ISO 27001 / NEN 7510 Implementatie begeleiding

ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. Met een ISO 27001 certificering laat u zien dat uw organisatie voldoet aan alle eisen rondom informatiebeveiliging. Voor uw organisatie betekent dit dat u de informatiebeveiliging goed op orde heeft. Het is niet alleen van belang om te voldoen aan de wet- en regelgeving, maar u kunt ook bij uw klanten aantonen dat hun gegevens bij uw organisatie veilig zijn. Dit onderwerp is sinds de invoering van de AVG alleen nog maar belangrijker geworden. Zo kunt u met een ISO certificaat extra commercieel voordeel behalen!

Al sinds 2002 zijn wij betrokken bij certificeringsprojecten voor ISO 27001 / NEN 7510. Op basis van deze jarenlange ervaring en expertise op gebied van certificering en informatiebeveiliging heeft inTECHrity een ‘best practice aanpak’ ontwikkeld. Met dit praktische stappenplan kunnen we uw certificeringsproject begeleiden, van opzet tot uiteindelijke certificering.

Onze best practice aanpak

Primair gaat een ISO 27001 / NEN 7510 certificering over het Information Security Management System (ISMS). Om tot deze certificering te komen, moet een aantal stappen worden doorlopen. Hieronder vindt u een korte uitleg van onze aanpak.

1. Management Support

Commitment van het management is een randvoorwaarde. Daarom moet het management als start de onderliggende business case voor de ISO 27001 certificering accorderen.

2. Bepaal ISMS scope

De scope van het project moet worden bepaald en vastgelegd. Dit is de omgeving waarop de ISO 27001 certificering van toepassing is.

3. Business Impact Analyse (BIA)

Op basis van de scope bepaalt de business welke onderdelen impact hebben als de Beschikbaarheid, Integriteit en/of Vertrouwelijkheid (BIV) van informatie wordt geschaad.

4. Risk Assessment (RA)

Uit de BIA blijkt over welke onderdelen een risicoanalyse moet worden uitgevoerd. Voor deze onderdelen wordt geanalyseerd aan welke mogelijke risico’s zij worden blootgesteld.

5a. Voorbereiden Verklaring van Toepasselijkheid

Op basis van het risicoprofiel moet de verklaring van toepasselijkheid (Statement of Applicability (SoA)) worden samengesteld. De SoA geeft weer welke controls vanuit het ISO 27001 normenkader wel of niet toepasselijk zijn voor de organisatie.

5b. Voorbereiden Risico Behandeling Plan

Op basis van de toepasselijk verklaarde controls wordt een Risk Treatment Plan opgesteld. Hierin staat welke maatregelen moeten worden geïmplementeerd om het gerelateerde risico te minimaliseren.

6. Ontwikkel ISMS Uitvoeringsprogramma

Het Risk Treatment Plan leidt tot de definitie van een programma, waarin verschillende “treatments” worden samengevoegd tot deelprojecten, die vanuit dit programma worden bestuurd.

7. Projecten

De verschillende deelprojecten worden vanuit het ISMS Uitvoeringsprogramma uitgevoerd.

8. Pre-certificering assessment

Na de afronding van de verschillende deelprojecten, moeten de risico minimaliserende maatregelen worden getoetst aan de praktijk.

9. Certificering Audit

Als het assessment succesvol is afgerond, dan is de organisatie klaar voor de officiële audit. De Certificering Audit bestaat meestal uit twee hoofd audits:

  • Documentatie Audit De externe auditor richt zich primair op de aanwezige documentatie omtrent ISO 27001.
  • Implementatie Audit De externe auditor richt zich primair op de invulling van de beschreven invulling van ISO 27001 in de staande organisatie.

Wilt u uw organisatie laten certificeren?

In ISO 27001 zijn eisen aan informatiebeveiliging vastgelegd. Wilt u het ISO 27001 certificaat voor uw organisatie behalen? Dan dient u aan deze eisen te voldoen. Wij helpen u aan de hand van onze best practice aanpak om maatregelen binnen uw organisatie te implementeren om aan deze eisen te voldoen.

Onze ervaring heeft geleerd dat voor alle organisaties de te doorlopen stappen hetzelfde zijn. Maar de doorlooptijden en de hoeveelheid te verzetten werk zijn natuurlijk afhankelijk van de te certificeren organisatie. Denk hierbij bijvoorbeeld aan de grootte van de organisatie, het aantal locaties en de mate waarin de processen op orde zijn.

In de meeste gevallen kunt u binnen zes tot negen maanden gecertificeerd zijn. Maar vaak zijn de kosten behoorlijk hoog en werpt dit voor u een behoorlijke drempel op. Om deze drempel bij u weg te nemen, werken wij bij inTECHrity met een abonnementsstructuur.

Meer informatie

Wilt u meer weten over de mogelijkheden van een certificeringsproject door inTECHrity? Neemt u dan vooral contact met ons op. U kunt ons bellen op nummer 085 130 1281.

s

ISO 27001 voor salarisverwerking

Bent u gespecialiseerd in salarisverwerking? inTECHrity hanteert een speciaal tarief als u uw salarisverwerkingsproces wilt certificeren. Lees snel verder!

Aanmelden

Middels het invullen van uw naam en e-mailadres kunt u zich aanmelden voor dit event

Bedankt voor uw aanmelding. Wij informeren u binnenkort over de definitieve locatie.