Wat is de betekenis van ISO 27001?
Ten eerste is het belangrijk op te merken dat de volledige naam van ISO 27001 is “ISO / IEC 27001 – Informatietechnologie – Beveiligingstechnieken – Informatiebeveiligingsbeheersystemen – Vereisten. ”
Het is de toonaangevende internationale norm gericht op informatiebeveiliging, gepubliceerd door de International Organization for Standardization (ISO), in samenwerking met de International Electrotechnical Commission (IEC). Beide zijn toonaangevende internationale organisaties die internationale standaarden ontwikkelen.
ISO-27001 maakt deel uit van een reeks standaarden die is ontwikkeld om informatiebeveiliging te behandelen: de ISO / IEC 27000-serie.
Wat is het doel van ISO 27001?
ISO 27001 is ontwikkeld om organisaties, van elke omvang of branche, te helpen hun informatie op een systematische en kosteneffectieve manier te beschermen door middel van een informatiebeveiligingsbeheersysteem (ISMS).
Waarom is ISO 27001 belangrijk?
Niet alleen biedt de standaard een begeleidende Ze beschikken over de nodige knowhow om hun meest waardevolle informatie te beschermen, maar een bedrijf kan ook gecertificeerd worden volgens ISO 27001 en op deze manier aan zijn klanten en partners bewijzen dat het hun gegevens beschermt.
Individuen kunnen ook ISO 27001-gecertificeerd worden door een cursus te volgen en voor het examen te slagen, en op deze manier hun vaardigheden te bewijzen aan potentiële werkgevers.
Omdat het een internationale norm is, ISO 27001 wordt overal ter wereld gemakkelijk herkend, waardoor de zakelijke kansen voor organisaties en professionals toenemen.
Wat zijn de 3 ISMS-beveiligingsdoelstellingen?
Het basisdoel van ISO 27001 is om er drie te beschermen. aspecten van informatie:
- Vertrouwelijkheid: alleen de bevoegde personen hebben recht op toegang tot informatie.
- Integriteit: alleen de bevoegde personen kunnen de informatie wijzigen.
- Beschikbaarheid: de informatie moet toegankelijk zijn voor bevoegde personen wanneer dat nodig is.
Wat is een ISMS?
Een Information Security Management System (ISMS) is een set regels die een bedrijf moet opstellen om:
- belanghebbenden en hun verwachtingen van het bedrijf op het gebied van informatiebeveiliging te identificeren
- identificeren welke risicos er zijn voor de informatie
- beheersmaatregelen (waarborgen) en andere risicobeperkende methoden definiëren om aan de geïdentificeerde verwachtingen te voldoen en met risicos om te gaan
- duidelijke doelen stellen over wat moet worden bereikt met informatiebeveiliging
- implementeer alle controles en andere risicobehandelingsmethoden
- meet continu of de geïmplementeerde controles presteren zoals verwacht
- maak continue verbetering om het hele ISMS te maken beter werken
Deze set regels kan worden opgeschreven in de vorm van beleid, procedures en andere soorten documenten, of in de vorm van gevestigde processen en technologieën die niet gedocumenteerd. ISO 27001 definieert welke documenten vereist zijn, dwz welke minimaal moeten bestaan.
Waarom hebben we ISMS nodig?
Er zijn vier essentiële zakelijke voordelen die een bedrijf kan bereiken met de implementatie van deze informatiebeveiligingsstandaard:
Voldoen aan wettelijke vereisten – er is een steeds toenemend aantal wetten, voorschriften en contractuele vereisten met betrekking tot informatiebeveiliging, en het goede nieuws is dat de meeste van deze problemen kunnen worden opgelost door ISO 27001 te implementeren – deze norm biedt u de perfecte methodologie om aan allemaal te voldoen.
Concurrentievoordeel behalen – als uw bedrijf wordt gecertificeerd en uw concurrenten niet, dan heeft u wellicht een voordeel ten opzichte van hen in de ogen van die klanten die gevoelig zijn voor het veilig houden van hun informatie.
Lagere kosten – de belangrijkste filosofie van ISO 27001 is het voorkomen van beveiligingsincidenten – en elk incident, groot of klein, kost geld. Door ze te voorkomen, bespaart uw bedrijf dus behoorlijk wat geld. En het mooiste is: de investering in ISO 27001 is veel kleiner dan de kostenbesparingen die u kunt realiseren.
Betere organisatie – doorgaans hebben snelgroeiende bedrijven geen tijd om te stoppen en hun processen en procedures te definiëren – met als gevolg dat de werknemers vaak niet weten wat er moet gebeuren, wanneer, en door wie. Implementatie van ISO 27001 helpt bij het oplossen van dergelijke situaties, omdat het bedrijven aanmoedigt om hun hoofdprocessen op te schrijven (zelfs als deze niet beveiligingsgerelateerd zijn), waardoor ze de tijdverlies van hun werknemers kunnen verminderen.
Hoe werkt ISO 27001?
De focus van ISO 27001 is het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie in een bedrijf. Dit wordt gedaan door erachter te komen welke mogelijke problemen er met de informatie kunnen gebeuren (d.w.z., risicobeoordeling), en vervolgens te definiëren wat er moet worden gedaan om dergelijke problemen te voorkomen (d.w.z. risicobeperking of risicobehandeling).
Daarom is de hoofdfilosofie van ISO 27001 gebaseerd op een proces voor het beheren van risicos: ontdek waar de risicos zijn en behandel ze vervolgens systematisch door middel van beveiligingsmaatregelen (of waarborgen).
ISO 27001 vereist dat een bedrijf alle controles opsomt die geïmplementeerd moeten worden in een document genaamd de Statement of Applicability.
Wat zijn de vereisten voor ISO 27001?
De verplichte vereisten voor ISO 27001 worden gedefinieerd in de clausules 4 tot en met 10 – dit betekent dat al deze vereisten moeten worden geïmplementeerd in een organisatie als deze wil voldoen aan de norm. Controles uit Bijlage A mogen alleen worden geïmplementeerd als ze van toepassing zijn verklaard in de Verklaring van Toepasselijkheid.
De vereisten uit de secties 4 tot en met 10 kunnen als volgt worden samengevat:
Clausule 4: Context van de organisatie – definieert vereisten voor het begrijpen van externe en interne kwesties, belanghebbende partijen en hun vereisten, en definieert de ISMS-scope.
Clausule 5: Leiderschap – definieert de verantwoordelijkheden van het topmanagement, bepaalt de rollen en verantwoordelijkheden en de inhoud van het informatiebeveiligingsbeleid op het hoogste niveau.
Clausule 6: Planning – definieert vereisten voor risicobeoordeling, risicobehandeling, verklaring van toepasselijkheid, risicobehandelingsplan en bepaling van de informatiebeveiligingsdoelstellingen.
Clausule 7: Ondersteuning – definieert vereisten voor beschikbaarheid van middelen, competenties, bewustzijn, communicatie en beheer van documenten en records.
Clausule 8: Werking – definieert de implementatie van risicobeoordeling en -behandeling, evenals controles en andere processen die nodig zijn om informatiebeveiligingsdoelstellingen te bereiken.
Clausule 9: Prestatie-evaluatie – definieert vereisten voor monitoring, meting, analyse, evaluatie, interne audit en managementbeoordeling.
Clausule 10: Verbetering – definieert vereisten voor afwijkingen, correcties, corrigerende maatregelen en voortdurende verbetering.
Wat zijn de 14 domeinen van ISO 27001?
Daar zijn 14 “domeinen” vermeld in bijlage A van ISO 27001, georganiseerd in secties A.5 tot A.18. De secties behandelen het volgende:
A.5. Informatiebeveiligingsbeleid: de controles in deze sectie beschrijven hoe om te gaan met informatiebeveiligingsbeleid.
A.6. Organisatie van informatiebeveiliging: de controles in deze sectie bieden het basiskader voor de implementatie en werking van informatiebeveiliging door de interne organisatie ervan te definiëren (bijv. , verantwoordelijkheden, enz.), en door de organisatorische aspecten van informatiebeveiliging, zoals projectbeheer, gebruik van mobiele apparaten en telewerken.
A.7. Beveiliging van personeel: de controles in deze sectie zorgen ervoor dat mensen die onder de controle van de organisatie staan, worden op een veilige manier aangenomen, opgeleid en beheerd; ook de pr inciples van disciplinaire maatregelen en beëindiging van de overeenkomsten worden aangepakt.
A.8. Activabeheer: De controles in deze sectie zorgen ervoor dat informatiebeveiligingsactiva (bijv. Informatie, verwerkingsapparatuur, opslagapparatuur, enz.) Worden geïdentificeerd, dat verantwoordelijkheden voor hun beveiliging worden aangewezen en dat mensen weten hoe ze ermee moeten omgaan volgens een vooraf gedefinieerde classificatie niveaus.
A.9. Toegangscontrole: De bedieningselementen in deze sectie beperken de toegang tot informatie en informatiemiddelen volgens de werkelijke zakelijke behoeften. De bedieningselementen zijn voor zowel fysieke als logische toegang.
A.10. Cryptografie: de controles in deze sectie vormen de basis voor het juiste gebruik van coderingsoplossingen om de vertrouwelijkheid, authenticiteit en / of integriteit van informatie te beschermen.
A.11. Fysieke en omgevingsbeveiliging: De bedieningselementen in deze sectie voorkomen ongeoorloofde toegang tot fysieke gebieden en beschermen apparatuur en faciliteiten tegen bedreiging door menselijke of natuurlijke tussenkomst.
A.12. Operationele beveiliging: De controles in deze sectie zorgen ervoor dat de IT-systemen, inclusief besturingssystemen en software, veilig zijn en beschermd zijn tegen gegevensverlies. Bovendien vereisen controles in deze sectie de middelen om gebeurtenissen vast te leggen en bewijs te genereren, periodieke verificatie van kwetsbaarheden te genereren en voorzorgsmaatregelen te nemen om te voorkomen dat auditactiviteiten de activiteiten beïnvloeden.
A.13. Communicatiebeveiliging: De bedieningselementen in dit gedeelte beschermen de netwerkinfrastructuur en -services, evenals de informatie die erdoorheen gaat.
A.14. Systeemverwerving, ontwikkeling en onderhoud: De controles in deze sectie zorgen ervoor dat er rekening wordt gehouden met informatiebeveiliging bij de aanschaf van nieuwe informatiesystemen of het upgraden van bestaande.
A.15.Relaties met leveranciers: De controles in deze sectie zorgen ervoor dat uitbestede activiteiten die worden uitgevoerd door leveranciers en partners ook gebruikmaken van passende informatiebeveiligingsmaatregelen, en ze beschrijven hoe de beveiligingsprestaties van derden kunnen worden gecontroleerd.
A.16. Beheer van informatiebeveiligingsincidenten: De controles in deze sectie bieden een raamwerk om de juiste communicatie en afhandeling van beveiligingsgebeurtenissen en incidenten te verzekeren, zodat deze tijdig kunnen worden opgelost; ze bepalen ook hoe bewijsmateriaal bewaard kan worden en hoe te leren van incidenten om herhaling te voorkomen.
A.17. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer: De controles in deze sectie zorgen voor de continuïteit van het informatiebeveiligingsbeheer tijdens verstoringen en de beschikbaarheid van informatiesystemen.
A.18. Naleving: De controles in deze sectie bieden een kader om juridische, wettelijke, regelgevende en contractuele inbreuken te voorkomen, en controleren of informatiebeveiliging is geïmplementeerd en effectief is in overeenstemming met de gedefinieerde beleidslijnen, procedures en vereisten van de ISO 27001-norm.
Een nadere beschouwing van deze domeinen leert ons dat het beheren van informatiebeveiliging niet alleen draait om IT-beveiliging (dwz firewalls, antivirus, enz.), maar ook om het beheer van processen, juridische bescherming, beheer van menselijke hulpbronnen, fysieke bescherming, enz.
Wat zijn de ISO 27001-controles?
De ISO 27001-controles (ook bekend als waarborgen) zijn de praktijken die moeten worden geïmplementeerd om risicos terug te brengen tot aanvaardbare niveaus. Controles kunnen technisch, organisatorisch, juridisch, fysiek, menselijk, etc. zijn.
Hoeveel controles zijn er in ISO 27001?
ISO 27001 Annex A somt 114 controles op, georganiseerd in de 14 secties genummerd A.5 tot en met A.18 hierboven vermeld.
Hoe implementeert u ISO 27001-controles?
Technische controles worden voornamelijk geïmplementeerd in informatiesystemen, met behulp van software, hardware en firmwarecomponenten toegevoegd aan het systeem. Bijv. back-up, antivirussoftware, enz.
Organisatorische controles worden geïmplementeerd door regels te definiëren die moeten worden gevolgd en verwacht gedrag van gebruikers, apparatuur, software en systemen. Bijv. Toegangscontrolebeleid, BYOD-beleid, enz.
Juridische controles worden geïmplementeerd door ervoor te zorgen dat regels en verwacht gedrag de wetten, voorschriften, contracten en andere vergelijkbare juridische instrumenten waaraan de organisatie moet voldoen, volgen en afdwingen. Bijv. NDA (geheimhoudingsverklaring), SLA (service level agreement), enz.
Fysieke controles worden voornamelijk geïmplementeerd door apparatuur of apparaten te gebruiken die een fysieke interactie hebben met mensen en objecten. Bijv. CCTV-cameras, alarmsystemen, sloten, enz.
Personeelsbeheer wordt geïmplementeerd door kennis, opleiding, vaardigheden of ervaring te verstrekken aan personen om hen in staat te stellen hun activiteiten op een veilige manier uit te voeren. Bijv. security awareness training, ISO 27001 interne auditor training, etc.
ISO 27001 verplichte documenten
ISO 27001 specificeert een minimumpakket van beleidsregels, procedures, plannen, documenten en andere gedocumenteerde informatie die nodig is om compliant te worden.
ISO 27001 vereist dat de volgende documenten worden geschreven:
En dit zijn de verplichte records:
Natuurlijk kan een bedrijf besluiten om aanvullende beveiligingsdocumenten te schrijven als het het nodig vindt.
Om een meer gedetailleerde uitleg van elk van deze documenten te zien, downloadt u de gratis whitepaper Checklist van verplichte documentatie vereist door ISO 27001 (2013 revisie).
Hoeveel kost ISO 27001 ?
De kosten van de implementatie en certificering van het ISMS zullen afhangen van de omvang en complexiteit van de ISMS-scope, die van organisatie tot organisatie varieert. De kosten zijn ook afhankelijk van de lokale prijzen van de verschillende services die u voor de implementatie gaat gebruiken.
In grote lijnen zijn dit enkele van de kosten waarmee u rekening moet houden:
- Training en literatuur
- Externe hulp
- Technologieën worden bijgewerkt / geïmplementeerd
- inspanning en tijd van medewerkers
- de kosten van de certificeringsinstelling
voor een meer gedetailleerde uitleg van de certificering kosten, download dan de gratis whitepaper Hoe een ISO 27001-implementatieproject te budgetteren.
Wat is “ISO 27001-gecertificeerd”?
Een bedrijf kan voor ISO 27001-certificering gaan door een geaccrediteerde certificeringsinstantie om de certificeringsaudit uit te voeren en, als de audit succesvol is, om het ISO 27001-certificaat aan het bedrijf te verstrekken. Dit certificaat betekent dat het bedrijf volledig voldoet aan de ISO 27001-norm.
Een individu kan voor ISO 27001-certificering gaan door de ISO 27001-training te doorlopen en het examen te halen. Dit certificaat betekent dat deze persoon de juiste vaardigheden heeft verworven tijdens de cursus.
Hoe lang is ISO 27001 geldig voor een keer gecertificeerd?
Zodra een certificeringsinstantie een ISO 27001-certificaat aan een bedrijf afgeeft, is het geldig voor een periode van drie jaar, waarin de certificeringsinstelling controleaudits zal uitvoeren om te beoordelen of de organisatie het ISMS correct onderhoudt, en indien nodig worden verbeteringen tijdig doorgevoerd.
Welke bedrijven zijn ISO 27001 gecertificeerd?
De ISO.org-website biedt een algemeen overzicht van gecertificeerde organisaties, gecategoriseerd per branche, land, aantal sites, enz. U kunt de ISO-enquête via deze link: https://www.iso.org/the-iso-survey.html.
Om te controleren of een bepaald bedrijf ISO 27001-gecertificeerd is, moet u contact opnemen met de certificeringsinstantie, omdat er geen officiële gecentraliseerde database van gecertificeerde bedrijven.
Kan een persoon ISO-gecertificeerd zijn?
Ja, een persoon kan ISO 27001-gecertificeerd worden door een of meer van de volgende trainingen te volgen en te slagen het examen:
- ISO 27001 Lead Implementer-cursus – deze training is bedoeld voor gevorderde beoefenaars en consultants.
- ISO 27001 Lead Auditor-cursus – deze training is bedoeld voor auditors in certificering instanties en voor consultants.
- ISO 27001 cursus interne auditor – deze training is bedoeld voor mensen die interne audits in hun bedrijf zullen uitvoeren.
- ISO 27001 Foundations Course – deze training is bedoeld voor mensen die de basis van de norm willen leren, en de belangrijkste stappen bij de implementatie.
Wat zijn de ISO 27000-normen?
Omdat het de vereisten voor een ISMS definieert, is ISO 27001 de belangrijkste norm in de ISO 27000-familie van normen. Maar omdat het voornamelijk definieert wat nodig is, maar niet specificeert hoe het moet, zijn er verschillende andere informatiebeveiligingsstandaarden ontwikkeld om aanvullende richtlijnen te bieden. Momenteel zijn er meer dan 40 normen in de ISO27k-reeks, en de meest gebruikte zijn de volgende:
ISO / IEC 27000 biedt termen en definities die worden gebruikt in de ISO 27k-reeks van normen.
ISO / IEC 27002 geeft richtlijnen voor de implementatie van controles vermeld in ISO 27001 Annex A. Het kan erg handig zijn, omdat het details geeft over hoe deze controles geïmplementeerd moeten worden.
ISO / IEC 27004 geeft richtlijnen voor het meten van informatiebeveiliging – het past goed bij ISO 27001, omdat het uitlegt hoe te bepalen of het ISMS zijn doelstellingen heeft bereikt.
ISO / IEC 27005 geeft richtlijnen voor risicobeheer voor informatiebeveiliging. Het is een zeer goede aanvulling op ISO 27001, omdat het details geeft over het uitvoeren van risicobeoordeling en risicobehandeling, waarschijnlijk de moeilijkste fase in de implementatie.
ISO / IEC 27017 biedt richtlijnen voor informatiebeveiliging in cloudomgevingen.
ISO / IEC 27018 biedt richtlijnen voor de bescherming van privacy in cloudomgevingen.
ISO / IEC 27031 geeft richtlijnen over waar u op moet letten bij het ontwikkelen van bedrijfscontinuïteit voor informatie- en communicatietechnologieën (ICT). Deze norm vormt een geweldige link tussen informatiebeveiliging en bedrijfscontinuïteit.
Wat is de huidige versie van ISO 27001?
Vanaf de publicatiedatum van dit artikel is de huidige versie van ISO 27001 is ISO / IEC 27001: 2013.
De eerste versie van ISO 27001 is uitgebracht in 2005 (ISO / IEC 27001: 2005), de tweede versie in 2013 en de standaard is voor het laatst herzien in 2019 , toen de versie van 2013 werd bevestigd (dwz er waren geen wijzigingen nodig).
Het is belangrijk op te merken dat verschillende landen die lid zijn van ISO de standaard in hun eigen talen kunnen vertalen door kleine toevoegingen (bijv. , nationale voorwoorden) die de inhoud van de internationale versie van de standaard niet beïnvloeden. Deze versies hebben extra letters om ze te onderscheiden van de internationale norm. NBR ISO / IEC 27001 duidt bijvoorbeeld de Braziliaanse versie aan, terwijl BS ISO / IEC 27001 de Britse versie aanduidt. Deze lokale versies van de norm bevatten ook het jaar waarin ze zijn aangenomen door de lokale normalisatie-instelling, dus de nieuwste Britse versie is BS EN ISO / IEC 27001: 2017, wat betekent dat ISO / IEC 27001: 2013 is aangenomen door de British Standards Institution in 2017.
Wat is het verschil tussen ISO 27001 en 27002?
ISO 27001 definieert de vereisten voor een Information Security Management System (ISMS), terwijl ISO 27002 richtlijnen geeft voor de implementatie van controles uit ISO 27001 Annex A.
Met andere woorden, voor elke controle geeft ISO 27001 slechts een korte beschrijving, terwijl ISO 27002 gedetailleerde richtlijnen geeft.
Wat is het verschil tussen NIST en ISO 27001?
Hoewel ISO 27001 een internationale norm is, is NIST een Amerikaanse overheidsinstantie die meetnormen promoot en onderhoudt in de Verenigde Staten, waaronder de SP 800-serie, een reeks documenten die specificeert best practices voor informatiebeveiliging.
Hoewel ze niet hetzelfde zijn, kunnen de NIST SP 800-serie en ISO 27001 samen worden gebruikt voor implementatie van informatiebeveiliging.
Is ISO 27001 verplicht?
In de meeste landen is de implementatie van ISO 27001 niet verplicht. Sommige landen hebben echter voorschriften gepubliceerd die vereisen dat bepaalde industrieën ISO 27001 implementeren.
Om te bepalen of ISO 27001 al dan niet verplicht is voor uw bedrijf, moet u deskundig juridisch advies inwinnen in het land waar u actief bent.
Wat zijn de ISO 27001-controles?
Publieke en private organisaties kunnen naleving van ISO 27001 als een wettelijke vereiste definiëren in hun contracten en serviceovereenkomsten met hun leveranciers. Verder kunnen landen, zoals hierboven vermeld, wetten of voorschriften opstellen om de goedkeuring van ISO 27001 om te zetten in een wettelijke vereiste waaraan moet worden voldaan door de organisaties die op hun grondgebied actief zijn.
Zie dit artikel voor meer informatie over de EU AVG en waarom deze van toepassing is op de hele wereld.