ISO 27001 is de internationale norm waarin de vereisten voor een managementsysteem voor informatiebeveiliging (ISMS) zijn vastgelegd. Voor elke organisatie – ongeacht omvang of sector – biedt ISO 27001 een solide basis voor een uitgebreide informatie- en cyberbeveiligingsstrategie. Het schetst een kader van best practises om risico’s te beperken en bedrijf kritische informatie te beveiligen door middel van identificatie, analyse en uitvoerbare controles. Het opnemen van ISO 27001 in een breder geïntegreerd managementsysteem is een ideale manier om ervoor te zorgen dat informatiebeveiliging als strategisch aandachtsgebied in de organisatie wordt verankerd.
ISO 27001 met ISO 9001 integreren
Dankzij Annex SL (of Bijlage SL) is het makkelijker geworden om ISO 27001 en ISO 9001 te integreren. Beide normen hebben een vergelijkbare structuur en richten zich op interne en externe aspecten – zij het vanuit verschillende invalshoeken.
De integratie van de eisen van beide normen in één systeem zorgt ervoor dat de processen van de organisatie op elkaar zijn afgestemd. De overeenkomsten tussen de normen bieden ook de mogelijkheid om de implementatie te versnellen en de middelen efficiënter te gebruiken. Voor elke norm verschillen de specifieke eisen. Als voorbeeld kunnen de volgende gemeenschappelijke gebieden echter worden aangepakt met dezelfde processen en systemen; dit leidt tot verschillende resultaten:
- Stakeholders Verantwoordelijkheden
- Systeem voor documentenbeheer
- Interne audit & managementbeoordeling
- Systemen voor non-conformiteiten en corrigerende maatregelen
Specifieke informatiebeveiligingsrisico’s beheren
Afhankelijk van het risicoprofiel van een organisatie bieden andere normen en richtlijnen de mogelijkheid het systeem uit te breiden om meer specifieke bedreigingen aan te pakken. ISO 27001 maakt deel uit van de ISO 27000-normenreeks. Binnen de ISO 27000-reeks bestaan diverse andere normen en richtlijnen, die een uitbreiding vormen op ISO 27001.
Deze aanvullende normen en richtlijnen beschrijven controles met betrekking tot gebieden zoals privacy en gegevensbescherming (ISO 27701, ISO 27018) en cloudbeveiliging (ISO 27017). Naleving van aanvullende normen zoals deze versterkt het informatiebeveiligingselement van een geïntegreerd systeem. Het zorgt voor een robuustere en uitgebreidere aanpak van het risicomanagement.
Het is ook gebruikelijk dat organisaties hun geïntegreerde systeem uitbreiden met bedrijfscontinuïteit (ISO 22301) en, indien relevant, IT-servicemanagement (ISO 20000-1).
Wilt u meer weten over ISO 27001?
Op onze website vindt u meer informatie over ISO 27001, waaronder artikelen van experts, whitepapers, en een gratis Self Assessment Tool. Bezoek lrqa.com/nl voor meer informatie of neem vrijblijvend contact met ons op. Onze experts helpen u graag verder!