Je moet dus wel iets met ISO 27001 en het liefst vandaag nog. Want zeg nou zelf: informatiebeveiliging wil je op orde hebben. Je kwaliteit en betrouwbaarheid hangen er vanaf. Tijd om in actie te komen.
‘Maar dat is toch heel vervelend, ingewikkeld en saai?’
Geen zorgen, we got you covered. Straks weet je alles over ISO 27001 en weet je precies waar je moet beginnen.
ISO 27001 is de norm voor risicobeheersing als het om bewaren van informatie gaat. ISO 27001 is wereldwijd erkend en onderdeel van ISO 27000. Die laatste is overkoepelend en geeft richtlijnen over het procesmatig inrichten van informatiebeveiliging. Zodat je met je ISMS zowel offline als online wordt informatie effectief beveiligd.
De letters ISMS staan voor Information Security Management System. Een managementsysteem voor informatiebeveiliging dus. Een ISMS sluit aan bij het beleid en de strategie van je organisatie en wordt geïntegreerd in je huidige processen. Het doel van een ISMS is zorgen dat (vertrouwelijke) informatie beter beveiligd is. Het is dus je ISMS die ISO 27001 gecertificeerd wordt.
Het woord ‘systeem’ in ISMS gaat niet zozeer over een systeem als in software (al is het wel bijzonder handig om je hierbij door een gebruiksvriendelijk software pakket te laten ondersteunen). Het is in de eerste plaats een management instrument om de informatiebeveiliging te waarborgen en besturen.
Zelf haalde ons ISMS ook het ISO 27001 certificaat.
ISO 27001 is geen doel op zich. Het is een middel waarmee je laat zien dat je de risico’s op het gebied van informatiebeveiliging onder controle hebt. Dat je ze beheerst.
Maar waarom is het zo belangrijk voor je organisatie om daar gecertificeerd voor te zijn?
1. De kwaliteit van je organisatie gaat omhoog
Dankzij ISO 27001 is je organisatie procesmatig bezig met het beveiligen van informatie op basis van doelstellingen. Dat procesmatige zorgt ervoor dat je continu blijft verbeteren. Zo gaat de kwaliteit van je organisatie naar een steeds hoger niveau.
2. Aan de behoeftes van klanten voldoen (Bescherming persoonsgegevens)
Bestaande en nieuwe klanten stellen steeds meer en hogere eisen aan de omgang met hun gegevens. Daar zorgvuldig mee omgaan, moet ook wel in deze tijd. Niet alleen klanten willen dat zeker weten, ook bij aanbestedingen is ISO 27001 steeds vaker een must. Je bent betrouwbaarder en hebt een streepje voor op concurrent die nog geen ISO 27001 certificering heeft.
3. Compliance en imago
Wet- en regelgeving op het gebied van informatiebeveiliging en privacy bestaat zowel op nationaal als Europees niveau. Door een ISO 27001 certificaat te behalen, borg je de relevante wet- en regelgeving op het gebied van informatiebeveiliging grotendeels.
Door aan de slag te gaan met risico’s verminderen, zijn er ook minder incidenten.
Je bent op deze manier proactief bezig met je beveiligingsrisico’s in plaats van reactief. Je imago profiteert hiervan omdat je reputatie minder schade oploopt. Dit heeft ook weer gevolgen voor puntje #4.
4. Meer gevulde vacatures en arbeidsplaatsen
De invloed die het beleid en procesveranderingen rondom ISO 27001 hebben, geven werknemers zekerheid. Zo weet iedereen hoe ze moeten anticiperen op vastgestelde situaties.
Reputatieschade als gevolg van gelekte data, leidt niet alleen tot reputatieschade in de vorm van minder klanten. Ook leidt tot het verlies van arbeidsplaatsen. Minder klanten = minder omzet = minder banen.
Het tweede voordeel is dat medewerkers die zeker zijn over geldende voorschriften, langer bij jou als werkgever blijven. Heb je meer zekerheid en structuur, voel je je meer onderdeel van de organisatie. Dit hangt weer samen met loyaliteit en medewerkerstevredenheid.
De oorzaak van een datalek ligt ook nog eens niet persé bij één van de medewerkers of een afdeling, waardoor ze open staan voor grondig onderzoek en deze zelf ook eerder oppakken.
Je bent eruit en wil ervoor gaan! Maar hoe krijg ik ISO 27001 certificering, denk je nu vast?
Voordeel is wel dat er wat manieren zijn waarop je niet het wiel opnieuw hoeft uit te vinden. Begin dus vooral bij jouw organisatie en wat je nodig hebt, hoe lang je erover wil doen (scope bepalen) en zet alvast een risicoanalyse en stakeholderanalyse op. Wist je trouwens dat je met de juiste tools, een ISO 27001 binnen drie maanden kan halen?
Kijk hoe een andere organisatie het aanpakte of vraag advies bij een organisatie die kan ondersteunen. Hoe hou je alles bij en is je documentatie geregeld? Deze zijstap is ook van belang zodat je niet doorschiet en te veel gaat beveiligen. Niemand heeft er iets aan als je 20 sloten op je deur doet. Perfectie is niet het streven, het gaat om balans.
Heb je hier de juiste tools al voor in huis? Of kan het helpen om kwaliteitsmanagement software hiervoor aan te schaffen?
Hoe dan ook is een volledig plan van aanpak nodig. Hier rollen concrete acties uit die voor verbetering zorgen. Dat is een steeds terugkerend proces wat je kan blijven herhalen door de PDCA-cyclus te gebruiken.
Hierna volgen interne audits en op het laatst vinden de externe audits plaats. Net als bij het halen van je rijbewijs, is een ‘generale repetitie’ in de vorm van een interne audit meer dan waardevol.
Een belangrijk onderwerp gedurende dit hele project gaat over de betrokkenheid van medewerkers. Bij iedere stap heb je die betrokkenheid nodig. Zorg daar dus voor bij iedere stap en eigenlijk daarvoor al. Nu dus.