Certificatie van uw organisatie voor ISO 27001

De toepassing van ISO 27001 leidt tot veiligheid en beheersing van informatie. Vertrouwelijke gegevens, klantgegevens, wachtwoorden, strategische informatie of data die onder de AVG/GDPR vallen, mogen niet op verkeerde plekken terecht komen of in verkeerde handen vallen. ISO 27001 helpt problemen te voorkomen! Met de Checklist ISO 27001 kunt u uw organisatie toetsen op het voldoen aan deze norm voor informatiebeveiliging.

Beveiliging van informatie met ISO 27001 vraagt om structuur en cultuur aanpassingen

Informatie moet worden beveiligd, maar het wordt tegelijkertijd ook steeds moeilijker om informatie goed te beveiligen. Alles in een kluis bewaren, is geen optie, omdat informatie nodig is om het dagelijks werk uit te voeren. Het is de kunst dagelijkse processen correct en snel uit te voeren, terwijl de informatie, die daarbij wordt gebruikt, beveiligd is. Met ISO 27001 kan informatie worden georganiseerd en veilig worden gebruikt.

De kracht van een ISO 27001 Information Security Management System (ISMS):

  1. Informatie managementsysteem conform ISO 27001
  2. Gevoeligheid van informatie en vertrouwelijkheid
  3. Functiescheiding en verantwoordelijkheden
  4. Beheersing van informatie in processen
  5. Implementatie ISO 27001 snel en eenvoudig gerealiseerd
  6. Resultaat ISO 27001 is informatieveiligheid en procesbeheersing
  7. Europese GDPR richtlijn en de Algemene Verordening Gegevensbescherming (AVG)
  8. Information Security Management Systeem (ISMS) beschermt uw organisatie

1. Informatie managementsysteem conform ISO 27001

De interne organisatie wordt gevormd en bestuurd door het kwaliteitsmanagementsysteem. Deze systemen voldoen vaak aan ISO 9001, maar kunnen worden uitgebreid. ISO 27001 is zo'n uitbreiding. Het betekent dat uw organisatie haar operationele processen zodanig organiseert, dat informatie goed wordt beveiligd. Informatie kan dan niet zomaar kwijtraken, verwijderd worden, overschreven worden of in verkeerde handen terecht komen. ISO 27001 geeft u de richtlijnen en stelt allerlei vragen over het informatiesysteem van uw organisatie en de operationele processen. Vervolgens kunt u de operationele processen verbeteren en de informatie beveiligen.

2. Gevoeligheid van informatie en vertrouwelijkheid

De verspreiding van informatie is het eerste probleem. Via e-mail versturen we informatie en wordt informatie ook weer verder doorgestuurd. Informatie stroomt heel gemakkelijk naar meerdere personen, met als gevolg dat de informatie ook weer in meerdere boxen verwijderde en verzonden items terecht komt. Vervolgens ontstaan direct vragen over de toegankelijkheid. Wie kunnen in die mailboxen kijken? Zo kan het gebeuren dat zorgvuldig ingedeelde servers met verschillende partities en toegangscodes, waar documenten ogenschijnlijk goed worden bewaard, via een instrument als e-mail en mobiele telefoons ineens zinloos worden. Informatie ligt snel op verkeerde plekken.

3. Functiescheiding en verantwoordelijkheden

Een ander vraagstuk is die van de functiescheiding. Om verstrengeling van belangen te voorkomen, wordt functiescheiding ingevoerd in de organisatie. Hetgeen, als voorbeeld, betekent dat iemand die producten inkoopt, niet ook de betaling mag verrichten. Op basis van dit functiescheidingsprincipe worden verantwoordelijkheden en documenten gescheiden. An sich is dat goed, maar wie bewaakt het overzicht? Waar liggen de contracten met leveranciers, de personeelsdossiers en de salarisstroken? Deze vraagstukken worden snel complex en dan is het de kunst om met ISO 27001 eenvoudige, veilige en natuurlijk werkbare oplossingen te bedenken.

4. Beheersing van informatie in processen

De uitdaging bestaat er uit van te voren over de randvoorwaarden na te denken en goede procedures te ontwerpen. Indien een afwijking in de uitvoering van werk wordt geconstateerd, dan kan de werkwijze worden verbeterd. Net als met andere processen moet de PDCA cirkel ronddraaien: continue verbetering. Om die reden passen de normen ISO 27001 en ISO 9001 goed bij elkaar. Zij gaan beide uit van de procesbenadering. Voor een goed informatie managementsysteem is het essentieel eerst te helpen in processen te denken. ISO 27001 is vervolgens een verbijzondering - een verdieping - van ISO 9001 op het onderwerp informatiebeveiliging en informatiemanagement.

5. Implementatie ISO 27001 snel en eenvoudig gerealiseerd

Onderwerpen die bij de toepassing van ISO 27001 aan de orde komen, zijn onder andere:

  • Risicoanalyse via bijvoorbeeld de methode FMEA
  • Beveiliging van ruimten
  • Beveiliging van apparatuur
  • Toegangsbeheer van ruimten en IT apparatuur.
  • Toepassen functiescheiding voor toegankelijkheid van informatie
  • Back-up en bescherming van data; denk aan wachtwoordbeleid en toegankelijkheid tot data
  • Beleid tijdens dienstverband en na dienstverband.
  • Waarborgen continuïteit bij uitval informatiesystemen.

Dit zijn voorbeelden. Deze kunnen van organisatie tot organisatie verschillen. Wat hierbij opvalt, is dat het niet alleen ICT vraagstukken zijn. Het zijn procesvraagstukken, waar de IT wel een belangrijke rol bij kan spelen, maar het gaat om de beveiliging van informatie met een Information Security Management System: ISMS.

6. Resultaat ISO 27001 is informatieveiligheid en procesbeheersing

ISO 27001 vertegenwoordigt in veel gevallen de 'license to operate'. Operationele processen moeten normaal functioneren, terwijl data en informatie tegelijkertijd veilig zijn. Dat zijn vereisten van stakeholders, zoals klanten. Documenten liggen op de juiste plek, informatie komt niet in verkeerde handen en er gaat geen informatie verloren. De continuïteit van de organisatie en de informatie zijn gewaarborgd tijdens de uitvoering van het dagelijks werk. 

7. Europese GDPR richtlijn en de Algemene Verordening Gegevensbescherming (AVG)

Er is recht op privacy. Dat is een grondrecht. Omdat gegevens in geautomatiseerde systemen gevoelig zijn voor lekken, fraude en ongeoorloofde handel is de Wet op de bescherming persoonsgegevens (Wbp) extra in het leven geroepen. Nu komt vanuit Europa de richtlijn General Data Protection Regulation (GDPR), die in Nederland bekend is onder de Algemene Verordening Gegevensbescherming (AVG), die de Wbp zal vervangen. Met ISO 27001 kan een organisatie voldoen aan de AVG en daarmee aan de GDPR.

8. Information Security Management Systeem (ISMS) beschermt uw organisatie

We willen er liever niet aan denken, maar stel dat uw kantoor of fabriek afbrand. We zien het dagelijks in het nieuws, maar gaan er vanuit dat het ons niet overkomt. Stel dat het u wel overkomt, waaruit bestaat uw organisatie dan nog?

  • De inschrijving bij de Kamer van Koophandel
  • De notariële akte van oprichting en een aandeelhoudersregister
  • Financiële jaarstukken, met o.a. boekwaarden voor machines en voorraden
  • Verzekeringspapieren
  • Bankpapieren en geld op de bank
  • Back-up van de informatie op de server
  • Arbeidscontracten
  • Andere overeenkomsten, zoals met leveranciers of klanten

Een organisatie bestaat na brand alleen nog maar op papier en hopelijk zijn er back-ups. Het is essentieel voor het voortbestaan dat u deze informatie na een calamiteit direct tot uw beschikking heeft, zodat u snel kunt handelen.

Hulp bij de toepassing van ISO 27001 en certificatie van het ISMS

We helpen bij de toepassing van informatiebeveiliging en de certificatie. Dat verloopt in een aantal stappen:

  1. Implementatie ISO 9001 en ISO 27001
  2. Locaties van informatie vastleggen
  3. Toegangsprocedures en bevoegdheden
  4. Procedures voor informatiebeveiliging en verspreiding van informatie
  5. Borging procedures, zoals gebruik wachtwoorden
  6. KPI’s vaststellen en meten
  7. Audits uitvoeren
  8. Opnemen in de management review
  9. Verbetering van procedures
  10. Integratie ISO 27001 in ISO 9001 en kwaliteitshandboek

We ontwikkelen geen apart systeem, maar maken gebruik van de dagelijkse gang van zaken. Uw huidige kwaliteitsmanagementsysteem bestaat en functioneert. De procedures of werkwijzen van ISO 27001 worden hierin geïntegreerd. Dit zorgt niet alleen voor de beveiliging van informatie, maar ook voor betere procedures, efficiëntere werkwijzen en betere kwaliteit. Dat kunt u ook commercieel benutten door uw klanten te laten zien hoe goed en zorgvuldig uw organisatie met informatie omgaat. Dat geeft vertrouwen!

Wilt u de Checklist ISO 27001 ontvangen en uw organisatie toetsen, of wilt u meer weten over ISO 27001, bel ons vrijblijvend op 088 33 666 66, of stuur een e-mail met uw vragen naar info@patagonia-bv.com.

training coaching management

Diensten

Bekijk onze diensten

Lees meer

Oplossingen

Oplossingen

Ga naar de oplossingen

Lees meer

Artikelen

Artikelen

Lees meer artikelen

Lees meer

TQM

Cases

Bekijk voorbeelden

Lees meer

Stel uw vragen

Vul het formulier in en stel uw vragen.

ISO 27001 toepassen

  • ISO 27001 implementeren
  • Informatie beveiligen
  • Voldoen aan richtlijnen
  • Compliance wetgeving
  • AVG/GDPR volgen
  • Certificatie
  • Informatiebeveiliging
  • Reductie risico's