Risicobeheer met de ISO 27001 norm
De betekenis van ISO 27001
Effectief risicobeheer,
de kern van de ISO 27001 norm
Of u nu net begint met uw cyberbeveiliging of uw systemen en processen opnieuw bekijkt, ISO 27001 - de internationale norm voor informatiebeveiliging managementsysteem - biedt een goed vertrekpunt met effectief risicobeheer als kern.
ISO 27001 biedt de richtlijnen voor een krachtig informatiebeveiligingssysteem (ISMS), waarmee beveiliging diep in de organisatie wordt verankerd en waarmee wordt voldaan aan wettelijke en contractuele vereisten. Het systeem is flexibel en schaalbaar, zodat het kan meegroeien met de organisatie.
De nieuwste versie van ISO 27001, uitgebracht in oktober 2022, biedt organisaties van alle groottes en sectoren een vernieuwd raamwerk om in te spelen op de steeds complexere dreigingen in het digitale landschap.
Wat zijn de 5 essentiële onderdelen van een risicobeoordeling volgens ISO 27001?
- Creëer een kader voor uw risicobeheer: Een kader dat een formeel beleid, proces en register voor risicobeheer omvat. Afhankelijk van uw situatie is het mogelijk dat dit al bestaat op organisatieniveau en is goedgekeurd door het topmanagement. Zo niet, dan biedt ISO 31000 een internationaal erkende benchmark en richtlijnen voor effectief risicobeheer.
- Breng uw risico's in kaart: Regelmatige interne audits en incidentenanalyse zijn essentieel. ISO 27002 biedt geactualiseerde controlemechanismen voor informatiebeveiliging, cyberveiligheid en privacybescherming, die een nuttig vergelijkingsinstrument vormen voor het vaststellen van lacunes bij de identificatie van risico's.
- Analyseer risico's op basis van impact en waarschijnlijkheid
- Evalueer risico's en stel prioriteiten bij de aanpak op basis van de factoren die belangrijk zijn voor uw organisatie
- Bepaal uw risico aanpak: Beslis of u het risico zult vermijden, aanvaarden, verminderen of overdragen, met transparante processen rond eigendom en herziening.
NIS2 en DORA wet- en regelgeving
Het acute belang van een sterk informatiebeveiligingssysteem
NIS2 is van toepassing op alle bedrijven, leveranciers en organisaties die essentiële of belangrijke diensten leveren voor de Europese economie en samenleving. Het bestaande toepassingsgebied van NIS zal in de EU aanzienlijk worden uitgebreid, met organisaties in verschillende nieuwe sectoren die als ‘essentieel’ worden beschouwd.
Volgens de NIS2-richtlijn van de EU moeten organisaties ‘significante’ incidenten melden aan hun bevoegde autoriteit, het nationale Computer Security Incident Response Team (CSIRT) en in sommige gevallen hun klanten. Incidenten worden als “ernstig” beschouwd als ze een ernstige verstoring van de dienstverlening of financiële verliezen hebben veroorzaakt of zouden kunnen veroorzaken, of als ze aanzienlijke verliezen hebben veroorzaakt of zouden kunnen veroorzaken voor anderen.
In de NIS2-vereisten worden organisaties geadviseerd om naleving van internationale normen te overwegen. Dit wordt weerspiegeld in de technische richtlijnen die zijn uitgegeven door Het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA). Voor veel organisaties die moeten voldoen aan NIS2, is het behalen van een ISO 27001-certificering een cruciale eerste stap. Deze certificering kan dienen als een basis die verder kan worden verbeterd door naleving van andere aanvullende uitbreidingen en normen, zoals ISO 22301, ISO 27017 en ISO 27018.
Download hier onze gids:
Van ISO 27001:2013 naar ISO 27001:2022
In November 2022 werd de nieuwste versie van de ISO 27001 standaard gepubliceerd. Deze nieuwste versie, ISO 27001:2022, kent meer gedetailleerde controlebeschrijvingen en zijn helder gedocumenteerd. De controles zijn relevanter voor hedendaagse risico’s, met extra aandacht voor het beheersen van nieuwe en opkomende bedreigingen, bedrijfscontinuïteit en organisatorische waakzaamheid. Met deze wijzigingen is het aantal controles verminderd van 114 naar 93, waarvan 11 nieuwe toevoegingen zijn aan de standaard.
Elke controle valt nu onder een van de vier hoofdthema’s, wat de standaard eenvoudiger maakt voor gebruikers en het toewijzen van verantwoordelijkheden binnen organisaties vergemakkelijkt.
Veranderingen in het informatiebeveiligingmanagementsysteem (ISMS)
Deze wijzigingen brengen twee belangrijke vereisten met zich mee voor risicomanagers. Ten eerste, het uitvoeren van een herbeoordeling van het kern-ISMS via een risicoanalyseproces, gevolgd door een evaluatie van risicobehandelingsmaatregelen ten opzichte van de nieuwe en gewijzigde controles in ISO 27001:2022.
De herstructurering van Bijlage A in de nieuwe standaard, die vier overkoepelende controlethema’s introduceert, biedt organisaties een kans om hun ISMS opnieuw uit te lijnen. Dit vereenvoudigt de verantwoordingsstructuur, waarbij de vier thema’s duidelijk aansluiten op relevante bedrijfsfuncties. Daarnaast kan het schrappen van de controle doelstellingen voor sommige organisaties betekenen dat ze hun methoden voor het monitoren van de prestaties en effectiviteit van het ISMS moeten herzien.
Certificaten op basis van ISO 27001:2013, die zijn uitgegeven gedurende de overgangsperiode, verlopen op 31 oktober 2025. Vanaf 18 maanden na de publicatie van de nieuwe standaard moeten alle nieuwe audits en hercertificeringen volgens de ISO 27001:2022-standaard plaatsvinden.
Alle ISO 27001:2022 downloads en on-demand webinars:
Het verschil tussen ISO 27001 en ISO 27002
ISO 27001 en ISO 27002 zijn beide normen die betrekking hebben op informatiebeveiliging, maar ze zijn verschillend in hun focus en doelstellingen.
De ISO 27001 norm is voor informatiebeveiligingsmanagement. Het beschrijft de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een gedocumenteerd Information Security Management System (ISMS). De ISO 27002 norm, voorheen bekend als ISO 17799, is een richtlijn voor best practices op het gebied van informatiebeveiliging. Het biedt een gedetailleerde set van controles en aanbevelingen die kunnen worden gebruikt om de doelstellingen van ISO 27001 te bereiken. ISO 27002 behandelt specifieke beveiligingsmaatregelen en -praktijken die organisaties kunnen implementeren om hun informatie te beschermen. Het is meer een richtlijn dan een certificeerbare norm, hoewel het vaak wordt gebruikt als referentie bij het implementeren van een ISMS volgens ISO 27001.
De ISO 27001 Toolkit
De volgende stap naar uw ISO 27001 certificering
Onze ISO 27001-toolkit biedt een uitstekende basis om u op weg te helpen naar ISO 27001 certificering - het verminderen van risico's en het stimuleren van prestaties in uw hele organisatie.
De ISO 27001 Checklist
Is uw organisatie klaar voor ISO 27001-certificering?
Gebruik onze ISO 27001 checklist en ontdek of uw organisatie klaar is voor certificering. Kruis de stellingen aan die op uw organisatie van toepassing zijn om inzicht te krijgen in de ISO 27001-eisen waaraan uw informatiebeveiligingmanagementsysteem al voldoet en de eisen die mogelijk nog aandacht behoeven.