ISO/ IEC 27001 is een internationaal erkende norm welke eisen stelt voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een informatiebeveiligingsmanagementsysteem (ISMS).

De ISO/ IEC 27001 standaard is ontwikkeld voor informatietechnologie, beveiligingstechnieken en managementsystemen voor informatiebeveiliging. Steeds meer organisaties besluiten om zich te laten certificeren tegen de ISO/ IEC 27001:2013. In dit artikel behandelen we waarom deze organisaties hiervoor kiezen en – veel belangrijker – wat dit ze opbrengt.

De initiële wens om zich te laten certificeren tegen de ISO/ IEC 27001 wordt vaak ingegeven door externe factoren: een klant of een toezichthouder die zekerheid eist over informatiebeveiliging. Dit wordt overigens steeds meer een common practice. In veel aanbestedingstrajecten is het bezit van een ISO/ IEC 27001-certificaat al een knock-outcriterium. Daarnaast geldt ook dat organisaties niet willen achterblijven bij de concurrentie. Een toenemend aantal organisaties beschikt over een ISO/ IEC 27001-certificaat.

De afweging van de bovenstaande factoren leidt vervolgens tot de eerste kennismaking met de standaard en met het fenomeen managementsysteem. De implementatie van een managementsysteem levert over het algemeen in het begin de meeste problemen op. De procesbenadering en de plan-do-check-act cycle blijken in de praktijk lastig implementeerbaar. Deze implementatie begint als een project, maar is eigenlijk nooit af. Continue verbetering, dat is waar het om draait.

Dat is ook hetgeen dat altijd terugkomt als grootste winst: de verplichting om continu te verbeteren. Dat betekent dat het managementsysteem de juiste informatie moet geven over de status van de informatiebeveiliging, zodat er geleerd kan worden van fouten en er bijgestuurd kan worden. Dat betekent dat er gemonitord moet kunnen worden. En dat betekent standaardisatie in de uitvoering van processen, documentatie van afspraken en training. Dat leidt tenslotte tot efficiëntieverbetering, een voordeel dat niemand vooraf had bedacht, integendeel!

Heeft u interesse in het behalen van een ISO/ IEC 27001 certificering?

Wilt u uw organisatie laten certificering naar de ISO/ IEC 27001:2013 norm of een andere norm ? Dan bent u bij QMS International aan het juiste adres. Neem vrijblijvend contact met ons op voor het bespreken van de mogelijkheden.