ISO 27001 certificering voor informatiebeveiliging
Beveilig uw bedrijfsinformatie met ISO 27001.
LRQA is een toonaangevende assurance provider voor ISO 27001
ISO 27001 is een internationale norm voor informatiebeveiliging. Deze norm specificeert de vereisten voor het opzetten, implementeren, onderhouden en continu verbeteren van een informatiebeveiligingsbeheersysteem
Voor elke organisatie - ongeacht omvang of sector - biedt ISO/IEC 27001:2022 een sterke basis op het gebied van informatiebeveiliging en cyberbeveiligingsstrategie. De norm schetst een best practice voor een sterk information security management system (ISMS) om risico's te beperken en bedrijfskritische gegevens te beschermen door middel van identificatie, analyse en uitvoerbare controles.
Een geaccrediteerde ISO 27001 certificering toont aan dat u over de processen en controles beschikt om de informatie van uw organisatie - en die van uw klanten - te beschermen tegen een steeds complexer wordende bedreigingslandschap.
Onze ISO/IEC 27001 services
Onze auditors zijn zeer bedreven in het toetsen aan ISO 27001 en helpen u ervoor te zorgen dat uw informatiebeveiligingssystemen voldoen aan de nieuwste eisen en richtlijnen. We gaan verder dan het leveren van certificeringsservices met onze toonaangevende trainingsprogramma's die zijn ontworpen om uw team bij te scholen.
ISO 27001 Training
Bouw uw kennis van informatiebeveiliging op met een reeks ISO 27001 trainingen die zijn ontworpen voor verschillende ervaringsniveaus.
ISO 27001 Gap Analyse
Een optionele dienst waarbij een van onze deskundige auditors u helpt bij het identificeren van kritieke, risicovolle of zwakke onderdelen van uw ISMS voorafgaand aan uw formele ISO 27001-audit.
Geaccrediteerde certificering
Een onafhankelijk proces in twee fasen dat een duidelijke verklaring van uw capaciteiten biedt - en u helpt vertrouwen op te bouwen bij stakeholders.
Geïntegreerde audits
Als u meerdere managementsystemen hebt ingevoerd, kunt u profiteren van een geïntegreerd audit- en toezichtsaudits dat efficiënter en kosten effectiever is.
Wat is de ISO 27001 norm?
ISO 27001 is de ceritiferingsnorm voor een informatiebeveiliging managementsysteem (ISMS). Een geaccrediteerde ISO 27001-certificering toont aan dat u over de processen en controles beschikt om de informatie van uw organisatie - en die van uw klanten - te beschermen tegen een steeds complexer wordend bedreigingslandschap. Met behulp van een risicomanagementbenadering helpt ISO 27001 certificering organisaties bij het managen van hun werknemers, processen en systemen. Het is de bekendste norm in de ISO 27000-familie van deze normen.
LRQA kan ook de volgende richtlijnen en praktijkrichtlijnen controleren. Deze normen ondersteunen ISO 27001 en zijn ontwikkeld door ISO om organisaties te helpen bij de implementatie van ISO 27001.
- ISO 27017 - Praktijkrichtlijn voor informatiebeveiligingscontroles voor clouddiensten
- ISO 27018 - Praktijkrichtlijn voor de bescherming van persoonlijk identificeerbare informatie (PII) in publieke clouds die fungeren als PII-verwerkers
- ISO 27032 - Richtlijnen voor cybersecurity
Bekijk de meest gestelde vragen over de ISO IEC 27001:2022 norm en ons aanbod.
Een 360⁰ benadering van
informatie- en cyberbeveiliging
Ons diepgaand technisch inzicht en onze expertise, ondersteund door ons uitgebreide portfolio op het gebied van cyberbeveiliging, stelt ons in staat om samen te werken met uw bedrijf - wij helpen u bij het identificeren van de specifieke bedreigingen waarmee u wordt geconfronteerd en bieden vervolgens oplossingen om deze te beperken. Wij kunnen uw systemen certificeren, kwetsbaarheden opsporen en aanvallen en incidenten helpen voorkomen die gevolgen kunnen hebben voor uw merkintegriteit, financiën en operaties.
Voordelen ISO 27001 certificering
ISO 27001 certificering toont aan dat u een systematische, op risico's gebaseerde benadering van informatiebeveiliging hebt ingevoerd die de best practices stimuleert rond:
- Identificeren van risico's voor informatie- en cyberbeveiliging
- Risico's analyseren op basis van impact en waarschijnlijkheid
- Evalueren van risico's en prioriteren wanneer ze worden aangepakt op basis van factoren met betrekking tot uw bedrijf
- Selecteren van opties voor risicobehandeling
- Toon aan dat u voldoet aan wet- en regelgeving en contractuele vereisten
-
Concurrentievoordeel. ISO 27001 is een duidelijk bewijs van uw bekwaamheid en dat u uw informatiebeveiliging op orde heeft.
Hoeveel kost een ISO 27001 certificering?
De kosten zijn gebaseerd op het aantal auditdagen dat betrekking heeft op het aantal werknemers binnen de scope van het ISMS. Het aantal auditdagen wordt gepubliceerd in de accreditatienorm, ISO 27006, en is voor iedereen zichtbaar.
Er kan geen algemene uitspraak worden gedaan over de kosten van een ISO 27001 certificering. Een doorslaggevende factor is de omvang van uw onderneming en de daaruit voortvloeiende kosten. Hoeveel locaties heeft u? Hoeveel werknemers werken er in uw bedrijf? Het speelt ook een rol of uw bedrijf al gecertificeerd is. In ieder geval is het zinvol om vooraf een gesprek te hebben met een van onze medewerkers, zodat wij u beter kunnen leren kennen en een offerte kunnen opstellen die precies op uw bedrijf is afgestemd.
Tijdens het auditproces toonde de LRQA-auditor een grondig begrip van de ISO 27001-norm en de vereisten ervan.
Schrijf u in voor de 'Veiligheid in Cyber' serie
Schrijf u nu in voor de gratis 'Veiligheid in Cyber' serie van LRQA. Ontworpen om u te informeren en begeleiden door de complexe wereld van cyberveiligheid. In deze reeks richten we ons specifiek op de NIS2-richtlijn en ISO 27001.
Schrijf u nu in!Lokale & wereldwijde expertise
Actief in meer dan 55 landen, met meer dan 250 toegewijde cyberbeveiligingsspecialisten en meer dan 300 hooggekwalificeerde informatiebeveiligingsauditors over de hele wereld, kunnen we een lokale service bieden met een wereldwijd consistente toewijding aan excellentie.
Flexibele levering
In de meeste gevallen kunnen onze ISO 27001-trainingen en certificeringsdiensten ter plaatse of op afstand worden geleverd met behulp van veilige en beveiligde technologie. Als u kiest voor levering op afstand, ontvangt u dezelfde hoogwaardige service met verschillende extra voordelen, waaronder flexibiliteit, snelle levering en toegang tot wereldwijde expertise.
Geschiedenis van primeurs
Wij waren de eersten die UKAS-accreditatie ontvingen om certificeringsdiensten te leveren voor een reeks normen over de hele wereld. Wij blijven een rol spelen bij de ontwikkeling van een reeks specifieke normen en kaders in verschillende sectoren.
Specialistische expertise
Onze experts op het gebied van cyberbeveiliging beschikken over meerdere certificeringen en accreditaties van vendors en zeer gerespecteerde branche accreditaties van CREST, PCI SSC, ISC2, BCI, Chartered Institute of IT en NCSC CHECK.
Hoelang duurt het certificeringsproces voor ISO 27001?
De vraag over de duur van een ISO 27001-certificering kan niet in het algemeen worden beantwoord, maar is afhankelijk van verschillende factoren.
- Grootte van uw bedrijf, bijv:
- Aantal locaties
- Aantal werknemers
- Omvang of complexiteit van de processen
- Interne capaciteiten
- Bestaande knowhow over informatiebeveiliging en ISO 27001
Hoe groter en complexer uw bedrijf is, hoe meer tijd u nodig hebt om de ISO 27001-certificering te plannen. Afhankelijk van de omvang kan het hele proces een paar maanden tot zelfs meer dan een jaar duren.
Wij bespreken het proces en de verwachte duur van uw ISO 27001-certificering graag met u in een gezamenlijk gesprek. Wij bieden u een gekwalificeerde planning en begeleiden u vanaf het eerste contact tot de afgifte van het certificaat.
Tip van LRQA: Om moeite te besparen bij procedures, processen en documentatie, is de integratie van verschillende normen een goed idee.
Hoe verloopt het ISO-27001 certificeringsproces?
- Intake
In het begin nemen we onze tijd en leren we u en uw bedrijfsdoelstellingen kennen. Daarna bepalen we samen het proces van de ISO 27001 certificering. U krijgt van ons een uitgebreid plan. Indien nodig voeren wij een pre-audit uit of zorgen wij voor de overname van een reeds bestaande certificatie.
- Pre-audit (optioneel)
Tijdens een pre-audit gaan wij samen met u na of uw managementsysteem voor informatiebeveiliging al voldoet aan alle vereisten van ISO 27001 en of certificering mogelijk is.
De pre-audit is geen verplicht onderdeel van het certificeringsproces, maar een vrijwillige gelegenheid voor u om u optimaal voor te bereiden op de certificering en om eventuele zwakke punten en risicofactoren vooraf aan het licht te brengen en te verbeteren.
Tip van LRQA: Om te ontdekken in hoeverre u klaar bent voor een certificering, kunt u de ISO 27001 Self Assessment Tool gebruiken. - Aanvaarding van de certificering (optioneel)
Als uw bedrijf al door een andere certificeringsinstantie is gecertificeerd, kunnen wij u helpen met een snelle en meestal eenvoudige overname. Samen met u controleren we:
- Verslagen van bestaande bezoeken
- Veranderingen in de onderneming of in het managementsysteem
- Auditverslagen van interne en externe auditors
- Corrigerende en preventieve maatregelen
- Beoordeling van het management
- Gegevens over bestaande certificering, zoals de reikwijdte van de certificering en de duur van toezichtsaudits
Als er aan het eind van de beoordeling geen onopgeloste kwesties zijn, geven wij u een nieuw certificaat en stellen wij samen met u een jaarlijks auditprogramma. op.
- Certificeringsaudit Fase 1 "Systeemcontrole en opstartvoorwaarde"
In de eerste fase van de certificatieaudit bekijkt uw LRQA-auditor de structuur van uw ISMS, het handboek, het proceslandschap en de opeenvolging en interactie van uw processen.
In een gesprek met uw management komen we te weten welke richting uw bedrijf uitgaat en ontwikkelen we een grondig inzicht in de sterktes en zwaktes van uw organisatie. Op die manier identificeren wij het verbeteringspotentieel dat u een echt concurrentievoordeel kan opleveren. Daarnaast kijken we naar uw (voorlopige) management review en interne audits. In samenhang met de bedrijfsdoelstellingen houden wij met deze informatie rekening bij de volgende controlestap.
Na een rondleiding bepalen we samen met u de verdere controleprocedure. U hebt de kans om potentiële zwakke punten te verbeteren tot de volgende stap. - Certificeringsaudit Fase 2 "Praktische uitvoering"
In fase 2 controleren wij hoe u de eisen voor uw managementsysteem hebt geïmplementeerd. Uitgaande van een bepaalde reikwijdte van de controle, stellen wij hiervoor een team van gekwalificeerde auditoren samen. Wij zullen u dat van tevoren laten weten, zodat u uw planning daarop kunt afstemmen.
In het begin interviewen we uw management. Actuele vragen vloeien rechtstreeks in de audit in. Vervolgens controleren wij de onderdelen van het managementsysteem die basisinformatie verschaffen. We kijken naar de praktische toepassing ter plaatse.
Ten slotte overhandigen wij u het volledige auditrapport met een samenvatting voor uw directie. Als er geen afwijkingen zijn, ontvangt u een internationaal erkend certificaat dat drie jaar geldig is. Indien afwijkingen worden vastgesteld, moeten deze op passende wijze worden aangepakt en door ons bij een surveillance audit opnieuw worden geëvalueerd. Als de afwijkingen met succes zijn weggewerkt, ontvangt u na de surveillance audit uw certificaat.
Tip van LRQA: Het controleverslag bevat een eenvoudig overzicht van mogelijke sterke en zwakke punten. Uw LRQA-auditor zal ook wijzen op verbeteringsmogelijkheden. - Jaarlijkse audit om certificering te behouden
Uiterlijk twaalf maanden na afronding van de initiële audit vindt een audit plaats van deelgebieden van uw ISO 27001-managementsysteem. Kortere tussenpozen van negen of zes maanden zijn mogelijk. Aan het eind ontvangt u opnieuw het auditrapport met een samenvatting voor uw management.
Tip van LRQA: De jaarlijkse audits zijn in de eerste plaats bedoeld om uw bedrijf te dienen. Daartoe richt uw auditor zich op belangrijke kritische aspecten, zoals de invloed van uw managementsysteem op uw bedrijfsresultaten. Uw doelstellingen en de huidige problemen staan centraal in het auditproces. - Focus audit – uw toekomst plannen
In de laatste stap voor de hercertificering bundelen we de resultaten voor uw management: Hoe heeft uw ISO 27001 ISMS zich ontwikkeld sinds de initiële audit? Welke vooruitgang is er geboekt? Wij houden rekening met de zwaartepunten van uw bedrijfsstrategie.
Bij de planning van de controle wordt rekening gehouden met de resultaten van de toekomstige planning. Op deze basis kunt u met succes een nieuwe certificeringscyclus (hercertificering) beginnen over een periode van drie jaar. Het certificeringsproces begint opnieuw.
Wat staat er in een typisch ISMS toepassingsgebied en verklaring van toepasselijkheid?
Een typische ISMS-verklaring van toepasselijkheid omvat activiteiten in verband met de levering van producten en diensten. Ze hoeft geen interne activiteiten of ISMS-processen te omvatten. Het doel is de lezer te verzekeren dat de informatie die bij de ontvangst van het product of de dienst wordt verstrekt, beschermd is.
De verklaring van toepasselijkheid verwijst naar de lijst van geselecteerde controles. Zij bevat geen details van die controles, maar een traceerbare verwijzing naar een controleverklaring die is gebruikt als basis voor de laatste ISO 27001-audit. Soms hebben organisaties een openbare versie die kan worden gedeeld en waarin alleen de uit ISO 27001 Bijlage A geselecteerde controles worden vermeld, maar dit is geen verplichte eis.
Hoeveel kost een ISO 27001 certificering?
De kosten zijn gebaseerd op het aantal auditdagen dat betrekking heeft op het aantal werknemers binnen de scope van het ISMS. Het aantal auditdagen wordt gepubliceerd in de accreditatienorm, ISO 27006, en is voor iedereen zichtbaar.
Er kan geen algemene uitspraak worden gedaan over de kosten van een ISO 27001 certificering. Een doorslaggevende factor is de omvang van uw onderneming en de daaruit voortvloeiende kosten. Hoeveel locaties heeft u? Hoeveel werknemers werken er in uw bedrijf? Het speelt ook een rol of uw bedrijf al gecertificeerd is. Een organisatie met 100 FTE's kan bijvoorbeeld rekenen op een initiële auditduur (fase 1 + fase 2) van 8 tot 12 dagen, afhankelijk van de sector waarin zij actief zijn, hoe complex hun werkomgeving is, of zij betrokken zijn bij de ontwikkeling van software en of zij beveiliging in het product moeten inbouwen. Het daaropvolgende toezichtprogramma zou 3-4 dagen per jaar duren en de verlenging 6-8 dagen.
In ieder geval is het zinvol om vooraf een gesprek te hebben met een van onze medewerkers, zodat wij u beter kunnen leren kennen en een offerte kunnen opstellen die precies op uw bedrijf is afgestemd.
Ik heb al ISO 9001. Kan ik die integreren met ISO 27001?
Ja - aangezien zowel ISO 9001 als ISO 27001 zijn gebaseerd op het algemene model voor managementsystemen - Annex SL - kunnen de kernbeheersprocessen worden geoptimaliseerd om te voldoen aan de eisen voor beide normen. Door een systeem te ontwerpen dat aan beide normen voldoet, wordt de doeltreffendheid van het bestuur van de organisatie zelfs verbeterd. Bedrijfsdoelstellingen zoals groei vereisen vaak de ontwikkeling van nieuwe producten, waarbij beveiliging doorgaans wordt beschouwd als een kwaliteitsnorm in overeenstemming met de marktverwachtingen. Integratie kan ook dubbel werk tot een minimum beperken, wat kan leiden tot een verkorting van de audittijd, wat een kosteneffectieve optie is.
Wat is een ISO 27001 risico analyse en wat zijn de voordelen?
Hoe is informatiebeveiliging management systeem in staat om te bedreigingen te kunnen weren? Is de data van uw organisatie goed beschermd? De risicoanalyse informatiebeveiliging is een handige manier om te beoordelen in hoeverre de informatiebeveiliging van je organisatie op een acceptabel niveau is.
In eerste instantie neemt u maatregelen voor de risico’s die voor uw organisatie gelden op basis van de context van uw organisatie. Om die risico’s in kaart te brengen voer je een risicoanalyse uit. Op basis van deze ISO 27001 risicoanalyse en de analyse van de context van de organisatie, ontdekt u welke onderdelen uw aandacht behoeven. Wanneer u een ISO 27001 risicoanalyse informatiebeveiliging uit gaat voeren, kunt u daarbij Annex A van de ISO 27001 norm gebruiken bij het uitvoeren van de analyse. Hierin staan de veelvoorkomende risico’s zoals:
-
Informatiebeveiligingsbeleid;
-
Veilig personeel (bijv. screening);
-
Beheer van bedrijfsmiddelen;
-
Toegangsbeveiliging;
-
Communicatiebeveiliging
De PDCA cyclus kan als leidraad bij de risicoanalyse informatiebeveiliging fungeren. De ISO 27001 norm hanteert een procesgerichte benadering. Met behulp van de PDCA cyclus (Plan-Do-Check-Act) kunt u eventuele aandachtspunten procesgericht behandelen en uiteindelijk een kwaliteitsniveau te bereiken.
Wat is ISO 27002:2022 en wat is de impact ervan?
De publicatie van ISO 27002:2022 biedt een update van de lijst met controles in ISO 27001 - die dateert uit 2013. De herziene controles weerspiegelen ontwikkelingen met betrekking tot zowel bedreigingen als de huidige best practices, en het verbrede toepassingsgebied van ISO 27002 helpt ervoor te zorgen dat de maatregelen voor risicobeheer breed en effectief zijn. Organisaties kunnen de uitgebreide lijst met controles gebruiken om de risico's die ze hebben geïdentificeerd te behandelen of om potentiële hiaten te ontdekken - zodat ze een stap voor blijven op het complexe en veranderende bedreigingslandschap waarmee bedrijven tegenwoordig worden geconfronteerd.
Download de ISO 27001:2022 checklist om u voor te bereiden op uw interne audit.
Wat is het verschil tussen ISO 27001 en ISO 27002?
ISO 27001 en ISO 27002 zijn beide normen die betrekking hebben op informatiebeveiliging, maar ze zijn verschillend in hun focus en doelstellingen.
De ISO 27001 norm is voor informatiebeveiligingsmanagement. Het beschrijft de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een gedocumenteerd Information Security Management System (ISMS). De ISO 27002 norm, voorheen bekend als ISO 17799, is een richtlijn voor best practices op het gebied van informatiebeveiliging. Het biedt een gedetailleerde set van controles en aanbevelingen die kunnen worden gebruikt om de doelstellingen van ISO 27001 te bereiken. ISO 27002 behandelt specifieke beveiligingsmaatregelen en -praktijken die organisaties kunnen implementeren om hun informatie te beschermen. Het is meer een richtlijn dan een certificeerbare norm, hoewel het vaak wordt gebruikt als referentie bij het implementeren van een ISMS volgens ISO 27001.
Hoelang is het ISO 27001-certificaat geldig?
Na goedkeuring blijft de certificering drie jaar geldig, mits via het toezichtsprogramma effectief systeemonderhoud wordt aangetoond.
Is er een nieuwe versie van ISO 27001 in ontwikkeling?
Er is een nieuwe versie van ISO 27001 gepubliceerd op 25 oktober 2022. Met de nieuwe controles die zijn beschreven in ISO 27001:2022, zullen organisaties hun risicobeoordeling opnieuw moeten bekijken en bepalen of er nieuwe risicobehandelingen moeten worden geïmplementeerd.
Bent u al gecertificeerd volgens ISO 27001 en wilt u overstappen?
Als u in het bezit bent van een geldig geaccrediteerd ISO 27001 certificaat bij een andere certificeringsinstantie en u overweegt de overstap te maken, dan is het eenvoudig om uw ISO 27001-certificering over te dragen aan LRQA. Wij werken met u samen om ervoor te zorgen dat de overstap zo soepel mogelijk verloopt.
Bekijk gerelateerde certificeringen
Van certificering en training van managementsystemen tot governance, risico en compliance, wij bieden 360⁰ diensten aan.