ISO 27701 Certificering

U kunt een audit van uw ISMS aanvragen volgens de huidige norm ISO 27001:2022 in combinatie met ISO 27701:2019. Onze auditteams voeren audits uit in de meeste rechtsgebieden wereldwijd. De informatiebeveiligingsauditors inspecteren uw informatiebeveiligingsmanagementsysteem (ISMS) en het bijbehorende privacyinformatiemanagementsysteem (PIMS) in meer dan 7 verschillende talen (Engels, Duits, Nederlands, Spaans, Frans, Turks en Pools). Vraag nu een uitgebreide ISO 27001-certificering aan (inclusief ISO 27701-audit)! Is uw hoofdvestiging gevestigd in de VS, Europa, Afrika of Azië? Certificeringsaudits zijn mogelijk in vele regio’s.

Wie heeft een ISO 27701-certificaat nodig?

Als uw organisatie gegevens verwerkt die aan een persoon kunnen worden gekoppeld, is het wellicht verstandig om een ​​ISMS (Information Security Management System) te implementeren. Traditioneel zou men eerst een ISO 27001-certificering behalen. Omdat de eisen voor platformaanbieders en dienstverlenende organisaties steeds strenger worden, is een ISO 27001:2022-certificaat niet langer voldoende. Verschillende rechtsgebieden verwachten steeds vaker dat het ISMS ook is aangepast om persoonsgegevens te beschermen. Bedrijven die sociale mediaplatforms, e-commercewebsites, SaaS-platforms en zelfs online marktplaatsen beheren, streven daarom naar een ISO 27701-certificering als upgrade van hun ISO 27001-certificaat. De volgende organisaties hebben daarom bij voorkeur een PIMS (Personal Information Management System) volgens ISO 27701 nodig:

Reserveer uw plek voor de certificering door een offerte aan te vragen.

Certificeringsgebieden volgens ISO 27001

Binnen de ISO 27000-norm is de belangrijkste kernnorm ISO 27001, die de vereiste certificering is voor elk type add-on (bijv. ISO 27018, ISO 27701, ISO 27090, ISO 27091). Als uw organisatie nog nooit een audit heeft ondergaan en u uw ISMS pas recentelijk hebt geïntroduceerd, richt u zich dan op de ISO 27001-certificering. Zodra uw ISMS een aanzienlijke mate van volwassenheid heeft bereikt, kunt u uw ISO 27001-certificaat uitbreiden met specialistische certificeringen (bijv. ISO 27018 voor cloudserviceproviders).

ISO 27001
Geel netwerkkabels aangesloten op een switch, illustrerend de infrastructuur voor cloudbeveiliging en informatiebeveiliging, relevant voor ISO 27018 certificering.
Information Security

ISMS: Implementeer een beheersysteem om de gegevens in uw bedrijf te beschermen met een gecertificeerd informatiebeveiligingssysteem.

Leer meer over ISO 27001
ISO 27018
Abstract digitale netwerkvisualisatie met bollen en verbindingslijnen, symboliserend informatiebeveiliging en cloudtechnologie, relevant voor ISO 27001 en ISO 27018 certificering.
Cloud Security

CSMS: Informatiebeveiliging in de cloud is een zeer belangrijk onderwerp. Deze niche is blootgesteld aan unieke bedreigingen en heeft al diverse schandalen meegemaakt.

Leer meer over ISO 27018
ISO 27701
Man in een pak die een creditcard boven een betaalterminal houdt, met het scherm dat instructies toont voor het inbrengen of swipen van de kaart, relevant voor informatiebeveiliging in financiële transacties.
PI Security Management

PIMS: Het beschermen van de gegevens van uw klanten tegen misbruik is cruciaal voor sociale media en e-commerceplatforms.

Leer meer over ISO 27701
Reserveer uw plek voor de certificering door een offerte aan te vragen.

Wat is ISO 27701?

De Internationale Organisatie voor Standaardisatie (afgekort: ISO) introduceerde de ISO 27701-norm om organisaties te helpen bij de bescherming van persoonsgegevens die worden verwerkt door de menselijke en technische middelen van die organisatie. Auditors willen er zeker van zijn dat een privacy-informatiebeheersysteem (PIMS) daadwerkelijk is opgezet en op een congruente manier functioneert. Een PIMS helpt het management de bescherming van persoonsgegevens te waarborgen. Dergelijke gegevens kunnen digitaal (op schijven, cd’s, in de cloud, enz.) of analoog (op papier, op tekeningen, orderlijsten, geprinte bankafschriften) zijn. De ISO 27701:2019-norm heeft de volgende structuur:
  1. Inleiding – de norm beschrijft een proces voor het systematisch beheren van informatierisico’s.
  2. Toepassingsgebied – de norm specificeert algemene PIMS-vereisten die geschikt zijn voor organisaties van elk type, elke omvang en elke aard.
  3. Normatieve referenties – alleen ISO/IEC 27000 wordt beschouwd als absoluut essentiële lectuur voor gebruikers van ISO 27701.
  4. Termen en definities – zie ISO/IEC 27000.
  5. Context van de organisatie – inzicht in de organisatorische context, de behoeften en verwachtingen van ‘belanghebbenden’ en het definiëren van de reikwijdte van het PIMS. Paragraaf 4.4 stelt zeer duidelijk dat “de organisatie het PIMS moet opzetten, implementeren, onderhouden en continu verbeteren”, wat betekent dat het operationeel moet zijn, niet slechts ontworpen en gedocumenteerd.
  6. Leiderschap – het topmanagement moet leiderschap en betrokkenheid tonen ten aanzien van het PIMS, beleid vaststellen en rollen, verantwoordelijkheden en bevoegdheden op het gebied van informatiebeveiliging toewijzen.
  7. Planning – beschrijft het proces voor het identificeren, analyseren en plannen van de aanpak van informatierisico’s, het verduidelijken van de doelstellingen van informatiebeveiliging en het beheren van PIMS-wijzigingen.
  8. Ondersteuning – er moeten voldoende en bekwame resources worden toegewezen, bewustwording worden gecreëerd, documentatie worden opgesteld en beheerd.
  9. Operationeel beheer – meer details over het beoordelen en behandelen van informatierisico’s, het beheren van wijzigingen en het documenteren van zaken (deels zodat deze kunnen worden gecontroleerd door de certificeringsauditors).
  10. Prestatie-evaluatie – het monitoren, meten, analyseren en evalueren/auditeren/beoordelen van de informatiebeveiligingsmaatregelen, -processen en het beheersysteem, en het systematisch verbeteren van zaken waar nodig.
  11. Verbetering – het aanpakken van de bevindingen van audits en beoordelingen (bijv. non-conformiteiten en corrigerende maatregelen), en het systematisch verfijnen van het ISMS.
Reserveer uw plek voor de certificering door een offerte aan te vragen.
Persoon die op een laptop typt, met notitieboek en koffie, illustratief voor leerlinggerichte aanpak in onderwijs en ISO 21001-certificering.

Waarom kan een ISO 27701-certificering voor u voordelig zijn?

Wanneer een organisatie besluit om ISO 27701-gecertificeerd te worden, begint zij aan een traject om de PIMS-documentatie op te bouwen en alle medewerkers binnen het bedrijf voor te bereiden op de implementatie van de nieuwe beveiligingsmaatregelen. Hierdoor bereiken de organisatieprocessen een hogere mate van volwassenheid. Na een succesvolle afronding van de certificeringsaudit zal het ISO 27701-certificaat de volgende positieve aspecten aan de buitenwereld tonen:

  • Betere informatiebeveiliging
  • Regelmatige beveiligingsverbeteringen
  • Grotere betrouwbaarheid
  • Grotere betrouwbaarheid
  • Lagere risico’s voor klantactiva en intellectueel eigendom

Daarnaast ervaart een organisatie ook de volgende interne verbeteringen:

  • De informatiestroom binnen het bedrijf is veilig en efficiënt
  • Informatie is altijd beschikbaar en betrouwbaar
  • Verlies, diefstal, misbruik en manipulatie van gegevens is minder waarschijnlijk
  • Alleen bevoegde personen hebben toegang tot vertrouwelijke gegevens
  • Betere naleving van wet- en regelgeving en contractuele verplichtingen
Reserveer uw plek voor de certificering door een offerte aan te vragen.

Wat is er nodig voor ISO 27701:2019-certificering?

De ISO 27701:2019-norm vereist dat de PIMS-documentatie aan de volgende 14 punten voldoet om een ​​certificaat te kunnen afgeven:

  1. PIMS-scope (conform clausule 4.3)
  2. Informatiebeveiligingsbeleid (clausule 5.2)
  3. Proces voor informatie-risicobeoordeling (clausule 6.1.2)
  4. Proces voor de behandeling van informatie-risico’s en de Verklaring van Toepasselijkheid (clausule 6.1.3)
  5. Informatiebeveiligingsdoelstellingen (clausule 6.2)
  6. Bewijs van de competentie van de mensen die werkzaam zijn in informatiebeveiliging (clausule 7.2)
  7. Andere PIMS-gerelateerde documenten die door de organisatie noodzakelijk worden geacht (clausule 7.5.1b)
  8. Documenten voor operationele planning en controle (clausule 8.1)
  9. De resultaten van de risicobeoordeling, d.w.z. de beoordeelde risico’s (clausule 8.2)
  10. De beslissingen inzake risicobehandeling (clausule 8.3)
  11. Bewijs van de monitoring en meting van informatiebeveiliging (clausule 9.1)
  12. Het interne auditprogramma van het PIMS en de resultaten van uitgevoerde audits (clausule 9.2).
  13. Bewijs van managementbeoordelingen van het PIMS (clausule 9.3)
  14. Bewijs van geconstateerde afwijkingen en daaruit voortvloeiende corrigerende maatregelen (clausule 10.1)

How will the audit plan be influenced by the statement of applicability?

Onze auditteams volgen een auditplan dat rekening houdt met de specifieke sector en het bedrijfsmodel van uw organisatie. De naleving van uw PIMS wordt beoordeeld aan de hand van de verschillende hoofdstukken en onderdelen van Bijlage A. Om een ​​goede audit te kunnen uitvoeren, is het noodzakelijk dat de auditcliënt medewerkers aanwijst die vragen kunnen beantwoorden met betrekking tot onderdelen van het auditplan. Een voorbeeld hiervan is de firewallbeheerder voor de beveiligingsmaatregelen met betrekking tot toegangscontrole. Tijdens de audit zal de hoofdauditor de functionaris voor privacy- en informatiebeveiliging van de organisatie vragen om ervoor te zorgen dat de firewallbeheerder beschikbaar is voor de sessie over toegangscontrole.

Een organisatie moet haar verklaring van toepasbaarheid (Statement of Applicability, SoA) regelmatig herzien om te bepalen welke beheersmaatregelen noodzakelijk zijn. Auditors zullen de SoA beoordelen en met name controles die als niet van toepassing zijn aangemerkt, bevragen. De controles die als van toepassing zijn gemarkeerd, zullen ook worden gecontroleerd, maar op een andere manier.

Reserveer uw plek voor de certificering door een offerte aan te vragen.

Wat zijn de kosten van de audit en de ISO 27701:2019-certificering?

De kosten van een ISO 27701:2019-certificeringsproces zijn afhankelijk van de omvang en het risicoprofiel van de organisatie. De ISO 27006-norm geeft een gemiddeld aantal auditdagen aan voor een organisatie met een gemiddeld risico en een bepaald aantal medewerkers. Onze auditcalculatoren beoordelen de verwachte audittijd in relatie tot bedrijfsspecifieke parameters. Sommige factoren maken een verkorting van de auditduur mogelijk en daarmee een positieve verlaging van de auditkosten.

Wanneer risico’s een diepgaandere audit vereisen, moet hiervoor extra tijd in het auditplan worden ingeruimd. Dit verhoogt de audittijd en de bijbehorende kosten. Daarnaast brengt reizen naar de operationele locaties van de klant extra reiskosten met zich mee voor de klantorganisatie. De ISO-norm staat toe dat tot 30% van de audit op afstand wordt uitgevoerd. Indien de bedrijfsstructuur (thuiswerken) of de situatie (bijv. een pandemie) een volledig audit op afstand vereist, dient de certificeringsinstantie hiervoor toestemming te verkrijgen van de betreffende accreditatie-instantie. Audits op afstand vermijden reiskosten en zijn doorgaans ideaal voor “virtuele organisaties” (bijvoorbeeld teams die volledig vanuit huis werken).

Number of persons doing work under the organization’s control PIMS audit time for initial audit (auditor days)
1~10 0.5
11~15 1
16~25 1.5
26~45 2,0
46~65 2.5

Bovenstaande tabel is gebaseerd op het ISO 27006-standaarddocument (tabel B1) en toont de extra tijd voor een PIMS-audit tijdens een gecombineerde ISO 27001-audit.

De audittijd die is toegewezen voor de PIMS-inspectie bedraagt ​​minimaal:

  • 30% van de audittijd als PII-verantwoordelijke
  • 30% van de audittijd als PII-verwerker
  • 50% van de audittijd, indien de organisatie zowel PII-verantwoordelijke als PII-verwerker is

De ISO 27701-audit (fase 1 + fase 2) moet dan minimaal 2,5 dagen duren voor PII-verantwoordelijken en 3 dagen voor PII-verwerkers. Indien een organisatie zowel de rol van verantwoordelijke als die van verwerker vervult, mag de auditduur niet korter zijn dan de aanbevolen 3,5 dagen.

Deze eis is van toepassing omdat een ISO 27701-audit gelijktijdig met de ISO 27001-audit moet worden uitgevoerd.

Als de organisatie al een ISO 27001-certificaat heeft en haar naleving wil upgraden, kan een aparte audit voor de PIMS-documentatie worden uitgevoerd. In dat geval moet minimaal 0,5 dag aan de auditduur worden toegevoegd.

Secure your Certification slot by requesting a quote

Let's Get Your Company Certified!

Make use of our certification services so that your businesss gains the competitive advantage of having accredited ISO certifications.