Informatiebeveiliging
ISO 27001 certificering
ISO 27001 certificering is dé internationale norm om structuur te bieden aan informatiebeveiliging. Met deze certificering geeft jouw organisatie aandacht aan de beschikbaarheid, integriteit en vertrouwelijkheid van data en systemen.
ISO 27001
Toenemende digitalisering betekent dat organisaties blijvend passende maatregelen moeten nemen om data te beschermen. Deze komen samen in een (certificeerbaar) managementsysteem, waarmee je vertrouwen geeft aan relevante stakeholders. Zoals klanten, eindgebruikers of medewerkers.
Stappenplan
ISO 27001 certificaat behalen
-
1. Nulmeting
Wil je een GAP-analyse om te kijken hoe de organisatie zich op dit moment verhoudt ten opzichte van de norm? Dan kunnen we een nulmeting uitvoeren.
Alleen wanneer gewenst. Want als je al een duidelijk beeld hebt van waar je als organisatie staat, dan spenderen we deze tijd graag aan de implementatie.
-
2. Opzet
We gaan aan de slag met de opzet en bijbehorende implementatie van het managementsysteem.
De focus ligt hierbij op een praktisch hanteerbaar managementsysteem dat voortbouwt op de huidige bedrijfsvoering én voldoet aan de norm. Want op wat al goed geregeld is, moet je verdergaan.
-
3. Implementatie
Als het proces ‘staat’, is de volgende stap het implementeren van het managementsysteem.
Kort maar krachtig: alle medewerkers binnen de organisatie doen wat er is vastgelegd in je bedrijfsvoering. Dat geldt voor zowel de bestaande processen als ook de ISO-onderdelen.
-
4. Interne audit
Informeler dan een externe audit, maar net zo belangrijk.
Tijdens de interne audit wordt het managementsysteem getoetst aan de norm en de eisen en verwachtingen van de organisatie zelf.
De interne audit is naast een controle ook een belangrijke voorbereiding voor de medewerkers op de certificatie audit.
-
5. Management review
Na de interne audit beoordeelt de directie (of het management) de effectiviteit van het managementsysteem.
Hoe draait de bedrijfsvoering, evaluatie van diverse kernelementen en welke verbeteringen kunnen worden opgepakt?
-
6. Externe certificering
We zijn klaar voor certificering. Hierbij wordt er een externe audit uitgevoerd door een onafhankelijke certificerende instantie.
Afhankelijk van je wensen kunnen we begeleiding bieden bij de externe audit en/of de opvolging hiervan samen oppakken.
Geregeld? Dan is je bedrijf gecertificeerd!
-
7. Onderhoud
Het onderhouden van het managementsysteem. Oftewel: het bewaken en beheren van de bedrijfsvoering.
Denk hierbij aan het blijven ontwikkelen van de bedrijfsvoering en ervoor zorgen dat de diverse normonderdelen zijn uitgevoerd.
Denk ook aan het meenemen van een normwijziging of nieuwe wetgeving.
30 jaar ervaring
Begeleiding op maat
Begeleiding op hoofdlijnen
Onze adviseurs nemen voornamelijk een adviserende rol aan. Hierbij blijft de organisatie verantwoordelijk voor de uitvoering van de benodigde stappen. Een wisselwerking tussen kennisoverdracht en hands-on begeleiding.
Lees meerAdvies en ondersteuning
Aanvullend op het adviestraject, ondersteunen we op onderdelen in de praktische uitvoering. Van Voorst Consult is uitvoerend betrokken en neemt een deel van de implementatie uit handen.
Lees meerVolledig ontzorgen
Van Voorst Consult neemt ter ondersteuning grote taken en activiteiten uit handen van de organisatie. Denk aan contact met medewerkers en het uitwerken van (delen van) het managementsysteem.
Lees meerDe voordelen van ISO 27001 certificering
ISO 27001 certificering geeft klanten en partners het vertrouwen dat de organisatie de juiste maatregelen heeft geïmplementeerd om hun gegevens te beschermen. Deze maatregelen staan, samen met de werkwijze rond informatiebeveiliging, omschreven in het ISMS (Information Security Management System) van jouw organisatie.
Door nieuwe ontwikkelingen regelmatig te evalueren en waar nodig op te nemen in je ISMS, handel je op nieuwe inzichten, relevante risico’s en best-practices. Dit is belangrijk om afwegingen op risico’s en eisen, maar ook verwachtingen van onder andere stakeholders te managen.
FAQ
Veelgestelde vragen
Hoelang duurt het certificeringsproces?
De duur van het certificeringsproces hangt af van de grootte en complexiteit van de organisatie. Over het algemeen kan het proces voor de ISO 27001, van voorbereiding tot daadwerkelijke audit en het behalen van de certificering, zo’n 5-7 maanden duren. Wanneer nodig, bijvoorbeeld voor een aanbesteding, kan dit worden versneld naar enkele maanden tot weken.
Hoelang is een ISO 27001 certificering geldig?
Een ISO 27001 certificaat wordt afgegeven voor een periode van 3 jaar. Hierin komt de certificerende instelling (de externe auditor) jaarlijks langs voor een toetsing om te bepalen of je als organisatie nog aan de eisen voldoet.
Moet mijn hele organisatie gecertificeerd worden?
We adviseren meestal dat je bedrijfsbreed certificeert. Op deze manier neem je de betreffende aandacht voor arboveiligheid mee in je gehele bedrijfsvoering. Het is mogelijk om een certificering te behalen voor specifieke afdelingen of vestigingen binnen een organisatie. Dit kan bijvoorbeeld wenselijk zijn bij meerdere locaties of grote verschillen in producten/diensten. Neem hiervoor gerust contact op zodat we naar de mogelijkheden kunnen kijken.
Wat gebeurt er als we niet slagen voor de audit?
Als een organisatie niet slaagt voor de audit, ontvangt het bedrijf een rapport met de geïdentificeerde tekortkomingen en aanbevelingen voor verbetering. Het bedrijf krijgt vervolgens de kans om de benodigde verbeteringen door te voeren en een heraudit aan te vragen, of enkel de afwijkingen te laten beoordelen, waarna het certificatieproces doorgaat.
Voor majors (kritieke afwijkingen) geldt een opvolgingstermijn van 3 maanden, waarin het onderwerp opgelost dient te zijn. Voor minors (niet-kritieke) afwijkingen geldt een termijn van 3 maanden om een plan van aanpak op te stellen, waarna de oplossing in de volgende audit wordt beoordeeld.
Bij Van Voorst Consult geloven we niet in standaardoplossingen. De weg naar certificering is maatwerk, waarbij we vertrekken vanuit de behoefte van jouw organisatie. Dankzij een solide wisselwerking tussen kennisoverdracht, implementatie en goede communicatie tussen Van Voorst Consult en de organisatie, zijn we er altijd in geslaagd om organisaties succesvol tot certificatie te brengen.
Wat kost ISO 27001 certificering?
Er zijn kosten verbonden aan een certificeringsproces. Deze zijn afhankelijk van de grootte en complexiteit van de organisatie, evenals de gekozen certificerende instelling (CI).
Ons advies is om altijd twee à drie offertes aan te vragen bij CI’s die qua formaat en werkwijze passen bij de organisatie. Uiteraard hebben wij rechtstreekse contacten met veel CI’s zodat we bij spoed rechtstreeks offertes kunnen opvragen en snel kunnen schakelen.
Hoe kunnen we ons voorbereiden op de certificering?
De belangrijkste en eerste keuze is of je als organisatie zelf aan de slag gaat om de norm te vertalen naar de eigen procesgang, of dat je hier een adviespartij voor inschakelt.
Een voordeel van zelf aan de slag gaan, is het drukken van de kosten. Je kunt er dan alsnog voor kiezen om door Van Voorst Consult een proefaudit (interne audit) te laten uitvoeren, zodat je weet dat je klaar bent voor de externe certificering.
Efficiënter is om vroegtijdig een expert in te schakelen die de route voor je uitstippelt, zonder dat je je hier zelf extra in moet verdiepen. Als Van Voorst Consult hebben we de juiste tools en werkwijze die je vrij kunt gebruiken. Hiermee weet je dat je de juiste aandachtsgebieden invulling geeft voor certificatie.
Voordat externe certificering kan plaatsvinden vragen de meeste normen een managementreview, een evaluatie op je managementsysteem, en een interne audit op de norm. Wanneer de geconstateerde afwijkingen vanuit de interne audit zijn afgerond, kan de externe audit plaatsvinden.
Uiteraard is het hierbij ook belangrijk om de interne collega’s mee te nemen in de implementatie en verwachtingen te schetsen voor de externe audit.
"Persoonlijke begeleiding, flexibel, snel en altijd meedenkend. Zeker een aanrader!"
Rene Kok, Abovo Media
Combineer ISO 27001 met andere certificaten
ISO 27001 vormt een sterke basis voor informatiebeveiliging. ISO 27002 fungeert hierbij als implementatierichtlijn op de Bijlage A achter de ISO 27001 en is geen certificeerbare norm op zichzelf.
Wel certificeerbare normen, en steeds vaker een aanvulling op ISO 27001 certificering, zijn de ISO 27017 voor clouddiensten, ISO 27018 over privacy bescherming (persoonlijke data in publieke cloud) en de ISO 27701 privacy-informatiemanagement. Ook de NEN 7510 voor de zorgsector en de BIO (Baseline Informatiebeveiliging Overheid) voor overheidsinstanties zijn certificeerbaar.
Neem contact op via het formulier voor vrijblijvend advies over het behalen van een ISO 27001 certificering.
Laten we kennis maken!
Van Voorst Consult helpt, als kennispartner, ondernemers met de implementatie van kwaliteitsmanagement, certificering en wetgeving op een werkbare en effectieve wijze. Heb je een vraag of reactie voor Van Voorst Consult? Wij helpen je graag. Neem vrijblijvend contact op via het formulier.