ISO 27001 Normering

ISO 27001 is de internationale standaard betreft informatiebeveiliging. Een bedrijf in het bezit van een ISO 27001 certificaat laat zien dat het voldoende maatregelen neemt om gevoelige informatie te beschermen. Klanten en relaties willen de zekerheid hebben dat er accuraat met hun gegevens wordt omgegaan.

Binnen de ISO 27001 normering zijn er geen wettelijke eisen gesteld aan de mate van beveiliging. U kunt zelf bepalen hoe hoog u de lat legt. De certificering op zichzelf geeft dus geen garantie dat er geen veiligheidsrisico's bestaan, maar het is het enige harde bewijs dat u kunt leveren om te laten zien dat u er als bedrijf serieus mee bezig bent. Sommige bedrijven stellen daarom zelfs als eis dat de organisatie waar zij klant worden ISO gecertificeerd is.

Om een ISO 27001 certificering te krijgen, moet procesmatig worden beschreven hoe informatiebeveiliging wordt vastgesteld, geïmplementeerd, uitgevoerd, bewaakt, onderhouden en verbeterd. Hierbij staan de volgende vragen centraal: Wat zou er kunnen gebeuren? En hoe erg zou dit zijn? Wat voor de ene organisatie een ramp is, kan voor een andere organisatie geen enkel probleem opleveren. De praktijk laat zien dat bedrijven die zelf aan de slag gaan met de ISO normering, in hun enthousiasme alles willen beveiligen wat los en vast zit. Dit levert onnodig veel kosten en werk op. Het kan dus lonen om dit (gedeeltelijk) uit handen te geven.