Voor alle organisatie die willen aantonen dat zij een set van maatregelen, processen en procedures hanteren om aan stakeholders (zoals bijvoorbeeld klanten, leveranciers, belangenverenigingen, brancheorganisatie) te laten zien dat zij serieus met informatiebeveiliging omgaan. Dit kunnen ICT bedrijven zijn, maar ook banken, verzekeraars, overheid, zorginstellingen en andere bedrijven die met vertrouwelijke informatie omgaan, bewerken of opslaan.
Nadat de eerste externe audit met goed gevolg is afgelegd, wordt de organisatie voorgedragen voor certificering. Als het ingediende rapport van de auditor vervolgens wordt goedgekeurd, krijgt de organisatie het ISO 27001 certificaat voor een periode van 3 jaar uitgereikt. In die drie jaar zullen jaarlijks wel opvolgaudits plaatsvinden om te controleren of de organisatie nog voldoet aan de eisen vanuit de ISO 27001 norm. Na drie jaar zal wederom een uitgebreide audit plaatsvinden, waarna het ISO 27001 certificaat wederom voor 3 jaar zal worden verstrekt.
Een interne audit is een eigen controle op je ISO 27001 managementsysteem. Door middel van deze interne audit controleer je zelf of je:
1. aan de eisen van de ISO 27001 norm voldoet
2. aan de eisen die de organisatie zichzelf heeft opgelegd, voldoet.
Hoe een interne audit uitgevoerd moet worden, wie dat moet doen, wat je tijdens zo’n interne controle moet vastleggen en wanneer een interne audit uitgevoerd moet worden staat beschreven in de ISO 27001:2013 norm. Om goed intern te kunnen auditen hebben wat kennis en ervaring nodig. Als je namelijk niet uitgelegd krijgt hoe je dit exact moet doen, loop je de kans dat je niet de juiste zaken controleert en dat je er onnodig veel tijd aan kwijt bent.
ISMS staat voor Information Security Management System en is de vastlegging van de complete set van maatregelen, processen en procedures. Deze complete set is dus de manier / methode hoe een organisatie met informatiebeveiliging omgaat. Deze methode moet ook rekening houden hoe de organisatie van zichzelf leert zodat ze zich continu kunnen verbeteren
Een ISO 27001 procedure is een vastgelegde manier van werken die door de ISO 27001 norm geëist wordt. De ISO 27001 norm schrijft niet voor hoe een procedure vastgelegd moet worden. Je bent als organisatie dus vrij om hier zelf invulling aan te geven. Je kan een ISO 27001 bijvoorbeeld uitwerken door middel van en stroomschema, blokdiagram, geschreven tekst of een combinatie hiervan.
Hoe schrijven wij een ISO 27001 procedure?
Onze voorkeur gaat om verschillende redenen uit naar een geschreven ISO 27001 procedure. Wij kiezen voor deze wijze van vastlegging om verschillende redenen. In onze ervaring zijn deze ISO 27001 procedures makkelijk door iedereen te lezen en te begrijpen, is het simpel om deze procedures aan te passen en bovendien kan je in deze geschreven ISO 27001 procedures makkelijk aanvullende informatie kwijt, waarvan de organisatie het van belang vindt dat dit vastgelegd en nagekomen wordt.
NEN 7510 en ISO 27001 gaan beiden over informatiebeveiliging. De reikwijdte van certificatie wordt bepaald door het type informatie: wel of niet zorg gerelateerd. Afhankelijk van het type informatie waar toeleveranciers mee te maken hebben, kunnen zij zich dus NEN 7510 en/of ISO 27001 laten certificeren.
NEN 7510 certificering: Als de focus van de organisatie ligt op de zorgbranche;
ISO 27001 & NEN 7510 certificering: Als informatiebeveiliging aangetoond moet worden aan organisaties buiten de zorgsector, maar ook met zorgklanten wordt gewerkt;
ISO 27001 certificering: Als er voornamelijk voor organisaties buiten de zorg wordt gewerkt.
NEN 7510 (toegespitst op informatiebeveiliging in de zorg) wordt genoemd in artikel 2 van de AMvB die behoort bij de Wet voor het gebruik van het BSN in de zorg. Hierdoor heeft NEN 7510 een verplichtend karakter. De verplichting voor de zorginstellingen bestaat uit het feit dat bij het leveren van verantwoorde zorg de patiëntgegevens op adequate wijze moeten worden beveiligd en
NEN 7510 hiervoor een aangewezen middel kan zijn. Informatiebeveiliging valt daarmee onder het toezicht van de Inspectie Gezondheidszorg en Jeugd (IGJ). IGJ neemt NEN 7510 ter hand bij het toetsen of zorginstellingen de juiste maatregelen treffen voor het invoeren en handhaven van adequate informatiebeveiliging
De primaire doelgroep van NEN 7510 zijn zorginstellingen. Zij kunnen zich laten certificeren tegen NEN 7510. Maar toeleveranciers die met patiënteninformatie te maken hebben, kunnen zich ook laten certificeren tegen NEN 7510. Als deze toeleveranciers eveneens te maken hebben met andersoortige informatie, zoals financiële gegevens, dan kunnen zij zich ook nog laten certificeren tegen ISO 27001 ‘Informatietechnologie – Beveiligingstechnieken – Managementsystemen voor informatiebeveiliging – Eisen’.
