ISO 27001 Certificering

De Nederlandse economie heeft een scala aan innovaties aan de wereld geleverd. Nederlandse ondernemers denken misschien dat dit door de volatiliteit van de economie na de pandemie en diverse regeringswisselingen niet meer mogelijk is. Bedrijven moeten zich inspannen om hun klantgegevens en hun eigen bedrijfsgeheimen te beschermen. ISO 27001-certificering biedt Nederlandse bedrijven de mogelijkheid om de ketenen van economische onzekerheid te doorbreken.

U kunt een audit van uw ISMS aanvragen volgens de huidige norm ISO 27001:2022. Onze auditteams voeren audits uit in de meeste rechtsgebieden wereldwijd. De ISO 27001-auditors inspecteren uw informatiebeveiligingsmanagementsysteem in meer dan 7 verschillende talen (Engels, Duits, Nederlands, Spaans, Frans, Turks en Pools). Vraag nu een ISO 27001-certificering aan! Is uw hoofdkantoor gevestigd in Nederland, Europa, de VS/Canada, Afrika of Azië? Certificeringsaudits zijn in veel regio’s mogelijk.

Reserveer uw plek voor de certificering door een offerte aan te vragen.

Certificeringsgebieden volgens ISO 27001

Binnen de ISO 27000-norm is de belangrijkste kernnorm ISO 27001, die de vereiste certificering is voor elk type add-on (bijv. ISO 27018, ISO 27701, ISO 27090, ISO 27091). Als uw organisatie nog nooit een audit heeft ondergaan en u uw ISMS pas recent hebt geïntroduceerd, richt u zich dan op de ISO 27001-certificering. Zodra uw ISMS een aanzienlijke mate van volwassenheid heeft bereikt, kunt u uw ISO 27001-certificaat uitbreiden met specialistische certificeringen (bijv. ISO 27018 voor cloudserviceproviders).

ISO 27001
Geel netwerkkabels aangesloten op een switch, illustrerend de infrastructuur voor cloudbeveiliging en informatiebeveiliging, relevant voor ISO 27018 certificering.
Informatiebeveiliging

ISMS: Implementeer een beheersysteem om de gegevens in uw bedrijf te beschermen met een gecertificeerd informatiebeveiligingssysteem.

Learn more about ISO 27001
ISO 27018
Abstract digitale netwerkvisualisatie met bollen en verbindingslijnen, symboliserend informatiebeveiliging en cloudtechnologie, relevant voor ISO 27001 en ISO 27018 certificering.
Cloudbeveiliging

CSMS: Informatiebeveiliging in de cloud is een zeer belangrijk onderwerp. Deze niche is blootgesteld aan unieke bedreigingen en heeft al diverse schandalen meegemaakt.

Learn more about ISO 27018
ISO 27701
Man in een pak die een creditcard boven een betaalterminal houdt, met het scherm dat instructies toont voor het inbrengen of swipen van de kaart, relevant voor informatiebeveiliging in financiële transacties.
PI-beveiligingsbeheer

PIMS: Het beschermen van de gegevens van uw klanten tegen misbruik is cruciaal voor sociale media en e-commerceplatforms.

Learn more about ISO 27701
Reserveer uw plek voor de certificering door een offerte aan te vragen.

What is ISO 27001?

De Internationale Organisatie voor Standaardisatie (afgekort: ISO) introduceerde de ISO 27001-norm om organisaties te helpen bij het opzetten en beheren van een managementsysteem dat gericht is op de bescherming van alle soorten informatie. Deze informatie kan digitaal (op schijven, cd’s, in de cloud, enz.) of analoog (op papier, op tekeningen, productontwerpschetsen) zijn.

De ISO 27001:2022-norm heeft de volgende structuur:

  1. Inleiding – de norm beschrijft een proces voor het systematisch beheren van informatierisico’s.
  2. Toepassingsgebied – de norm specificeert algemene ISMS-vereisten die geschikt zijn voor organisaties van elk type, elke omvang en elke aard.
  3. Normatieve referenties – alleen ISO/IEC 27000 wordt beschouwd als absoluut essentiële literatuur voor gebruikers van ISO 27001.
  4. Termen en definities – zie ISO/IEC 27000.
  5. Context van de organisatie – inzicht in de context van de organisatie, de behoeften en verwachtingen van belanghebbenden en het definiëren van het toepassingsgebied van het ISMS. Paragraaf 4.4 stelt heel duidelijk dat “de organisatie het ISMS moet opzetten, implementeren, onderhouden en continu verbeteren”, wat betekent dat het operationeel moet zijn, niet slechts ontworpen en gedocumenteerd.
  6. Leiderschap – het topmanagement moet leiderschap en betrokkenheid tonen ten aanzien van het ISMS, beleid vaststellen en rollen, verantwoordelijkheden en bevoegdheden op het gebied van informatiebeveiliging toewijzen.
  7. Planning – beschrijft het proces voor het identificeren, analyseren en plannen van de aanpak van informatierisico’s, het verduidelijken van de doelstellingen van informatiebeveiliging en het beheren van ISMS-wijzigingen.
  8. Ondersteuning – er moeten voldoende en bekwame resources worden toegewezen, bewustwording moet worden gecreëerd en documentatie moet worden opgesteld en beheerd.
  9. Uitvoering – meer details over het beoordelen en aanpakken van informatierisico’s, het beheren van wijzigingen en het documenteren van zaken (deels zodat deze kunnen worden gecontroleerd door de certificeringsauditors).
  10. Prestatie-evaluatie – het monitoren, meten, analyseren en evalueren/auditeren/beoordelen van de informatiebeveiligingsmaatregelen, -processen en het managementsysteem, en waar nodig systematisch verbeteren.
  11. Verbetering – het aanpakken van de bevindingen van audits en evaluaties (bijv. non-conformiteiten en corrigerende maatregelen) en het systematisch verfijnen van het ISMS.
Reserveer uw plek voor de certificering door een offerte aan te vragen.
Persoon die op een laptop typt, met notitieboek en koffie, illustratief voor leerlinggerichte aanpak in onderwijs en ISO 21001-certificering.

Why can an ISO 27001 certification be beneficial to you?

Wanneer een organisatie besluit om ISO 27001-gecertificeerd te worden, begint zij aan een traject om haar ISMS-documentatie op te bouwen en alle medewerkers binnen het bedrijf voor te bereiden op de implementatie van de nieuwe beveiligingsmaatregelen. Hierdoor bereiken de organisatieprocessen een hogere mate van volwassenheid. Na een succesvolle afronding van de certificeringsaudit zal het ISO 27001-certificaat de volgende positieve aspecten aan de buitenwereld tonen:

  • Betere informatiebeveiliging
  • Regelmatige beveiligingsverbeteringen
  • Grotere betrouwbaarheid
  • Grotere betrouwbaarheid
  • Lagere risico’s voor klantactiva en intellectueel eigendom

Daarnaast ervaart een organisatie ook de volgende interne verbeteringen:

  • De informatiestroom binnen het bedrijf is veilig en efficiënt
  • Informatie is altijd beschikbaar en betrouwbaar
  • Verlies, diefstal, misbruik en manipulatie van gegevens is minder waarschijnlijk
  • Alleen bevoegde personen hebben toegang tot vertrouwelijke gegevens
  • Betere naleving van wet- en regelgeving en contractuele verplichtingen
Reserveer uw plek voor de certificering door een offerte aan te vragen.

Wat is er nodig voor ISO 27001:2022-certificering?

De ISO 27001:2022-norm vereist dat de ISMS-documentatie aan de volgende 14 punten voldoet om een ​​certificaat te kunnen afgeven:

  1. ISMS-scope (conform clausule 4.3)
  2. Informatiebeveiligingsbeleid (clausule 5.2)
  3. Proces voor informatie-risicobeoordeling (clausule 6.1.2)
  4. Proces voor de behandeling van informatie-risico’s en de Verklaring van Toepasselijkheid (clausule 6.1.3)
  5. Informatiebeveiligingsdoelstellingen (clausule 6.2)
  6. Bewijs van de competentie van de mensen die werkzaam zijn in informatiebeveiliging (clausule 7.2)
  7. Andere ISMS-gerelateerde documenten die door de organisatie noodzakelijk worden geacht (clausule 7.5.1b)
  8. Documenten voor operationele planning en controle (clausule 8.1)
  9. De resultaten van de risicobeoordeling, d.w.z. de beoordeelde risico’s (clausule 8.2)
  10. De beslissingen inzake risicobehandeling (clausule 8.3)
  11. Bewijs van de monitoring en meting van informatiebeveiliging (clausule 9.1)
  12. Het interne auditprogramma van het ISMS en de resultaten van uitgevoerde audits (clausule 9.2).
  13. Bewijs van managementbeoordelingen van het ISMS (clausule 9.3)
  14. Bewijs van geconstateerde afwijkingen en daaruit voortvloeiende corrigerende maatregelen (clausule 10.1)

Op welke manier zal de verklaring van toepasselijkheid het auditplan beïnvloeden?

Onze auditteams volgen een auditplan dat rekening houdt met de specifieke sector en het bedrijfsmodel van uw organisatie. De naleving van uw ISMS wordt beoordeeld aan de hand van de verschillende hoofdstukken en onderdelen van Bijlage A. Om een ​​goede audit te kunnen uitvoeren, is het noodzakelijk dat de auditcliënt medewerkers aanwijst die vragen kunnen beantwoorden met betrekking tot onderdelen van het auditplan. Een voorbeeld hiervan is de firewallbeheerder voor de beveiligingsmaatregelen met betrekking tot toegangscontrole. Tijdens de audit zal de hoofdauditor de informatiebeveiligingsfunctionaris van de organisatie vragen om ervoor te zorgen dat de firewallbeheerder beschikbaar is voor de sessie over toegangscontrole.

Een organisatie moet haar verklaring van toepasbaarheid (Statement of Applicability, SoA) regelmatig herzien om te bepalen welke beheersmaatregelen noodzakelijk zijn. Auditors zullen de SoA beoordelen en met name controles die als niet van toepassing zijn aangemerkt, bevragen. De controles die als van toepassing zijn gemarkeerd, zullen ook worden gecontroleerd, maar op een andere manier.

Reserveer uw plek voor de certificering door een offerte aan te vragen.

Wat zijn de kosten van de audit en de ISO 27001:2022-certificering?

De kosten van een ISO 27001:2022-certificeringsproces zijn afhankelijk van de omvang en het risicoprofiel van de organisatie. De ISO 27006-norm geeft een gemiddeld aantal auditdagen aan voor een organisatie met een gemiddeld risico en een bepaald aantal medewerkers. Onze auditcalculatoren beoordelen de verwachte audittijd in relatie tot bedrijfsspecifieke parameters. Sommige factoren maken een verkorting van de auditduur mogelijk en daarmee een positieve verlaging van de auditkosten.

Wanneer risico’s een diepere audit vereisen, moet hiervoor extra tijd in het auditplan worden ingepland. Dit verhoogt de audittijd en de bijbehorende kosten. Daarnaast brengt reizen naar de operationele locaties van de klant extra reiskosten met zich mee voor de klantorganisatie. De ISO-norm staat toe dat tot 30% van de audit op afstand wordt uitgevoerd. Indien de bedrijfsstructuur (thuiswerken) of de situatie (bijv. een pandemie) een volledig audit op afstand vereist, dient de certificeringsinstantie hiervoor toestemming te verkrijgen van de betreffende accreditatie-instantie. Audits op afstand vermijden reiskosten en zijn doorgaans ideaal voor “virtuele organisaties” (bijvoorbeeld teams die volledig vanuit huis werken).

Aantal personen dat werkzaamheden verricht onder de controle van de organisatie. Auditduur van het ISMS-systeem voor de eerste audit (auditordagen)
1~10 5
11~15 6
16~25 7
26~45 8,5
46~65 10

Bovenstaande tabel is gebaseerd op het ISO 27006-standaarddocument (tabel B1).

Reserveer uw plek voor de certificering door een offerte aan te vragen.

ISO 27001-certificering in Nederland

Een breed scala aan bedrijven in Nederland behaalt geleidelijk aan een ISO 27001-certificaat. Vaak wordt verwacht dat alleen grote ondernemingen de kern van de implementatie vormen, maar dat is niet het geval. Ook kleine en middelgrote bedrijven gebruiken ISO 27001 om zich te onderscheiden van de concurrentie. Bedrijven voelen de druk van NIS 2 en stimuleren daarom de implementatie in hun hele toeleveringsketen. Wanneer een lokaal bedrijf een offerte wil indienen, zal het steeds vaker zien dat een ISO 27001-certificaat een belangrijke voorwaarde is voor deelname.

Het feit dat zoveel kleine bedrijven nog steeds geen ISO 27001-certificering behalen, komt doordat ze de kosten van een audit en certificering door een geaccrediteerde certificeringsinstantie niet kunnen dragen. Dat zou niet zo moeten zijn. Lokale bedrijven bieden ongeveer 70% van de banen in Nederland. Daarom heeft Stratlane een speciaal programma voor lokale bedrijven met minder dan 15 werknemers in Nederland.

Veelgestelde vragen over ISO 27001-certificering

De kosten van uw ISO 27001-certificering worden berekend op basis van de omvang en het risicoprofiel van uw organisatie. De offerte bevat een vast tarief en een schatting van het aantal auditdagen. Dit stelt u in staat uw certificeringsproject beter te budgetteren.

De kosten van de certificering zijn afhankelijk van:

de totale omvang van uw organisatie
de sector waarin u actief bent
het aantal vestigingen en de specifieke activiteiten die daar plaatsvinden
het risicoprofiel van uw organisatie

U krijgt een accountmanager toegewezen die de eerste fase van uw traject naar het ISO 27001-certificaat coördineert. Deze persoon stelt een vaste prijsopgave voor u op en verzamelt de belangrijkste details van de gewenste certificeringsomvang.

De hoofdauditor plant vervolgens een telefonisch gesprek van 1-2 uur met u in om te controleren of alle aspecten van uw SIK-profiel in overweging zijn genomen en of de structuur van het auditplan aansluit op de beschikbaarheid van de belangrijkste personen binnen uw organisatie.

Nadat u de audit heeft afgerond, houdt de accountmanager u op de hoogte terwijl de auditdocumentatie wordt verwerkt door het compliance-team van de certificeringsinstantie. Na een positieve beoordeling wordt het ISO 27001-certificaat aan u uitgereikt.

We helpen u ook te begrijpen hoe u het certificaat en de bijbehorende logo's het beste kunt gebruiken om conflicten met de ISO-regels te voorkomen.

De accreditatie van Stratlane is een belangrijk onderdeel van de zekerheid die we kunnen bieden aan degenen die op u vertrouwen door op uw certificaat te vertrouwen.

Onze geaccrediteerde ISO 27001-certificaten bevatten niet alleen uw logo, maar ook het logo van de accreditatie-instantie en de betreffende accreditatieverenigingen.

Let's Get Your Company Certified!

Make use of our certification services so that your businesss gains the competitive advantage of having accredited ISO certifications.