ISO 27001, informatiebeveiliging die houdt.
ISO 27001 is de wereldwijde standaard voor informatiebeveiliging. Voor IT-leveranciers, financiële dienstverleners, zorgaanbieders en iedereen die met vertrouwelijke data werkt is het inmiddels meer een vraag van wanneer dan van of. Wij begeleiden u van risicoanalyse tot een gecertificeerd ISMS.
De internationale norm voor informatiebeveiliging.
ISO 27001 stelt eisen aan een Information Security Management System (ISMS): een gestructureerde manier om informatiebeveiligingsrisico's te identificeren, te beheersen en te verbeteren. Het is geen technische standaard, er staat niet welk encryptie-algoritme u moet gebruiken of hoeveel karakters een wachtwoord moet hebben. Het is een managementsysteem dat afdwingt dat u die keuzes bewust maakt, op basis van uw eigen risico's.
De norm bestaat uit twee delen: de hoofdtekst (clauses 4–10) die het systeem zelf beschrijft, en Annex A met 93 beheersmaatregelen (controls) die de norm beschikbaar stelt om risico's mee af te dekken. U kiest welke controls relevant zijn voor uw context, motiveert die keuze in een Statement of Applicability, en implementeert ze waar nodig. Niet meer, niet minder.
In de meest recente versie is Annex A hergeordend en gemoderniseerd, onder andere met expliciete controls voor cloud, threat intelligence en datalek-preventie. GTY werkt altijd vanuit de actuele versie van de norm.
Voor organisaties waarbij informatiebeveiliging geen bijzaak is.
ISO 27001 is een feitelijk vereiste voor SaaS- en IT-leveranciers die zaken doen met enterprise-klanten of de overheid. Inkoopafdelingen vragen er standaard naar; zonder certificaat valt u in veel aanbestedingen direct af. Hetzelfde geldt voor managed service providers, hosting-leveranciers en bedrijven die persoonsgegevens of intellectueel eigendom van klanten verwerken.
Buiten IT zien we ISO 27001 in opmars bij financiële dienstverleners, advocaten- en accountantskantoren, recruiters en bij overheden zelf. De gemene deler: organisaties die werken met data waar derden op rekenen, en die niet willen wachten tot een datalek de noodzaak aantoont.
GTY heeft ervaring met ISO 27001-trajecten in IT-dienstverlening, SaaS en zakelijke dienstverlening, inclusief organisaties die ISO 27001 combineren met ISO 9001.
Van risicoanalyse tot een gecertificeerd ISMS.
Eén vast aanspreekpunt
We beginnen met een baseline assessment: welke informatie verwerkt uw organisatie, wie heeft daar toegang toe, welke systemen ondersteunen het, en welke contractuele en wettelijke kaders zijn van toepassing? Daarna voeren we de eerste informatiebeveiligingsrisico-analyse uit. Niet als een sjabloon-exercitie, maar door met uw mensen door te lopen waar in de feitelijke werkprocessen risico's ontstaan.
Op basis van de risico-analyse bepalen we welke controls uit Annex A relevant zijn en hoe we ze implementeren, technisch én organisatorisch. Toegangsbeheer, logging en monitoring, incident response, leveranciersbeheer, awareness van medewerkers, fysieke beveiliging waar dat nog speelt, en de continuïteit van uw belangrijkste systemen. We documenteren wat de norm vraagt en wat u in de praktijk gebruikt, geen onnodige beleidsstukken die niemand opent.
In de aanloop naar de externe audit lopen we Stage 1 (documentatie-toets) en Stage 2 (implementatie-audit) gestructureerd door. We bereiden directie, security officer en betrokken teams voor op de gesprekken die de auditor zal voeren. Na het certificaat blijft het ISMS een levend systeem, en daar is het Partnerprogramma op ingericht.
Waar trajecten stuklopen, en hoe GTY dat voorkomt.
-
01
Risico-analyse zonder werkelijke scenario's
Een risicoregister met "datalek" en "ransomware" als algemene posten heeft geen sturend vermogen. We werken met concrete scenario's die uw organisatie kan herkennen, wat gebeurt er als die specifieke export-functie wordt misbruikt, of die externe leverancier wordt gehackt.
-
02
Statement of Applicability als formaliteit
Veel organisaties laten de SoA als laatste invullen, vlak voor de audit, en alle controls "ja" zetten zonder nadenken. Dat valt op. Wij ontwikkelen de SoA parallel aan de implementatie, met onderbouwing per control.
-
03
Awareness-training die niemand serieus neemt
Eén keer per jaar een online module afvinken zonder dat het gedrag verandert, levert geen gecertificeerd ISMS op. We zetten awareness in als doorlopend proces en meten of het werkt, niet of het is doorlopen.
-
04
Leveranciersbeheer dat ophoudt bij de NDA
De norm vraagt structurele beheersing van risico's in de toeleveringsketen. Een ondertekende verwerkersovereenkomst is een begin, geen eindpunt. We helpen u een proportioneel leveranciersbeheer-proces inrichten dat ook in audit standhoudt.
-
05
Logging en monitoring die niemand bekijkt
Logs verzamelen is goedkoop, logs gebruiken is moeilijker. We zorgen dat de monitoring die u inricht aansluit op de werkelijke incident response, niet op een ideaal SOC-model dat in uw organisatie niet past.
-
06
Continuïteit-plannen die nog nooit getest zijn
Business continuity en disaster recovery moeten beoefend worden. Een papieren plan is geen aantoonbare continuïteit. Wij plannen oefeningen in die de organisatie ook werkelijk uitvoert.
Een ISMS dat blijft kloppen.
Informatiebeveiliging is een bewegend doel. Nieuwe systemen, nieuwe leveranciers, nieuwe dreigingen, nieuwe wetgeving (NIS2, DORA, herziening AVG), een ISMS dat in jaar één klopt, klopt in jaar drie alleen nog als er continu aan gewerkt wordt.
Het Partnerprogramma vult die continuïteit in. Kwartaalaudits op de meest risicovolle controls, security incident response-toetsen, structurele update van het risicoregister en de SoA, en directe ondersteuning bij verandertrajecten, een nieuwe SaaS-leverancier, een verhuizing, een sub-processor die wijzigt.
Wat klanten ons vooraf vragen.
Hoe lang duurt een ISO 27001-traject?
Dat hangt sterk af van uw uitgangspositie. Een organisatie met technisch goede beveiliging maar weinig formele documentatie heeft minder voorwerk dan een die nagenoeg vanaf nul start. We stemmen het tempo af op uw planning; een nulmeting geeft een realistisch beeld voor uw situatie.
Wat is het verschil tussen ISO 27001 en SOC 2?
ISO 27001 is een wereldwijd erkende norm met een geaccrediteerd certificaat als uitkomst; SOC 2 is een Amerikaanse audit-rapportage die per organisatie scope-bar verschilt. Voor Europese klanten is ISO 27001 de standaard. Wie zaken doet met grote Amerikaanse afnemers heeft soms beide.
Moeten wij een fulltime CISO hebben voor ISO 27001?
Nee. De norm vereist dat verantwoordelijkheden voor informatiebeveiliging zijn belegd, niet dat er een fulltime CISO is. In MKB-organisaties is dat vaak de DGA, IT-manager of Chief of Staff. GTY ondersteunt die rol waar dat nodig is.
Geldt ISO 27001 voor de hele organisatie of kunnen we de scope beperken?
U bepaalt zelf de scope, mits u die helder afbakent. Sommige organisaties certificeren één business unit of één SaaS-product. Te smal afgebakende scopes worden door grote afnemers echter niet altijd geaccepteerd, we adviseren over wat strategisch verstandig is.
Wat is de relatie met NEN 7510?
NEN 7510 is gebaseerd op ISO 27001 en specifiek voor de zorg. Een organisatie die op beide normen wil certificeren kan dat in één traject doen, de overlap is groot, met name op de hoofdstructuur. Verschillen zitten in zorg-specifieke beheersmaatregelen.
Wat is de Verklaring van Toepasselijkheid (SoA)?
De Verklaring van Toepasselijkheid (Statement of Applicability) is het document waarin u vastlegt welke beheersmaatregelen uit de norm voor uw organisatie gelden, welke u heeft ingericht en waarom u eventuele maatregelen uitsluit. Het is een kerndocument in elke ISO 27001-audit: de auditor toetst uw keuzes hieraan. Wij stellen de Verklaring van Toepasselijkheid samen met u op, onderbouwd vanuit uw eigen risicoanalyse in plaats van een standaardlijst.
Andere normen waarin wij u ondersteunen.
Start nu
Klaar om met ISO 27001 aan de slag te gaan?
Plan een vrijblijvend kennismakingsgesprek. We bespreken uw uitgangspositie en wat een ISO 27001-traject voor uw organisatie vraagt. Geen verplichtingen. Geen standaardpitch. Een eerlijk gesprek.
