InToto is ISO 27001 gecertificeerd sinds april 2020. Op deze pagina nemen we je mee in de wereld van ISO27001 en leggen wij uit welke meerwaarde we leveren aan jouw organisatie nu we daadwerkelijk in bezit zijn van het certificaat.
Wat is ISO27001?
Allereerst beginnen we met de uitleg over de organisatie achter de ISO-normen. De Internationale Organisatie voor Standaardisatie werkt internationaal aan het vaststellen van normen. Er zijn duizenden verschillende ISO-normen waar je je als organisatie op kan laten toetsen. De meest bekende norm is de ISO9001 waarin eisen worden gesteld aan het kwaliteitsmanagementsysteem van een organisatie.
Bij ISO27001 draait het om informatiebeveiliging. Ook vanuit deze norm worden eisen gesteld, waaraan een organisatie minimaal moet voldoen. Eén van de belangrijkste eisen is dat er een Information Security Management System (ISMS) moet zijn gedocumenteerd. Het ISMS bevat de documentatie waarin het informatiebeveiligingsbeleid is vastgesteld. In deze documentatie zijn processen, procedures, regels en afspraken vastgelegd die gekoppeld zijn aan de normen uit ISO27001.
De eisen en normen
Het doel is dat een organisatie kijkt naar de mogelijke risico’s en impact op het gebied van informatie. De mogelijke risico’s op het gebied van de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie. De beschikbaarheid van een bedrijfskritisch systeem wordt hoog ingeschat, waardoor de impact direct hoger is voor een organisatie als het systeem uitvalt. Een organisatie zal door de hogere risico en impact strengere maatregelen moeten treffen. Als het gaat om vertrouwelijke informatie, dan zal een organisatie strengere beveiligingsmaatregelen moeten treffen. Gaat het om algemene informatie, dan zullen er passende maatregelen moeten worden getroffen om aan te tonen dat je alle risico’s beheerst.
In- en uitdienst proces
Een organisatie moet over alles wat direct impact heeft op de informatiebeveiliging nadenken. Het eerste voorbeeld is een duidelijk in- en uitdienstproces. Wat heeft dit dan precies met informatiebeveiliging te maken? Het risico zit hem in de potentiële medewerker die bij jouw organisatie in dienst komt en toegang krijgt tot verschillende type gegevens. Dit is in potentie een risico voor de informatiebeveiliging. In de norm staat beschreven dat je een beleid moet hebben en het belangrijkste is natuurlijk dat dit in de praktijk ook zo wordt uitgevoerd. Om de risico’s in te perken haalt een organisatie altijd referenties op, vraagt een Verklaring Omtrent het Gedrag aan en hanteert een proefperiode.
Het tweede voorbeeld gaat over het inrichten van logische toegang in je systemen. Als de kandidaat is aangenomen en bij je organisatie in dienst komt, dan is er direct een volgend risico aanwezig. Dit gaat over het account en de rechten die daar aan gekoppeld zijn. Waar mag de nieuwe medewerker vanuit zijn rol allemaal toegang toe hebben? Een eis vanuit ISO27001 is dat je als organisatie vooraf alle rollen hebt gespecificeerd en vastgelegd. De verantwoordelijke voor alle systemen zijn in kaart gebracht en het is duidelijk welke rechten bij welke rol horen. Uiteindelijk zijn er in de norm 114 beheersmaatregelen waaraan je moet voldoen om de norm volledig te beheersen.
Toetsing en audit
Een andere belangrijke eis uit de norm is het continue verbeteren van het ISMS. Het in kaart brengen van de risico’s en het toepassen van maatregelen om de risico’s te beheersen is een continue proces. Op basis van ‘De PDCA cyclus’ blijf je de kwaliteit van het ISMS optimaliseren. In onderstaande afbeelding is een uitleg gegeven van de vier verschillende fases.
Jaarlijks wordt de organisatie via een audit getoetst op de stappen die zijn gezet in het ISMS en controleert de auditor of de organisatie het beschreven beleid daadwerkelijk in de praktijk uitvoert. Zo zou je tijdens een audit moeten kunnen aantonen dat de rechten overeen komen met het beschreven beleid. Als dit niet het geval is, dan krijg je een aantekening in het uiteindelijke rapport.
Wat is het voordeel voor jou als klant?
Dat wij nu ISO 27001 gecertificeerd zijn, biedt ook voor jou als klant een aantal voordelen. Als ICT-dienstverlener beheren wij vele klantomgevingen. Denk hierbij aan servers, back-ups of de werkstations. Door het toepassen van de beheersmaatregelen uit de norm kunnen wij aantonen dat we de juiste beveiligingsmaatregelen toepassen die nodig zijn voor specifieke systemen.
Onze procesgerichte manier van werken zorgt ervoor dat wij alle werkzaamheden vastleggen en volgens een gestructureerde manier uitvoeren. In het proces is steeds het informatiebeveiligingsaspect meegenomen om de risico’s van bijvoorbeeld het uitvoeren van projecten volledig in kaart te brengen.
Onze expertise op het gebied van informatiebeveiliging is bij de medewerkers door het ISO-traject enorm gegroeid. Zo kunnen wij als organisatie meedenken met vraagstukken over jullie eigen informatiebeveiliging. Denk hierbij aan de volgende zaken:
- Wachtwoordbeleid voor het inloggen.
- Toepassen van twee factor authenticatie.
- Onderzoeken en implementeren van logging in systemen.
- Opstellen bedrijfscontinuïteitsplan n.a.v. een calamiteit.
- Encryptie implementeren op diverse systemen.
- Mogelijke risico’s detecteren rondom IT-hardware.
- Opstellen van een RBAC-model (Roled Based Access Control-model)
Wij zijn nu ISO 27001 gecertificeerd, mocht je vragen aan ons hebben over ISO27001 of AVG, dan kun je altijd telefonisch contact met ons opnemen of een email sturen.