ISO 27001 verteld door het bedrijf dat het bezit

Wat is het ISO 27001 gecertificeerde informatiebeveiligingsbeheersysteem precies en aan welke normen moet worden voldaan om het te verkrijgen? Biedt het echt waarde voor de informatiemarkt en waarom hechten de grootste financiële instellingen, zoals banken, er zoveel belang aan?

(Transparante gegevens) (6 nov.2020)

ISO 27001 Informatiebeveiligingsbeheersysteem standaard

Genieten van de Transparent Data s vierde opeenvolgende ISO 27001-audit, we onthullen enkele belangrijke en kleine geheimen van deze internationale standaard:

  • Wat ISO / IEC 27001 is en wie het heeft opgericht
  • Waarom zou het waarde brengen op de informatiemarkt
  • Waarom het de moeite waard is om of het bedrijf dat ons gegevens verstrekt of onze gegevens verwerkt, dit heeft
  • TOP ISO 27001 Q & A voor com panies die zich afvragen of ze het kunnen krijgen (onder andere wat is het moeilijkste deel van het hele certificeringsproces)
  • 4 belangrijke stappen van het hele proces van het aanvragen van een ISO 27001 certificaat .

Wat is precies het ISO / IEC 27001 Certified Information Security Management System?

In het algemeen het Information Security Management System (ISMS) dat voldoet aan de internationale ISO / IEC 27001-norm is een set regels die de introductie en verbetering van een onafhankelijk beoordeeld risico-identificatiesysteem en een nauwkeurig beveiligingssysteem in een bedrijf op alle activiteitsdomeinen definiëren .

Dit internationale, wereldwijd gerespecteerde certificaat en de vereisten voor het behalen ervan zijn opgesteld door de International Organization for Standardization (ISO), die is momenteel s werelds grootste niet-gouvernementele organisatie die bedrijfsnormen vaststelt, en de International Electrotechnical Commission (IEC), de bekendste wereldwijde organisatie voor de ontwikkeling van technologiestandaarden. De normen die door deze instanties zijn opgesteld, vormen de basis van nationale normen en de referentie voor internationale contracten en aanbestedingen.

Voldoen aan de ISO / IEC 27001-norm bewijst het hoogste bescherming van alle zakelijke en vertrouwelijke gegevens, waardoor het risico van ongeautoriseerde toegang tot deze gegevens wordt geminimaliseerd.

Het behalen van dit certificaat staat op de eerste plaats van de grootste bedrijven ter wereld markt. Dit is een speciaal onderscheid, omdat er nog steeds weinig bedrijven zijn die zich bezighouden met het verstrekken van economische en zakelijke informatie of de implementatie van tools die de analyse van informatie voor het bedrijfsleven ondersteunen, kunnen bogen op het voldoen aan deze norm.

Welke waarde heeft ISO 27001 op de informatiemarkt brengen?

Wanneer we nadenken over het ondersteunen van ons eigen bedrijf met externe bedrijfsinformatie, houden we in de eerste plaats rekening met de actualiteit en geloofwaardigheid ervan. Niemand heeft verouderde informatie nodig aangezien er een nieuwere, gewijzigde versie van is. Gissingen, meningen, onbetrouwbare gegevens zijn niet iets waarop we onze beslissingen willen baseren.

Als we de procedure voor het kopen van bedrijfsinformatie zorgvuldig overwegen, zullen we kom snel tot een andere conclusie: het is niet alleen belangrijk wat we kopen, maar ook van wie. Hoe informatie wordt opgeslagen, wie er toegang toe heeft en hoe deze wordt beschermd tegen ongewenste lekkage is even belangrijk. Laten we ons bijvoorbeeld herinneren aan het spraakmakende datalek van dit jaar van persoonlijke gegevens van Zooms klanten.

Laten we het nog eens zeggen:

van wie we informatie kopen over zaken.

Dit is een van de redenen waarom de machtigste instellingen, zoals banken, besluiten alleen samen te werken met ondernemingen die zijn gecertificeerd door de ISO / IEC 27001-norm.

ISO 27001 van het perspectief van het bedrijf dat het heeft: TOP Q & A

Wat betekent het behalen van ISO / IEC 27001-certificering in de praktijk? Welke invloed heeft het op de bedrijfsvoering?

Het proces zelf om naleving van de norm te verkrijgen, levert aanzienlijke waarde op voor de interne processen van het bedrijf, zijn missie en doelstellingen – het maakt het mogelijk om de toegepaste praktijken te organiseren en ondersteunt de ontwikkeling van goede gewoonten om te zorgen voor informatiebeveiliging door de werknemers van het bedrijf op alle niveaus.

Als enige dergelijke standaard laat het ook toe om te verifiëren of de oplossingen die door het bedrijf zijn aangenomen echt op het hoogste niveau staan ​​of dat het beveiligingssysteem moet worden verbeterd. Dergelijke kennis is altijd waardevol voor een ontwikkelingsgericht bedrijf.

Extern opent het verkrijgen van ISO 27001 echter de deur naar samenwerking met de meest veeleisende klanten, zoals banken of internationale bedrijven. Met andere woorden, het heeft een positieve invloed op de groei van het vertrouwen van de klant en de geloofwaardigheid van het bedrijf op de markt.

Als de waarde van de ISO 27001-norm bijdraagt ​​aan het vergroten van het vertrouwen van de klant en de geloofwaardigheid van het bedrijf, waarom zo weinig bedrijven die informatie verstrekken, vragen dit certificaat niet aan?

De procedure voor het behalen van ISO / IEC 27001 is lang, ingewikkeld en vereist dat het bedrijf voldoet aan zeer nauwkeurige vereisten met betrekking tot het risico-identificatiesysteem en de veiligheid van economische, zakelijke en vertrouwelijke informatie. Een gecertificeerd informatiebeveiligingsbeheersysteem wordt vaak geassocieerd met vele maanden voorbereiding en training, en daarom zijn de meeste bedrijven van mening dat het alleen beschikbaar is voor de grootste spelers met aanzienlijk kapitaal en honderden werknemers.

Of het nu gaat om kleine en middelgrote bedrijven kunnen ook ISO 27001-certificering behalen?

Ja, en dat weten we uit eigen ervaring. In Transparante gegevens hebben we geen honderden werknemers en toch zijn we erin geslaagd om het stereotype dat grootte ertoe doet te doorbreken. Wij zijn een relatief klein data software huis, maar zijn in ruil daarvoor zeer wendbaar en snel, dus ondanks het toegenomen aantal verplichtingen dat op ons viel samen met de voorbereiding op de certificatie audit, hebben we de gehele procedure soepel doorlopen.

Hoe lang is de ISO 27001-certificering geldig?

Standaard 3 jaar, maar minstens één keer per jaar komt de certificatie-instelling naar het bedrijf om zowel de naleving van de ISO 27001-normen opnieuw te controleren als of het bedrijf streeft er echt naar om de systemen te verbeteren. In tegenstelling tot de meeste andere standaarden is deze daarom uniek. Het werk houdt niet op bij het verkrijgen ervan. U moet nog steeds bereid zijn om het te behouden.

Is het moeilijk om te voldoen aan internationale beveiligingsnormen voor informatiebeheer? Heeft ISO 27001 betrekking op de implementatie van ingewikkelde procedures?

Als u een bedrijf bent dat al vele jaren op de markt actief is en grote, veeleisende klanten in zijn portefeuille heeft, dan zijn de meeste beveiligingsprocedures al in de praktijk, en zo niet, zal de implementatie ervan u niet veel problemen bezorgen. Dat was tenminste ons geval. Als dataleverancier moesten we onze procedures meer dan een of twee keer verbeteren om te voldoen aan de zeer hoge veiligheidseisen van financiële instellingen, lang voordat we doorgingen met ISO / IEC 27001-certificering. Daarom was de implementatie voor ons niet bijzonder moeilijk.

De hele ervaring bleek echter zeer waardevol vanuit het oogpunt van de organisatiecultuur – we hebben al veel dingen gedaan vóór ISO 27001, maar alleen Door ze geschreven te zien in de vorm van vereisten, werden we ons volledig bewust van waarom we het doen. Als organisatie hebben we er zeker van geprofiteerd.

Wat is het moeilijkste deel van het hele ISO 27001-certificeringsproces?

We moeten er waarschijnlijk niet hardop over praten, maar laten we transparant zijn – het moeilijkste deel is het formele deel, dwz stapels documenten die wachten om te worden ingevuld. Helaas moet u een paar weken reserveren voor deze activiteit en onthouden dat elke wijziging in het bedrijf, ook al is het een beetje zoals vervanging van een computer, vereist het invullen van niet één extra document, maar een volledige map met documenten.

Zijn er specifieke beleidsregels die de standaard van informatiebeveiligingsbeheer bepalen?

De belangrijkste Wat ontwikkeld moet worden, is het Integrated Management System Book, dat de volledige reikwijdte van verplichtingen definieert waaraan moet worden voldaan om te voldoen aan de ISO-norm. Het bevat de volledige lijst met procedures, instructies, beleid, grafieken van bedrijfsmiddelen en managementverantwoordelijkheid.

Vervolgens hebben we onder andere het informatiebeveiligingsbeleid, dat de reikwijdte van verantwoordelijkheden en verplichtingen met betrekking tot de verwerking definieert. van persoonsgegevens (bijv. taken van de informatiebeveiligingsbeheerder, IT-systeembeheerder, vertegenwoordiger van geïntegreerd systeembeheer en andere werknemers van het bedrijf). Het beschrijft ook welke soorten gegevens we als bedrijf beheren, in welke systemen ze worden verwerkt of van welke gegevenssets we de verwerkingsverantwoordelijke zijn.

Andere belangrijke beleidslijnen zijn bijvoorbeeld het beleid inzake bedrijfscontinuïteitsbeheer, dat tot doel heeft de stabiliteit van het werk op het gebied van informatieverwerking te garanderen. Het moet onder meer gedragsscenarios bevatten in het geval van een cyberaanval, systeemstoring, stroomuitval, branden, rampen, afwezigheid van sleutelfunctionarissen of verlies van activa die belangrijk zijn voor het bedrijf.

Hoe ziet het hele proces van het aanvragen van een ISO 27001-certificaat eruit?

Het hele proces van het aanvragen van een ISO 27001-certificaat kan worden onderverdeeld in 4 hoofdstappen:

  1. Wat u aan het begin moet doen, is een grondige studie van de vereisten in ISO 27001, en vervolgens alle documenten analyseren die het bedrijf al heeft in termen van hen. Als we tekortkomingen of inconsistenties vinden, moeten we ons interne beleid aanpassen aan een internationale standaard en nieuwe documenten bewerken of maken.
  2. De volgende stap is om alle werknemers en het volledige managementpersoneel te trainen in het geldende beleid in de ISO / IEC 27001-norm. Dit vereist , natuurlijk de aanstelling van geschikte mensen in het bedrijf, die van A tot Z verantwoordelijk zullen zijn voor het project.
  3. Alleen kunt u beginnen met de implementatie het noodzakelijke beveiligingssysteem stengels, en ze moeten minimaal enkele maanden in de natuurlijke omgeving van het bedrijf “werken” , en of ze echt werken moet worden bevestigd door een interne audit, wat betekent dat iemand in het bedrijf een gecertificeerde interne auditor moet zijn of de toepasselijke toestemmingen moet verkrijgen.
  4. Als we het maken van alle documentatie, de opleiding van de medewerkers al hebben voltooid en in de praktijk voldoen we aan de aangegeven normen, alleen dan hebben we het groene licht om officiële pogingen te ondernemen om een ​​certificaat te verkrijgen. We moeten dan een externe certificeringsinstantie voor managementsystemen vinden en klaar zijn voor een onafhankelijke externe audit . Pas na deze formele beoordeling ontvangt het bedrijf het certificaat.

De echte waarde van ISO 27001 in het bedrijfsleven (klantperspectief)

Om het belang van de 27001-norm op het gebied van bedrijfsgegevens kunnen we bedrijven die Bedrijfsinformatie verstrekken vergelijken met pepermuntjes. Elk bedrijf voorziet de markt van economische informatie, namelijk goud. Deze meer bewuste bedrijven proberen de veiligheid van hun klanten en die van henzelf te vergroten door speciale voorzorgsmaatregelen te nemen, zoals de bescherming van het konvooi of extra veiligheidssloten. ISO 27001 is in deze vergelijking een speciale eenheid en een 15 mm dikke ketting met drie hangsloten – een voor de combinatie, de andere voor de vingerafdruk en de derde voor wat je net hebt gegeten als ontbijt.

Misschien vind je dit ook leuk :

(

Het probleem van legacysystemen – het ABC van technologische schulden

Legacysystemen – deze naam weerspiegelt perfect zowel hun achterhaalde als problematische aard. Die applicaties en …

medium.com

) (

Hoe om te gaan met verouderde systemen? Strategieën om uit technologische schulden te komen

Een geheel nieuw systeem bouwen, code herstructureren en code herschrijven – dit zijn drie strategieën om uit …

medium.com

) (

B2B-klantenintroductie te automatiseren met regelgevende gegevens

Hoe het registratieproces voor zakelijke klanten te verkorten en de introductie versnellen? Welke velden van de registratie …

medium.com

)