Heeft u nog vragen over ISO/IEC 27001-certificering of onze trainingen? Hieronder beantwoorden we de meest gestelde vragen om u verder te helpen. Aarzel niet om contact met ons op te nemen voor meer informatie.
Wat is ISO/IEC 27001?
ISO/IEC 27001 is de internationale standaard voor het opzetten, implementeren en onderhouden van een Information Security Management System (ISMS). Deze norm biedt bedrijven een gestructureerde aanpak om de informatiebeveiliging te waarborgen, door middel van beleid, procedures en beheersmaatregelen. Door ISO/IEC 27001-certificering te behalen, toont een bedrijf aan dat het de juiste maatregelen heeft genomen om zijn informatie en intellectuele eigendommen te beschermen. Deze wereldwijd erkende certificering helpt organisaties om de hoogste normen voor informatiebeveiliging te realiseren.
Waarom is een ISO/IEC 27001-certificering zo van belang?
Het toont aan dat uw Information Security Management System (ISMS), oftewel informatiebeveiligingssysteem, voldoet aan de internationale normen voor informatiebeveiliging. Hiermee verkleint u de risico’s op beveiligingsproblemen en versterkt u het vertrouwen in uw organisatie. Dit beschermt uw bedrijf tegen diverse bedreigingen, zoals fysieke risico’s (bijvoorbeeld serverbrand), phishingaanvallen, systeem- en procesrisico’s (zoals verouderde software of onveilige wachtwoorden), en hacking- of ransomwareaanvallen. De voordelen zijn:
- Bescherming tegen potentiële financiële verliezen
- Bescherming tegen beveiligingsinbreuken
- Verhoogde geloofwaardigheid bij het binnenhalen van nieuwe deals, investeringen en het voldoen aan compliance-eisen
- Een sterke USP voor uw website, RFP’s en due diligence-processen
Is ISO/IEC 27001 verplicht voor uw bedrijf?
ISO/IEC 27001 is niet wettelijk verplicht, maar wordt wel sterk aanbevolen. Hoewel het geen overheidsverplichting is, kan het behalen van deze certificering uw bedrijf helpen om beter in te spelen op de verwachtingen van klanten, partners en investeerders. Het kan uw organisatie ook onderscheiden in de markt en bijdragen aan een sterkere beveiliging van informatie.
Wat is het verschil tussen ISO/IEC 27001 en ISO/IEC 27002?
ISO/IEC 27002 is een leidraad om organisaties te helpen bij het selecteren, implementeren en beheren van informatiebeveiligingsmaatregelen. Het bevat 14 hoofdstukken, 35 paragrafen en 114 beheersmaatregelen. Deze beheersmaatregelen, die een verdieping zijn op ISO/IEC 27001, zijn bedoeld voor alle organisaties, ongeacht omvang of bedrijfstak.
Wat is het verschil tussen ISO/IEC 27001 en ISO/IEC 27701?
De ISO/IEC 27701 Privacy Information Management norm is een specifieke privacy uitbreiding van ISO/IEC 27001 en ISO/IEC 27002. Deze privacy norm is uitsluitend te certificeren in combinatie met een ISO/IEC 27001-certificering en biedt richtlijnen voor de bescherming van privacy, het beheren van informatie en de naleving van privacyregels.
Wat is het verschil tussen ISO/IEC 27001 en NEN 7510?
NEN 7510 is gebaseerd op de ISO/IEC 27001 norm, maar is volledig gericht op informatiebeveiliging in de zorg. Hierbij gaat het met name om de beschikbaarheid, integriteit en vertrouwelijkheid van patiëntinformatie.
Hoeveel kost een ISO/IEC 27001-certificering?
De ISO/IEC 27001-certificering kosten zijn afhankelijk van verschillende factoren, waaronder de grootte van uw bedrijf, de complexiteit van uw informatiebeveiligingsprocessen en de beschikbare interne middelen. Daarnaast is het belangrijk om te overwegen waar uw organisatie zich bevindt in het certificeringsproces. Is uw bedrijf al volledig voorbereid om gecertificeerd te worden, of dient u nog te starten met het inrichten van uw systemen? Voor meer informatie over prijzen en tarieven kunt u altijd contact met ons opnemen.
Welke documenten heeft u nodig voor een ISO/IEC 27001-certificering?
Voor het behalen van een ISO/IEC 27001-certificering dient uw organisatie verschillende documenten op te stellen die aantonen dat u voldoet aan de vereisten van de norm. Hieronder vindt u de belangrijkste documenten die nodig zijn:
- Scope van uw ISMS
- Informatiebeveiligingsbeleid
- Annex A-maatregelen
- Proces voor informatiebeveiligingsrisicoanalyse
- Informatiebeveiligingsrisico-register
- Informatiebeveiligingsrisico-rapport
- Verklaring van toepasselijkheid ("Statement of Applicablity")
- Doelen voor informatiebeveiliging
- Bewijs van competentie
- Operationele planning en beheersmaatregelen
- Gedocumenteerde metingen van risicobehandelingsresultaten
- Gedocumenteerd intern auditproces
- Intern auditrapport
- Gedocumenteerde resultaten van het managementreview
- Gedocumenteerde niet-conformiteiten en daaropvolgende acties
- Resultaten van corrigerende maatregelen
- Procedures voor voortdurende verbetering
Wat zijn de normeisen en beheersmaatregelen voor een ISO/IEC 27001-certificering
Er zijn specifieke ISO/IEC 27001-normen en beheersmaatregelen opgesteld die organisaties moeten implementeren om een effectief Information Security Management System (ISMS) te waarborgen. Deze ISO/IEC 27001 normen en maatregelen omvatten onder andere het opstellen van beleid, het uitvoeren van risicoanalyses en het implementeren van beveiligingsmaatregelen.
Hoelang is een ISO/IEC 27001-certificering geldig?
Een ISO/IEC 27001-certificering is geldig voor een periode van drie jaar. Gedurende deze periode wordt er jaarlijks een audit uitgevoerd om te controleren of uw Information Security Management System (ISMS) nog steeds voldoet aan de vereisten van de norm en of alles up-to-date is. Dit zorgt ervoor dat de effectiviteit van uw beveiligingsmaatregelen continu wordt geëvalueerd en verbeterd.
Wat is de nieuwste versie van ISO/IEC 27001?
De nieuwste versie van ISO/IEC 27001 is de NEN-EN-ISO/IEC 27001:2023. Deze versie is volledig gelijk aan de internationale ISO/IEC 27001:2022, met als enige toevoeging een specifiek voorwoord gericht op Europese regelgeving. Deze versie richt zich op informatiebeveiliging, cybersecurity en privacybescherming, en legt de vereisten vast voor Information Security Management Systems (ISMS). Deze updates helpen organisaties beter om te gaan met veranderende digitale risico's en compliance-eisen. U kunt u niet meer (her)certificeren volgens de eerdere versies van ISO/IEC 27001 (2017 en 2013).
Lees hier meer over de transitie naar ISO/IEC 27001:2022
Wat zijn de belangrijkste wijzigingen in ISO/IEC 27001:2022?
De belangrijkste wijzigingen in ISO/IEC 27001:2022:
- De norm is nu afgestemd op de ISO/IEC 27002:2022, waardoor er een betere integratie is tussen de twee normen.
- Technische correcties die eerder zijn aangebracht in ISO/IEC 27001:2013/COR 1:2014 en ISO/IEC 27001:2013/COR 2:2015 zijn nu officieel in de norm verwerkt.
- De norm is opgezet volgens de Harmonized Structure voor managementsystemen, wat zorgt voor meer consistentie en eenvoud bij de implementatie van verschillende managementsystemen binnen een organisatie.
Lees hier meer over de transitie naar ISO/IEC 27001:2022
Moet ik opnieuw gecertificeerd worden vanwege de wijziging in ISO/IEC 27001?
Het is niet verplicht om direct over te stappen naar de nieuwe versie van ISO/IEC 27001. Er is een overgangsperiode voor organisaties die al gecertificeerd zijn volgens de vorige norm. De overgangsperiode voor de update naar ISO/IEC 27001:2022 bedraagt 36 maanden, zoals vastgesteld door het International Accreditation Forum (IAF). Organisaties hebben tot oktober 2025 om hun systemen aan te passen aan de nieuwe eisen van de norm.
Zorg ervoor dat uw organisatie tijdig de benodigde stappen onderneemt om certificering te behouden en voldoet aan de vereisten van de nieuwste versie van de norm.
Lees hier meer over de transitie naar ISO/IEC 27001:2022
Of neem direct contact met ons op
Wat is EuroPrivacy en hoe helpt het bij de naleving van de GDPR/AVG?
EuroPrivacy is een door de BSI erkend privacy-certificeringssysteem dat organisaties helpt bij de naleving van de Algemene Verordening Gegevensbescherming (AVG) in Europa. Het biedt een gedetailleerd kader voor het waarborgen van privacy en gegevensbeveiliging, met de focus op zowel juridische als operationele compliance. Voor meer informatie over EuroPrivacy en hoe het uw organisatie kan ondersteunen bij de naleving van de GDPR/AVG, kunt u meer lezen op onze EuroPrivacy-pagina.