ISO 27001 is een internationale norm voor informatiebeveiligingsmanagement. Het is een bekend framework voor het beheer van gevoelige informatie en om ervoor te zorgen dat deze informatie wordt beschermd tegen ongeoorloofde toegang, het openbaar maken, wijzigen en het vernietigen. Veel organisaties zijn bezig met het behalen van een ISO27001 certificaat, waarmee aangetoond wordt dat zij voldoen aan de eisen van ISO27001. Maar wat is deze norm nu precies? In dit artikel is meer achtergrondinformatie te vinden over deze norm.
De norm is voornamelijk gebaseerd op risicomanagement, wat inhoudt dat er een proces binnen een organisatie aanwezig moet zijn omtrent het identificeren, evalueren en verminderen van de potentiële risico’s voor gevoelige informatie. Risico’s kunnen op van alles van toepassing zijn. Meestal wordt de lijst met bedrijfsmiddelen als basis gekozen, om te kijken wat de risico’s zijn omtrent informatiebeveiliging per bedrijfsmiddel.
Naast risicomanagement vereist ISO27001 dat bedrijven beschikken over een zogeheten managementsysteem, heel specifiek een Information Security Management System (ISMS) genaamd. Dit kan gezien worden als een reeks beleidsregels, procedures en beheersmaatregelen om te zorgen dat informatie alleen gebruikt kan worden op de manier zoals het bedacht is. Het ISMS helpt organisaties de risico’s voor hun gevoelige informatie te beheren en te verminderen op een gestructureerde wijze.
Het behalen van een ISO27001 certificaat is een manier voor organisaties om hun toewijding aan informatiebeveiliging aan te tonen en aan te tonen dat ze aan de eisen van de norm hebben voldaan. Certificering wordt verkregen door een onafhankelijke, externe audit van het ISMS van een organisatie. Eenmaal gecertificeerd, moeten organisaties regelmatig controle-audits ondergaan om ervoor te zorgen dat ze blijven voldoen aan de vereisten van de norm. Ook zijn er steeds meer organisaties die eisen van hun toeleveranciers dat zij een ISO27001 certificaat hebben, omdat dit meer zekerheid biedt dat de informatie van uw organisatie op een veilige manier verwerkt en beheerd wordt door de toeleverancier.