De ISO 27001-norm is een internationale norm voor informatiebeveiligingssystemen. Een systeem voor informatiebeveiliging beschermt de vertrouwelijkheid, de integriteit en de beschikbaarheid van informatie door een risicobeheersproces toe te passen. Daarnaast geeft belanghebbenden het vertrouwen dat risico´s worden beheerd. Een managementsysteem voor informatiebeveiliging wordt ook wel een information security management system genoemd (ISMS).
De ISO 27001-norm bestaat uit twee delen. Het eerste deel is de normbeschrijving die net als de andere ISO-normen een vast aantal onderwerpen behandelt. Het tweede deel van de ISO-27001 norm is een bijlage met maatregelen om in overweging te nemen bij het vaststellen van beheersmaatregelen om informatiebeveiligingsrisico’s te beheersen.
Een managementsysteem dat voldoet aan de ISO 27001-norm is gebaseerd op inzicht in de informatiebeveiligingsrisico’s, een classificatie van de informatiestromen, en een juiste set aan maatregelen om de informatiebeveiligingsrisico’s te beheersen.
Wij stellen we samen met u een inventarisatie op van de verschillende informatiestromen binnen de organisatie. Hierbij brengen we de risico’s in kaart. Van hieruit bekijken we wat de benodigde maatregelen zijn om deze risico’s te beheersen.
Als rode draad door het managementsysteem voor informatiebeveiliging loopt de Plan-Do-Check-Act cirkel. Er wordt continu gewerkt aan het verbeteren van de veiligheid van informatiestromen- en systemen.
Een managementsysteem voor informatiebeveiliging is een manier om onszelf continu de vraag te stellen of we nog voldoen aan de eisen van de stakeholders, de van toepassing zijnde wet- en regelgeving en de afspraken die we intern hebben gemaakt. Daarbij is sinds kort in de norm ook opgenomen dat er aandacht moet zijn voor de context van de organisatie (denk aan belanghebbenden, ontwikkelingen in de markt of maatschappij etcetera).
De meest recente versie van de norm is de ISO 27001:2013. Dit is ook de enige versie waartegen gecertificeerd kan worden. De ISO 27001:2013 is een norm volgens de nieuwe High Level Structure van ISO. Steeds meer ISO-normen krijgen vorm naar de High Level Structure (HLS).
Dit betekent dat er een “plug-in model” ontstaat: in de basis krijgen alle ISO-normen eenzelfde structuur waardoor je voor de uitwerking van een nieuwe specifieke norm eenvoudig kunt “inpluggen”. Een hele vooruitgang voor organisaties die zich certificeren tegen meerdere ISO-normen! Voor organisaties die zich oriënteren op de implementatie van een ISO-norm betekent dit dat de keuze om naast een managementsysteem voor informatiebeveiliging bijvoorbeeld ook een kwaliteitsmanagementsysteem te bouwen eerder wordt gemaakt. De basis voor beide systemen wordt immers maar één keer ontworpen.
