Wat is ISO 27001 – een verhaal voor beginners op informatiebeveiligingsgebied

ISO 27001 is een standaard die gaat over informatiebeveiliging. In deze standaard staat hoe je procesmatig met het beveiligen van informatie kan omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen een organisatie zeker te stellen.

Wat is informatiebeveiliging

Dit is het geheel van preventieve, detective, repressieve en correctieve maatregelen alsmede procedures en processen die de vertrouwelijkheid, beschikbaarheid en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.

Wat is een norm of standaard

Een norm of standaard is een document met erkende afspraken, specificaties of criteria over een product, een dienst of een methode. Standaarden kunnen vastgelegd worden binnen een bedrijf of organisatie, binnen een consortium van organisaties of door erkende standaardisatieorganisaties. Erkende standaardisatieorganisaties (zowel nationale als internationale) werken volgens een bepaald proces en controleerbare regels. Voorbeelden van standaardisatieorganisaties zijn:

  • Nationale standaardisatieorganisaties zoals NBN (België) en NEN (Nederland)
  • Europese en internationale standaardisatieorganisaties, zoals CEN en ISO

De ISO 27000 familie

De ISO 27001 norm staat niet op zichzelf, maar is onderdeel van de ISO 27000 familie. Hierin zijn bijvoorbeeld ook  implementatie richtlijnen opgenomen (zie ISO 27002) en wordt er uitleg gegeven hoe de ISO 27001 geaudit kan worden (zie ISO 27007 en ISO 27008).

Voor wie is ISO 27001 bedoeld

Voor alle organisatie die willen aantonen dat zij een set van maatregelen, processen en procedures hanteren om aan stakeholders (klanten, leveranciers, belangenverenigingen, brancheorganisatie, enz.) te laten zien dat zij serieus met informatiebeveiliging omgaan. Dit kunnen ICT bedrijven zijn, maar ook banken, verzekeraars, overheid, zorginstellingen en andere bedrijven die met vertrouwelijke informatie omgaan, bewerken of opslaan.

Wat is een ISMS

ISMS  staat voor Information Security Management System en is de vastlegging van de complete set van maatregelen, processen en procedures. Deze complete set is dus de manier / methode hoe een organisatie met informatiebeveiliging omgaat. Deze methode moet ook rekening houden hoe de organisatie van zichzelf leert zodat ze zich continu kunnen verbeteren.

Wat is een auditor

Een auditor is iemand die zich beroepsmatig bezighoudt met het controleren van een organisatie. De algemene definitie van een audit is een geplande en gedocumenteerde activiteit die bepaald wordt door onderzoek, toetsing, evaluatie van objectief bewijsmateriaal, de toereikendheid en de naleving van vastgestelde procedures en de effectiviteit van de uitvoering door gekwalificeerd personeel.

Een ISO 27001 certificaat

Een organisatie die voldoet aan de ISO 27001 eisen kan zich door een certificerende instantie laten auditen. Bij voldoende niveau krijgt een organisatie dan een certificaat. De certificerende instantie doet dit volgens richtlijnen zodat er zeker gesteld wordt dat iedereen die zo’n certificaat krijgt ook aan bepaalde voorwaarden voldoet. Het belangrijkste is om een certificaat te krijgen met een stempel van de RvA erop. Dit is de Raad van Accreditatie, zij controleren de certificerende instantie op kwaliteit. Dit heet een “geaccrediteerde certificering” en geeft meerwaarde aan een ISO certificaat.

Wat is ISO 27001