ISO 27001 uitgelegd: de internationale beveiligingsstandaard
ISO 27001 is waarschijnlijk de bekendste norm voor informatiebeveiliging ter wereld. Maar wat houdt het precies in? En is certificering iets voor jouw organisatie? We leggen het uit.
Wat is ISO 27001?
ISO 27001 is een internationale standaard die beschrijft hoe je een "Information Security Management System" (ISMS) opzet. In het Nederlands: een systeem om informatiebeveiliging te beheren.
De kerngedachte: Je kunt niet alles beveiligen. Daarom moet je eerst nadenken over welke informatie belangrijk is, welke risico's je loopt, en dan gerichte maatregelen nemen.
Waar komt ISO 27001 vandaan?
ISO staat voor "International Organization for Standardization". Dit is een organisatie die internationale standaarden maakt voor van alles: van papierformaten tot managementsystemen. ISO 27001 is specifiek voor informatiebeveiliging.
De huidige versie is ISO 27001:2022, wat betekent dat de norm in 2022 voor het laatst is bijgewerkt.
Wat zit er in ISO 27001?
De norm bestaat uit twee delen:
Deel 1: De eisen (hoofdtekst)
Dit beschrijft hoe je een ISMS moet opzetten:
- Context bepalen (wat doet je organisatie?)
- Leiderschap (management moet betrokken zijn)
- Planning (risico's identificeren en doelen stellen)
- Ondersteuning (mensen, middelen, communicatie)
- Uitvoering (maatregelen nemen)
- Evaluatie (controleren of het werkt)
- Verbetering (bijsturen waar nodig)
Deel 2: Annex A (bijlage met controls)
Dit is een lijst van 93 beveiligingsmaatregelen ("controls") verdeeld over 4 categorieën:
- Organisatorische controls (37 stuks)
- Mensen-controls (8 stuks)
- Fysieke controls (14 stuks)
- Technische controls (34 stuks)
Je hoeft niet alle 93 controls te implementeren. Je maakt een "Statement of Applicability" waarin je uitlegt welke controls relevant zijn voor jou.
Wat is het verschil tussen compliant zijn en gecertificeerd zijn?
Compliant zijn
Je voldoet aan de eisen van ISO 27001, maar je hebt dit niet officieel laten controleren. Dit kan voldoende zijn als klanten alleen vragen of je "werkt volgens ISO 27001".
Gecertificeerd zijn
Een externe auditor (van een certificerende instelling) heeft gecontroleerd dat je voldoet aan de eisen. Je ontvangt dan een officieel certificaat dat 3 jaar geldig is, met jaarlijkse tussentijdse audits.
Waarom zou je ISO 27001 willen?
1. Klanten vragen erom
Steeds meer klanten, vooral grote bedrijven en overheden, eisen dat leveranciers ISO 27001 gecertificeerd zijn.
2. Het is een bewijs van kwaliteit
Een certificaat laat zien dat een onafhankelijke partij heeft bevestigd dat je beveiliging goed geregeld is.
3. Het helpt je beveiliging echt verbeteren
Door het proces van certificering ga je serieus nadenken over risico's en maatregelen. Dat leidt tot betere beveiliging.
4. Het voldoet aan meerdere eisen tegelijk
ISO 27001 vormt de basis voor veel andere normen. Als je ISO 27001 hebt, ben je al een heel eind op weg voor BIO, NIS2, DORA, etc.
Hoe lang duurt certificering?
Dit hangt af van de grootte en complexiteit van je organisatie, maar reken op:
- Kleine organisatie: 6-12 maanden
- Middelgrote organisatie: 9-18 maanden
- Grote organisatie: 12-24 maanden
Hoe helpt ComplyGuide?
ComplyGuide bevat alle 93 Annex A controls met uitleg en suggesties voor bewijs. Je kunt:
- Je Statement of Applicability maken
- Taken toewijzen aan de juiste mensen
- Bewijs verzamelen per control
- Rapporten maken voor de auditor