Informatie speelt een cruciale rol voor veel bedrijven en overheidsinstanties. Het kan daarom met recht worden gezien als een bedrijfsmiddel, zoals ook bijvoorbeeld een pand of machines al jaren tot de bedrijfsmiddelen behoren. En waar het belang van informatie toeneemt, is het waarborgen van informatiebeveiliging essentieel. De ISO27001, een internationaal erkende norm voor informatiebeveiliging, speelt hierbij een sleutelrol. Graag nemen wij u mee in de belangrijkste aspecten van de ISO27001 en hoe wij onze partners helpen bij het implementeren en handhaven van deze norm.
Wat is ISO27001?:
ISO27001 is een internationale standaard voor informatiebeveiliging, ontworpen om een robuust raamwerk te bieden waarmee organisaties hun informatieactiva kunnen beschermen. Het stelt eisen aan het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS).
Voordelen van het werken met het ISO27001 raamwerk:
- Verbeterde informatiebeveiliging
- Verhoogd klantenvertrouwen
- Voldoen aan wettelijke vereisten
- Risicobeheer en continuïteitsplanning
Veel bedrijven zullen zonder twijfel openstaan voor deze voordelen. Om deze voordelen op bedrijfsniveau te kunnen benutten, zal een bepaald niveau van volwassenheid moeten worden bereikt als het gaat om informatiebeveiliging. Dit is het niveau waarbij een externe auditor over kan gaan tot certificering. Bereik je dit niveau, dan kun je aan stakeholders laten zien dat u voldoet aan de eisen rondom informatiebeveiliging en verkleint u de kans op informatiebeveiligingsrisico’s en incidenten. Om tot dit niveau te komen, is een gestructureerde aanpak veelal de meest efficiënte weg naar resultaat. Onderstaand stappenplan neemt je hierin mee.
Stappen richting het behalven van de ISO27001
- Risicobeoordeling en -analyse
- Opstellen van beveiligingsbeleid
- Implementatie van beveiligingsmaatregelen
- Bewustmaking en training van personeel
- Continue monitoring en verbetering
Dat klinkt als veel werk. Hoe gaan we dat voor elkaar krijgen?
Gaat uw organisatie aan de slag met het behalen of het behouden van de ISO27001, dan zijn hier drie routes voor. Zo kunt u er voor kiezen om kennis in house te halen. Dit kan via het aanstellen van een nieuwe functionaris, of via het opleiden van iemand in het huidige team. Let hierbij uiteraard goed op dat u een (nieuw) risico aangaat, wanneer kennis zich bij één iemand centreert. Via inhuur op ZZP-basis haal je de kennis tijdelijk binnen, veelal op heel specifieke onderwerpen. Een ZZP’er stippelt vaak de route uit, verstrekt kennis en ervaring en geeft een routekaart, waarmee de organisatie zelf mee aan de gang kan. Het is een ideale oplossing als ‘er al iets staat’, maar je op bepaalde sub-onderwerpen en sprint kunt gebruiken. Externe adviesorganisatie nemen de zorg integraal over. Zij hebben in-house kennis, werken veelal met een team samen waarin ieder sub-specialisme vertegenwoordigd is. Hoe zij jou ondersteunen, van A tot Z of op bepaalde onderwerpen, kun je veelal samen bepalen.
Stelregel die je kunt aanhouden is de vraag in hoeverre de ISO27001 corebusiness is. Juist dit zien wij de laatste jaren opschuiven naar een bevestigend antwoord. Logisch, aangezien het belang van informatie(beveiliging) aan het toenemen is.
Hoe helpt BURG QHSSE bij het behalen en behouden van het ISO27001 certificaat?
Wij kunnen op inhoud en op proces meedenken met organisaties. Beslist u uiteindelijk dat een inzet van een medewerker of ZZP’er de juiste oplossing is, dan helpen wij bij het vinden van diegene. Wij hebben een netwerk aan specialisten die zowel op vaste basis als op ZZP-basis bij opdrachtgevers van BURG QHSSE aan de slag kunnen en willen gaan. Gaat de voorkeur uit naar het extern wegleggen van een vraagstuk? Dan zullen wij doorverwijzen naar één of meerdere adviesorganisaties waarmee wij actief samenwerk. Zij werken veelal met specialisten die zij via ons hebben weten aan te nemen en dus voldoen aan bepaalde kennisniveaus en communicatieve vaardigheden – zaken die nodig zijn om toe te werken naar een ISO27001 certificering.
Conclusie:
ISO27001 vormt de ruggengraat van effectieve informatiebeveiliging voor organisaties. Wil je aan de slag met ISO27001? Dan moet goed worden nagedacht over de route naar certificering. BURG QHSSE denkt hier graag in mee!