Onze diensten
ISO 27001Met ISO 27001 laat je zien dat informatiebeveiliging structureel is verankerd in je organisatie middels een managementsysteem. Deze internationaal erkende norm helpt je om risico’s te beheersen, verantwoordelijkheden duidelijk te krijgen, data te beschermen en vertrouwen op te bouwen bij klanten en partners. Zo werk je niet alleen veiliger, maar versterk je ook je reputatie en concurrentiepositie.
Wat is ISO 27001?
ISO 27001 is de internationale standaard voor een managementsysteem voor informatiebeveiliging en helpt organisaties om informatiebeveiligingsrisico’s in kaart te brengen, te beheersen of te behandelen en continu te verbeteren. De norm richt zich op risico’s en bijbehorende beheersmaatregelen die nodig zijn om vertrouwelijke informatie te beschermen, of deze nu op papier staan of digitaal in de systemen.
Wie moet voldoen aan ISO 27001?
ISO 27001 is niet wettelijk verplicht voor specifieke organisaties. Net als andere ISO-normen is certificering vrijwillig en kan elke organisatie ervoor kiezen deze toe te passen.
In de praktijk is ISO 27001 vaak wél een vereiste, bijvoorbeeld:
- Bij aanbestedingen van overheden of grote organisaties
- Voor IT- en cloudleveranciers die met gevoelige data werken
- In sectoren waar informatiebeveiliging cruciaal is (zoals finance, zorg en SaaS)
- Wanneer klanten of ketenpartners het contractueel verplicht stellen
Daarnaast helpt ISO 27001 organisaties om te voldoen aan eisen uit de wetgeving zoals de Algemene verordening gegevensbescherming (AVG) of de cyberbeveiligingswet Cbw (NIS2), doordat het een gestructureerde aanpak biedt voor het beschermen van persoonsgegevens, en andere vormen van vertrouwelijke informatie.
Veelgestelde vragen over ISO 27001
Hoe lang duurt het komen tot een ISO 27001 certificaat?
Afhankelijk van de grootte van de organistatie, het toepassingsgebied en de volwassenheid van processen varieert dit vaak van 4 tot 12 maanden. Het managementsysteem voor informatiebeveiliging heeft minimaal 3 maanden de tijd nodig om aan te tonen dat het werkt.
Wat kost ISO 27001 certificering?
Interne kosten zijn veelal gevraagde uren van eigen management en medewerkers tijdens de implementatie en daarna voor het onderhoud van het ISO 27001 managementsysteem.
Externe kosten bestaan uit consultancy kosten, vaak nodig bij implementatie, begeleiding en interne audit, en kosten door een certificerende instelling.
De totale investering varieert sterk per organisatie en norm, maar ligt doorgaans tussen enkele duizenden tot tienduizenden euro’s.
Hoe werkt een ISO 27001 risicoanalyse
ISO 27001 draait om het beheersen van risico’s. Wij maken dit proces visueel en overzichtelijk, waarbij we de 93 beheersmaatregelen (controls) uit de zogenaamde Annex A vertalen naar uw dagelijkse praktijk. Dit leggen we vast in een dossier dat direct audit-proof is.
Wat gebeurt er na het behalen van het ISO 27001 certificaat?
Na certificering blijft het managementsysteem voor informatiebeveiliging (ISMS) actief onderhouden via interne audits, risicoanalyses en continue verbetering.
Het certificaat is drie jaar geldig. In deze periode voert de certificerende instelling jaarlijkse opvolgings-audits uit om te controleren of het ISMS nog goed werkt.
De organisatie blijft daarnaast het ISMS onderhouden door risicoanalyses te actualiseren, interne audits uit te voeren, incidenten te registreren en verbetermaatregelen door te voeren. Na drie jaar volgt een hercertificeringsaudit om het certificaat te verlengen.
Wat is het verschil tussen ISO 27001 en ISO 27002 (Annex A)?
ISO 27001 bevat de eisen voor het managementsysteem informatebeveiliging (ISMS). ISO 27002 is de onderliggende richtlijn die dieper ingaat op de 93 beheersmaatregelen uit Annex A. Dat is bijlage A uit de ISO27001.
De ISO 27002 kan worden gebruikt als ‘best practice’ gids om de beheersmaatregelen praktisch en toetsbaar in te richten. Alleen de ISO27001 is certificeerbaar, de ISO27002 niet.
Hoe lang is een ISO 27001 certificaat geldig?
Een ISO 27001 certificaat is drie jaar geldig.
Tijdens deze periode voert de certificerende instelling jaarlijks een opvolgings-audit uit om te controleren of het managementsysteem nog effectief werkt. Na drie jaar vindt een hercertificeringsaudit plaats om het certificaat te verlengen.
Is een risicoanalyse verplicht voor certificering?
Ja, zonder risicoanalyse is certificering niet mogelijk. De norm eist dat u risico’s identificeert en een ‘Verklaring van Toepasselijkheid’ (SoA) opstelt. Onze procesgestuurde aanpak zorgt ervoor dat deze analyse direct bruikbare prioriteiten oplevert voor uw IT-beveiliging.
Hoe combineren we ISO 27001met NEN 7510 of de BIO?
Omdat deze normen gebaseerd zijn op de ISO 27001 indeling, de zogenaamde Harmonized Structure, richten wij één integraal ISMS in. Hierdoor hoeft u thema’s zoals risicoanalyse, incidentmanagement en interne audits maar één keer in te richten om aan meerdere normen tegelijk te voldoen.
Hoe borg je security awareness (bewustzijn) bij medewerkers?
Blijvende awareness (bewustzijn) ontstaat door beveiliging onderdeel te maken van de dagelijkse routine, niet door een eenmalige training. Wij helpen u dit te borgen via training, phishing-simulaties en een duidelijke onboarding voor nieuwe collega’s. Daarnaast creëren we een open cultuur waarin incidenten gemeld durven te worden.
NEEM CONTACT OP
ISO club
035 8889067
info@isoclub.nl