Ondernemen

Hoe behaal je een ISO 27001 certificering?

ISO 27001 is de internationale norm op het gebied van informatiebeveiliging. Met dit certificaat toon je aan klanten dat je voldoet aan alle wettelijke eisen. Op die manier kunnen zij met een gerust hart hun persoonsgegevens in jouw handen leggen. Je weet de risico’s binnen het bedrijf en ook hoe je met een mogelijke datalek om moet gaan. Cybercriminelen hebben weinig kans als jij genoeg aandacht aan de informatiebeveiliging schenkt. Een bijbehorend certificaat van digitrust.nl is dan enkel een mooie aanwinst. 


Toch stellen veel mensen zich de vraag hoe het doorlopen van een ISO 27001 audit dan in zijn werk gaat. Waar hou je rekening mee? Op basis waarvan wordt er wel of geen certificaat uitgedeeld? En wat kan je zelf doen om je kansen te vergroten? In dit artikel gaan we in op het stappenplan dat je moet doorlopen, alvorens je in aanmerking kunt komen voor een ISO 27001 certificaat. 

Algemene informatie over het bedrijf 

Zodra de audit wordt uitgevoerd, wordt er altijd eerst gekeken naar de algemene context van het bedrijf. Besef goed dat elke organisatie anders is. Er zijn heel veel bedrijven die baat hebben bij een ISO 27001 certificaat. Denk bijvoorbeeld aan ICT-bedrijven, maar ook aan zorginstellingen, banken en verzekeraars. Zij hebben allemaal te maken met zeer gevoelige persoonsinformatie. Het is belangrijk dat deze veilig worden gesteld. Het soort informatie verschilt echter per organisatie. Daarom wordt dit altijd meegenomen in de eerste stappen van de audit. 

 

Vervolgens wordt er gekeken naar de ICT-infrastructuur van de site. Welke informatie is er reeds beschikbaar? Welke veiligheidsmaatregelen zijn er getroffen? 

Risico’s in kaart brengen 

Ook wordt er tijdens de audit altijd een risicoanalyse uitgevoerd. Welke risico loopt het bedrijf? Welke dingen zijn mogelijk interessant voor cybercriminelen en wat kan jij als ondernemer doen om dit risico te beperken? Belangrijke onderwerpen zijn hierbij: 

  • Autorisaties 
  • Informatiebeveiligingsbeleid 
  • Personeel (in hoeverre zijn deze te vertrouwen?)
  • Beheer van bedrijfsmiddelen
  • Toegangsbeveiliging
  • Communicatiebeveiliging

Bij het bepalen van de risico’s is het ook alvast belangrijk om na te denken over mogelijke consequenties en andere manieren om het risico te beperken. Dit kan heel breed zijn. Je kunt kijken naar hoe informatie digitaal wordt opgeslagen en of dit ook offline mogelijk is, maar je kunt ook bijvoorbeeld denken aan een vroegtijdige screening voordat personeel wordt aangenomen. 

Hoe gaat de certificering verder? 

Als je er als ondernemer voor kiest om een ISO 27001 certificaat te behalen, dan zal een professioneel certificeringsbureau met jou aan de slag gaan. Wanneer dit de eerste keer is dat je het certificaat wilt halen, zullen ze in overleg met jou kijken naar de kritieke punten en hoe deze aangepakt moeten worden. Dit alles gebeurt op basis van de context van het bedrijf. Er is dus geen kant-en-klaar plan, maar deze wordt echt persoonlijk opgesteld op basis van het bedrijf. Elk certificaat wordt dus uitgereikt op basis van net wat andere criteria. Om de certificering succesvol te doorlopen, moet je minimaal drie maanden volgens het ISMS hebben gewerkt. Het certificaat is 36 maanden geldig, maar er zullen tussendoor nog wel enkele audits plaatsvinden.

Similar Posts