toegangsbeveiliging voor alle informatiesystemen. Alle 114 moeten door de organisatie overwogen worden voor implementatie.

​

Compliance Agency

Compliance Agency ondersteunt organisaties met het opzetten van een managementsysteem voor informatiebeveiliging. Daarnaast helpt het actief bij de implementatie van de benodigde beheersmaatregelen.