Informatiebeveiliging

ISO 27001 certificering

ISO 27001 certificering is dé internationale norm om structuur te bieden aan informatiebeveiliging. Met deze certificering geeft jouw organisatie aandacht aan de beschikbaarheid, integriteit en vertrouwelijkheid van data en systemen.

In dit artikel ontdek je alles wat je moet weten over het behalen van een ISO 27001 certificaat. Ben je op zoek naar advies of ondersteuning bij het behalen van jouw certificaat? Neem dan direct contact op!

Lees verderContact opnemen
Medewerker Van Voorst Consult bezig met een ISO 27001 certificering

ISO 27001

Toenemende digitalisering betekent dat organisaties blijvend passende maatregelen moeten nemen om data te beschermen. Deze komen samen in een (certificeerbaar) managementsysteem, waarmee je vertrouwen geeft aan relevante stakeholders. Zoals klanten, eindgebruikers of medewerkers.

Notitieboek Van Voorst Consult

Stappenplan

ISO 27001 certificaat behalen

Ons stappenplan voor het behalen van een ISO 27001 certificaat:

  • Wil je een GAP-analyse om te kijken hoe de organisatie zich op dit moment verhoudt ten opzichte van de norm? Dan kunnen we een nulmeting uitvoeren.

    Alleen wanneer gewenst. Want als je al een duidelijk beeld hebt van waar je als organisatie staat, dan spenderen we deze tijd graag aan de implementatie.

  • We gaan aan de slag met de opzet en bijbehorende implementatie van het managementsysteem.

    De focus ligt hierbij op een praktisch hanteerbaar managementsysteem dat voortbouwt op de huidige bedrijfsvoering én voldoet aan de norm. Want op wat al goed geregeld is, moet je verdergaan.

  • Als het proces ‘staat’, is de volgende stap het implementeren van het managementsysteem.

    Kort maar krachtig: alle medewerkers binnen de organisatie doen wat er is vastgelegd in je bedrijfsvoering. Dat geldt voor zowel de bestaande processen als ook de ISO-onderdelen.

  • Informeler dan een externe audit, maar net zo belangrijk. 

    Tijdens de interne audit wordt het managementsysteem getoetst aan de norm en de eisen en verwachtingen van de organisatie zelf.

    De interne audit is naast een controle ook een belangrijke voorbereiding voor de medewerkers op de certificatie audit.

  • Na de interne audit beoordeelt de directie (of het management) de effectiviteit van het managementsysteem.

    Hoe draait de bedrijfsvoering, evaluatie van diverse kernelementen en welke verbeteringen kunnen worden opgepakt?

  • We zijn klaar voor certificering. Hierbij wordt er een externe audit uitgevoerd door een onafhankelijke certificerende instantie. 

    Afhankelijk van je wensen kunnen we begeleiding bieden bij de externe audit en/of de opvolging hiervan samen oppakken.

    Geregeld? Dan is je bedrijf gecertificeerd!

  • Het onderhouden van het managementsysteem. Oftewel: het bewaken en beheren van de bedrijfsvoering.

    Denk hierbij aan het blijven ontwikkelen van de bedrijfsvoering en ervoor zorgen dat de diverse normonderdelen zijn uitgevoerd.

    Denk ook aan het meenemen van een normwijziging of nieuwe wetgeving.

Sinds 1994 kennispartner in kwaliteitsmanagement en certificering

Wij zijn Van Voorst Consult

Wij helpen organisaties bij het behalen van ISO 27001 certificering op een praktische en werkbare manier. Geen ingewikkelde security documentatie of theoretische modellen, maar een aanpak die aansluit op de dagelijkse processen en informatiestromen binnen jouw organisatie. Gewoon helder, gestructureerd en doelgericht.

In de afgelopen 30+ jaar hebben wij:

  • Meer dan 1.500 organisaties begeleid naar certificering en het versterken van hun managementsysteem.
  • ISO 27001 trajecten overzichtelijk gemaakt met een praktisch stappenplan en een bewezen aanpak.
  • Organisaties zelfredzaam gemaakt — met ondersteuning waar gewenst.
  • Duurzame relaties opgebouwd, met klanten die terugkomen en certificerende instellingen die ons erkennen als approved partner.

Wat wij hebben geleerd

Trajecten voor ISO 27001 certificering lopen zelden vast op de norm zelf. De meeste organisaties hebben al maatregelen genomen om informatie te beschermen en risico’s te beheersen.

Onze ervaring?

Een organisatie voldoet vaak al voor 80% aan de eisen van de norm. Beveiligingsmaatregelen, procedures en verantwoordelijkheden zijn vaak al aanwezig. Wat nog ontbreekt, is meestal de structuur en aantoonbaarheid binnen een informatiebeveiligingsmanagementsysteem.

Wij maken inzichtelijk wat er al gebeurt en helpen gericht invulling te geven aan de resterende 20%.

Daarom werken wij volgens een praktische methodiek waarmee we:

  • informatiestromen en beveiligingsrisico’s binnen de organisatie inzichtelijk maken
  • processen en procedures ISO 27001-conform vastleggen
  • verantwoordelijkheden en beveiligingsmaatregelen duidelijk borgen
  • organisaties goed voorbereiden op interne en externe audits

Wij bouwen geen papieren systeem. Wij bouwen een praktisch en werkbaar ISO 27001-managementsysteem waarmee uw organisatie structureel kan sturen op informatiebeveiliging.

Hoe we je kunnen ondersteunen

Of je nu vooral advies wilt, praktische ondersteuning zoekt of volledig ontzorgd wilt worden: Van Voorst Consult biedt drie niveaus van begeleiding. Zo kies je precies de aanpak die past bij jouw organisatie, tempo en beschikbare capaciteit.

Begeleiding op hoofdlijnen

Onze adviseurs nemen voornamelijk een adviserende rol aan. Hierbij blijft de organisatie verantwoordelijk voor de uitvoering. Een wisselwerking tussen kennisoverdracht en hands-on begeleiding.

  • Adviserend en richtinggevend
  • Kennisoverdracht voor zelfredzaamheid
Meer informatie

Advies en ondersteuning

Aanvullend op het adviestraject, ondersteunen we op onderdelen in de praktische uitvoering. Van Voorst Consult is uitvoerend betrokken en neemt een deel van de implementatie uit handen.

  • Praktisch meewerken
  • Flexibele inzet
  • Versneld naar resultaat
Meer informatie

Volledige
ontzorging

Van Voorst Consult neemt ter ondersteuning grote taken en activiteiten uit handen van de organisatie. Denk aan contact met medewerkers en het uitwerken van (delen van) het managementsysteem.

  • Maximale ondersteuning
  • Focus op jouw kernactiviteiten
  • Rust en zekerheid
Meer informatie

Samenwerken aan kwaliteit

Een greep uit organisaties waarmee wij samenwerken

NEXXT logo
Kliksafe logo
WSD logo
TIQ Time logo
S Heeren Loo logo
Provincie Zuid Holland logo
MKA Groep logo
Abovo Media logo
Westerscheldetunnel logo
Topgeschenken logo
Cobbler logo
ECI logo
Headfirst logo
Belastingdienst logo
DAEL logo

De voordelen van ISO 27001 certificering

ISO 27001 certificering geeft klanten en partners het vertrouwen dat de organisatie de juiste maatregelen heeft geïmplementeerd om hun gegevens te beschermen. Deze maatregelen staan, samen met de werkwijze rond informatiebeveiliging, omschreven in het ISMS (Information Security Management System) van jouw organisatie.

Door nieuwe ontwikkelingen regelmatig te evalueren en waar nodig op te nemen in je ISMS, handel je op nieuwe inzichten, relevante risico’s en best-practices. Dit is belangrijk om afwegingen op risico’s en eisen, maar ook verwachtingen van onder andere stakeholders te managen.

FAQ

Veelgestelde vragen

De duur van het certificeringsproces hangt af van de grootte en complexiteit van de organisatie. Over het algemeen kan het proces voor de ISO 27001, van voorbereiding tot daadwerkelijke audit en het behalen van de certificering, zo’n 5-7 maanden duren. Wanneer nodig, bijvoorbeeld voor een aanbesteding, kan dit worden versneld naar enkele maanden tot weken.

Een ISO 27001 certificaat wordt afgegeven voor een periode van 3 jaar. Hierin komt de certificerende instelling (de externe auditor) jaarlijks langs voor een toetsing om te bepalen of je als organisatie nog aan de eisen voldoet.

We adviseren meestal dat je bedrijfsbreed certificeert. Op deze manier neem je de betreffende aandacht voor arboveiligheid mee in je gehele bedrijfsvoering. Het is mogelijk om een certificering te behalen voor specifieke afdelingen of vestigingen binnen een organisatie. Dit kan bijvoorbeeld wenselijk zijn bij meerdere locaties of grote verschillen in producten/diensten. Neem hiervoor gerust contact op zodat we naar de mogelijkheden kunnen kijken.

Als een organisatie niet slaagt voor de audit, ontvangt het bedrijf een rapport met de geïdentificeerde tekortkomingen en aanbevelingen voor verbetering. Het bedrijf krijgt vervolgens de kans om de benodigde verbeteringen door te voeren en een heraudit aan te vragen, of enkel de afwijkingen te laten beoordelen, waarna het certificatieproces doorgaat.

Voor majors (kritieke afwijkingen) geldt een opvolgingstermijn van 3 maanden, waarin het onderwerp opgelost dient te zijn. Voor minors (niet-kritieke) afwijkingen geldt een termijn van 3 maanden om een plan van aanpak op te stellen, waarna de oplossing in de volgende audit wordt beoordeeld.

Bij Van Voorst Consult geloven we niet in standaardoplossingen. De weg naar certificering is maatwerk, waarbij we vertrekken vanuit de behoefte van jouw organisatie. Dankzij een solide wisselwerking tussen kennisoverdracht, implementatie en goede communicatie tussen Van Voorst Consult en de organisatie, zijn we er altijd in geslaagd om organisaties succesvol tot certificatie te brengen.

Er zijn kosten verbonden aan een certificeringsproces. Deze zijn afhankelijk van de grootte en complexiteit van de organisatie, evenals de gekozen certificerende instelling (CI).

Ons advies is om altijd twee à drie offertes aan te vragen bij CI’s die qua formaat en werkwijze passen bij de organisatie. Uiteraard hebben wij rechtstreekse contacten met veel CI’s zodat we bij spoed rechtstreeks offertes kunnen opvragen en snel kunnen schakelen.

De belangrijkste en eerste keuze is of je als organisatie zelf aan de slag gaat om de norm te vertalen naar de eigen procesgang, of dat je hier een adviespartij voor inschakelt.

Een voordeel van zelf aan de slag gaan, is het drukken van de kosten. Je kunt er dan alsnog voor kiezen om door Van Voorst Consult een proefaudit (interne audit) te laten uitvoeren, zodat je weet dat je klaar bent voor de externe certificering.

Efficiënter is om vroegtijdig een expert in te schakelen die de route voor je uitstippelt, zonder dat je je hier zelf extra in moet verdiepen. Als Van Voorst Consult hebben we de juiste tools en werkwijze die je vrij kunt gebruiken. Hiermee weet je dat je de juiste aandachtsgebieden invulling geeft voor certificatie.

Voordat externe certificering kan plaatsvinden vragen de meeste normen een managementreview, een evaluatie op je managementsysteem, en een interne audit op de norm. Wanneer de geconstateerde afwijkingen vanuit de interne audit zijn afgerond, kan de externe audit plaatsvinden.

Uiteraard is het hierbij ook belangrijk om de interne collega’s mee te nemen in de implementatie en verwachtingen te schetsen voor de externe audit.

Referentiebeeld Abovo Media

"Persoonlijke begeleiding, flexibel, snel en altijd meedenkend. Zeker een aanrader!"

Rene Kok, Abovo Media

Combineer ISO 27001 met andere certificaten

ISO 27001 vormt een sterke basis voor informatiebeveiliging. ISO 27002 fungeert hierbij als implementatierichtlijn op de Bijlage A achter de ISO 27001 en is geen certificeerbare norm op zichzelf.

Wel certificeerbare normen, en steeds vaker een aanvulling op ISO 27001 certificering, zijn de ISO 27017 voor clouddiensten, ISO 27018 over privacy bescherming (persoonlijke data in publieke cloud) en de ISO 27701 privacy-informatiemanagement. Ook de NEN 7510 voor de zorgsector en de BIO (Baseline Informatiebeveiliging Overheid) voor overheidsinstanties zijn certificeerbaar.

Neem contact op via het formulier voor vrijblijvend advies over het behalen van een ISO 27001 certificering.

Klantverhaal ISO 27001

WSD en Van Voorst Consult werkten anderhalf jaar samen aan het professionaliseren van informatiebeveiliging. Het doel was om inzicht te krijgen in de huidige situatie en te bepalen welke stappen nodig waren om te voldoen aan de internationale norm ISO 27001.

Het resultaat: een ISO 27001:2022-certificering zonder afwijkingen en een sterk fundament waarop WSD de komende jaren verder kan bouwen.

Lees klantverhaal
Case Studie WSD

“Waar informatiebeveiliging in het begin nog vooral een ICT-feestje was, leeft het nu in de hele organisatie. Iedereen weet dat informatiebeveiliging iets is van ons allemaal.”

Certificerende instellingen

Approved partner

Bij Van Voorst Consult geloven we in samenwerking en vertrouwen. Om onze klanten optimaal te begeleiden richting certificering en kwaliteitsmanagement, werken wij samen met alle toonaangevende Certificerende Instellingen (CI’s). Dankzij deze ingangen en contacten kunnen we onze klanten begeleiden tot en met het certificaat.

Laten we kennis maken!

Van Voorst Consult helpt, als kennispartner, ondernemers met de implementatie van kwaliteitsmanagement, certificering en wetgeving op een werkbare en effectieve wijze. Heb je een vraag of reactie voor Van Voorst Consult? Wij helpen je graag. Neem vrijblijvend contact op via het formulier.

"Versterk het vertrouwen in informatiebeveiliging met ISO 27001"

Vrijblijvend adviesgesprek
Portret Wim van Leeuwen