Wat is ISO 27001? Introductie tot de wereldwijde gouden standaard voor informatiebeveiliging.

Omdat cybercriminaliteit blijft toenemen en cyberbedreigingen zich blijven ontwikkelen, staan bedrijven onder toenemende druk om hun betrokkenheid bij informatiebeveiliging aan te tonen.

Maak kennis met ISO 27001: de wereldwijd erkende best practice voor het beheren van uw informatiebeveiliging en het uitvoeren van een ISMS (Information Security Management System). Aangezien ISO 27001 wereldwijd de populairste norm voor informatiebeveiliging is, zullen ook veel van uw klanten ermee bekend zijn en naleving ervan op prijs stellen.

Of u nu voor het eerst met ISO 27001 werkt of uw huidige werkwijzen wilt verbeteren, in dit artikel leest u meer over de essentie ervan, waarom het belangrijk is en hoe het uw aanpak van informatiebeveiliging kan verbeteren.

Wat is een norm voor informatiebeveiliging?

Laten we bij de basis beginnen. ISO 27001 is een beveiligingsstandaard. Dat betekent dat het een gestructureerde set best practices biedt die u kunt volgen. Deze best practices zijn opgesteld door experts op dit gebied en vertegenwoordigen de best mogelijke manieren om cyberrisico's te beperken.

Sommige beveiligingsstandaarden (zoals ISO 27001) bevatten ook een certificeringsmechanisme. Dat betekent dat u een externe geaccrediteerde auditor kunt laten controleren (volgens een vooraf vastgestelde lijst met regels) of u voldoet aan alle best practices in de norm. Als eindresultaat van dit proces ontvang je dan een certificaat voor je organisatie.

Vanuit het oogpunt van iemand die verantwoordelijk is voor informatiebeveiliging in een organisatie, bieden beveiligingsstandaarden bijvoorbeeld de volgende voordelen:

• Ontvang een lijst met beproefde methoden: U hoeft uw informatiebeveiligingsprogramma niet vanaf nul op te bouwen en kunt tijd besparen door gebruik te maken van de best practices die door praktijkexperts zijn opgesteld en door honderdduizenden organisaties zijn getest.
• Begrijp uw eigen beveiligingsniveau: Bent u 30/100, 60/100 of 90/100 conform ISO 27001? Dat geeft je organisatie iets om over na te denken en maakt het mogelijk om doelen te stellen. Te vaak baseren organisaties hun inzicht in informatiebeveiliging op een vermoeden van gedane (vaak alleen technologische) investeringen, zonder echt iets om mee te vergelijken.
• Klantvriendelijke beveiligingscommunicatie creëren: Uw klant zal ISO 27001 ook kennen en dus zal rapporteren op basis daarvan iets voor hem betekenen. Naleving van een norm van wereldklasse zoals ISO 27001 duidt op een veilige organisatie die informatiebeveiliging serieus neemt en vertrouwd kan worden met klantgegevens.

Wat voor soort inhoud bevat ISO 27001?

In ISO 27001 komen deze best practices in twee vormen voor:

• Vereisten voor het topmanagement: Deze zorgen ervoor dat u uw informatiebeveiligingsprogramma duidelijk definieert en goed beheert.
• Beveiligingscontroles voor informatie: Deze zorgen ervoor dat je goed zorgt voor de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens.

ISO 27001-vereisten voor topmanagement

De huidige versie van ISO 27001 (2022) bevat 22 eisen voor topmanagement.

Elke vereiste heeft een duidelijke naam, identificatie (het nummer) en een beschrijving van de vereiste waaraan moet worden voldaan om te voldoen aan de norm.

Beveiligingsbeheervereisten hebben betrekking op onderwerpen als:

• 4. Context van de organisatie (d.w.z. de organisatie begrijpen): Identificeer de omgeving van de organisatie, de belangrijkste factoren en belanghebbenden die van invloed kunnen zijn op informatiebeveiliging.
• 5. Leiderschap: Het topmanagement moet het ISMS actief ondersteunen door duidelijke doelen te stellen, verantwoordelijkheden toe te wijzen en een cultuur te bevorderen waarin informatiebeveiliging prioriteit heeft.
• 6. Planning (d.w.z. risicomanagement): Ontwikkel een gestructureerde aanpak om informatiebeveiligingsrisico's te identificeren, evalueren en behandelen en implementeer de geplande acties om de gekozen risico's te beperken.
• 7. Ondersteuning (d.w.z. middelen en documentatie): Ervoor zorgen dat de organisatie over de middelen, vaardigheden en kennis beschikt om het ISMS met succes te implementeren. Zorg voor goed georganiseerde documentatie en communiceer duidelijk over beveiligingspraktijken.
• 8. Exploitatie (d.w.z. uitvoering van het ISMS): Het ISMS in werking stellen door controles uit te voeren en sleutelprocessen uit te voeren (bijv. risicobeheer en voortdurende verbetering). Ervoor zorgen dat het ISMS betrouwbaar en consistent wordt uitgevoerd in de dagelijkse activiteiten.
• 9. Prestatie-evaluatie (d.w.z. controle en herziening): Regelmatig beoordelen hoe goed het ISMS presteert door middel van audits, beoordelingen en statistieken. Gebruik deze informatie om de effectiviteit van het ISMS te evalueren.
• 10. Voortdurend verbeteren: Het ISMS voortdurend verbeteren door afwijkingen aan te pakken, corrigerende maatregelen te nemen en processen te verbeteren om ervoor te zorgen dat het ISMS effectief en up-to-date blijft.

ISO 27001 informatiebeveiligingscontroles

De huidige versie van ISO 27001 (2022) bevat 93 controles voor informatiebeveiliging.

Elke controle heeft een duidelijke naam, identificatie (het nummer), het verplichte deel om te implementeren en richtlijnen om de implementatie nog verder aan te scherpen. De richtlijnen voor informatiebeveiligingscontroles zijn beschikbaar in het ISO 27002 document.

In de huidige versie van ISO 27001 worden controles ingedeeld in 4 hoofdstukken, namelijk organisatorische controles, menselijke controles, fysieke controles en technologische controles. Deze indeling onderstreept het feit dat slechts een deel van informatiebeveiliging voornamelijk technologisch is. Bij veel controles ligt de nadruk meer op processen, bewustwording van personeel of fysieke beveiligingen dan op technologische beveiligingen.

De informatiebeveiligingscontroles van ISO 27001 omvatten alle aspecten van informatiebeveiliging, bijvoorbeeld:

• Beheer van bedrijfsmiddelen: Identificeren, categoriseren, definiëren van eigendom en dus systematisch beheren en beschermen van belangrijke informatiemiddelen (bijv. datasystemen, gegevens, mensen, fysieke locaties, apparatuur).
• Identiteits- en toegangsbeheer: Processen definiëren om ervoor te zorgen dat alleen bevoegde personen toegang krijgen tot informatiemiddelen, bijvoorbeeld door middel van rolgebaseerd toegangsbeheer, toegangsbeoordelingen, het beschermen van verificatiegegevens en robuuste aanmeldprocedures.
• Relaties met leveranciers: Het identificeren van belangrijke leveranciers (bijv. leveranciers van gegevenssystemen en gegevensverwerkers) en het beheren van risico's van hen voor uw gegevens door bijv. leveranciers te categoriseren en ervoor te zorgen dat ze voldoende zekerheid hebben over een goed niveau van informatiebeveiliging.
• Continuïteitsbeheer: Ervoor zorgen dat kritieke activiteiten en informatie beschikbaar blijven tijdens onderbrekingen door middel van sterke back-upprocessen, het maken en oefenen van continuïteitsplannen en het definiëren van continuïteitsvereisten voor verschillende bedrijfsmiddelen of processen.
• Personeelsbeveiliging: Zorgt ervoor dat werknemers hun beveiligingsverantwoordelijkheden begrijpen, hun persoonlijke richtlijnen volgen, worden doorgelicht voordat ze toegang krijgen en ander beveiligingsbeleid volgen tijdens hun dienstverband.
• Fysieke beveiliging: Beschermt faciliteiten, apparatuur en informatie tegen ongeautoriseerde fysieke toegang, schade of interferentie en zorgt voor een veilige fysieke omgeving.
• Systeem- en netwerkbeveiliging: Bescherm de IT-infrastructuur door kwetsbaarheden te beheren, toegang te controleren en te zorgen voor veilige configuraties om ongeautoriseerde toegang of verstoringen te voorkomen.
• Beheer van bedreigingen en kwetsbaarheden: Processen hebben om het veranderende bedreigingslandschap te volgen en technische kwetsbaarheden te identificeren om risico's voor informatiemiddelen te beperken.
• Incidentbeheer: Ervoor zorgen dat u de mogelijkheid hebt om potentiële beveiligingsincidenten te identificeren en te onderzoeken, en wanneer deze zijn geïdentificeerd zorgen voor een systematische reactie, behandeling en analyse van incidenten om de impact te minimaliseren en herhaling te voorkomen.
• Beveiliging van toepassingen: Ervoor zorgen dat ontwikkelde software wordt ontworpen, ontwikkeld, getest en onderhouden met robuuste controles om gegevens te beschermen en kwetsbaarheden te voorkomen gedurende de gehele levenscyclus.

Het goede aan de controles van ISO 27001 is dat alle informatiebeveiligingsaspecten sterk zijn opgenomen.

Enkele populaire vragen met betrekking tot ISO 27001

Wat is het verschil tussen ISO 27001- en ISO 27002-documenten?

Het ISO 27001-document beschrijft de processen en beleidsregels die een organisatie moet volgen om effectieve informatiebeveiliging te bereiken en te handhaven. Het is verplicht om aan alle vereisten van dit document te voldoen als je gecertificeerd wilt worden.

In bijlage A van ISO 27001 wordt verwezen naar de controles die gedetailleerder worden uitgelegd in ISO 27002.

Het ISO 27002 document biedt richtlijnen en best practices voor het implementeren van de controles die staan vermeld in Bijlage A van ISO 27001. Meestal wordt verwacht dat je de meeste controles implementeert, maar sommige kunnen als "niet van toepassing" worden beschouwd als je een goede reden hebt.

In de secties van de implementatierichtlijnen geeft ISO 27002 aanbevelingen voor het aanpassen en aanpassen van controles op basis van de specifieke behoeften van elke organisatie. Deze delen zijn niet verplicht om te implementeren, maar geven wel waardevolle details.

Samenvattend moet u dus beide documenten samen gebruiken. Meer gedetailleerde richtlijnen voor de controle van informatiebeveiliging staan in 27002, de vereisten voor informatiebeveiligingsbeheer worden uitgelegd in 27001.

Wat in een ISMS (Information Security Management System)?

Een ISMS (Information Security Management System) verwijst naar het centrale systeem waarin je de benodigde informatie hebt gedocumenteerd die uitlegt hoe je voldoet aan de standaardeisen en de controles implementeert.

De norm geeft geen formaatvereisten voor het ISMS - het kan een enkel hulpmiddel zijn zoals Cyberday, of het kan een hoop woorden, excels, powerpoints en geschriften op de muur zijn. Maar je moet wel een ISMS-beschrijvingsdocument aan een auditor geven, waarin de structuur en de inhoud van het ISMS wordt uitgelegd.

De rol van het ISMS is ervoor te zorgen dat alle informatiebeveiligingsmaatregelen duidelijk worden gedocumenteerd, toegewezen en gecontroleerd. Het biedt een gestructureerde aanpak voor het beheren van informatiebeveiliging en verbindt alle onderdelen met elkaar.

Waar verwijst ISO naar?

ISO verwijst naar de Internationale Organisatie voor Standaardisatie. Als je toegang wilt tot de daadwerkelijke inhoud van de ISO 27001 en ISO 27002 documenten, moet je deze bijvoorbeeld kopen via hun website op ISO.org.

De ISO 27001-norm wordt ook wel ISO/IEC 27001:2022 genoemd. Het IEC-deel verwijst naar de samenwerking met de Internationale Elektrotechnische Commissie. Het eindgedeelte (:2022 in dit geval) verwijst naar de meest recente versie van de norm, die is uitgebracht in 2022.

Hoe kun je ISO 27001 gebruiken?

Er zijn veel verschillende benaderingen om ISO 27001 te gebruiken. Ik zal er hier een paar presenteren die we bij onze klanten hebben gezien:

• Gebruik het als benchmark: Kies goede praktijken om toe te passen in je eigen beveiligingsmaatregelen en zoek goede richtlijnen om stap voor stap te verbeteren.
• Zoek het beveiligingsniveau van uw informatie: Vergelijk uw huidige maatregelen met ISO 27001 om inzicht te krijgen in hoe goed u momenteel voldoet aan de best practices - zodat u doelen voor de toekomst kunt stellen.
• Streef ernaar om compliant te worden: Stel het als een intern doel om aan de hele norm te voldoen, zodat u klaar bent om te rapporteren over uw ISO 27001-naleving, bijvoorbeeld aan klanten of autoriteiten.
• Streef naar certificering: Als je het sterkst mogelijke bewijs wilt hebben van je voortdurende naleving en ervoor wilt zorgen dat je je ISMS voortdurend verbetert, ga je in zee met een geaccrediteerde auditor en onderga je een certificeringsaudit.

Elk van de methodes bouwt je een sterkere basis om door te gaan naar de volgende, dus ze ondersteunen elkaar mooi.

Wie kan ISO 27001 gebruiken?

De ISO 27001-norm kan door elke organisatie worden gebruikt, ongeacht de grootte, de branche of het type. Zolang u uw informatiebeveiliging wilt verbeteren en best practices wilt gebruiken, valt u binnen het toepassingsgebied.

Onze organisatie is al ongeveer 6 jaar ISO 27001 gecertificeerd. Toen waren we klein en sindsdien zijn we flink gegroeid. Daarnaast hebben we honderden organisaties uit allerlei sectoren geholpen met het verbeteren van hun ISO 27001 compliance door middel van de Cyberday app. Dus we hebben gezien dat het in de praktijk werkt voor iedereen die geïnteresseerd is in het verbeteren van hun informatiebeveiliging.

Verschillende organisaties kunnen op verschillende manieren baat hebben bij de norm. Voor KMO's kan een ISO 27001-certificering voor een groot deel een manier zijn om vertrouwen en geloofwaardigheid te creëren. In grote organisaties kan het structuur bieden voor het beheren van informatiebeveiligingsrisico's over meerdere afdelingen, landelijke vestigingen en complexe toeleveringsketens heen. In gereguleerde industrieën kan het helpen om te voldoen aan de eisen van klanten en wettelijke vereisten.