ISO 27001 is de norm die wereldwijd wordt gebruikt voor informatiebeveiliging. Hierin staat aangegeven hoe er veilig met informatie om kan worden gegaan. Hoe moet deze beschermd worden? De norm helpt bij het implementeren van een nieuw managementsysteem (ISMS) om de informatie te beveiligen.
ISO 27001 is bedoeld voor een ieder die werkt met persoonsgevoelige en andere waardevolle informatie. Denk hierbij bijvoorbeeld aan ICT-bedrijven, banken, verzekeraars, zorginstellingen en bedrijfsorganisaties. Wanneer er met het managementsysteem is gewerkt en je denkt dat je aan de norm voldoet, kun je dit onafhankelijk laten testen door bijvoorbeeld digitrust.nl. Een goede beoordeling wordt vervolgens vertaald naar een certificaat. Met dit certificaat toon je aan dat de informatiebeveiliging binnen de organisatie goed is geregeld en dat je er alles aan doet om deze te beschermen.
Is jouw audit inmiddels al gepland? Maar vind je het best spannend en ben je bang dat je deze niet zo soepeltjes doorloopt? Dan is het belangrijk om je goed voor te bereiden. Maar waar moet je aan denken bij de audit? En hoe vergroot je jouw kansen om snel een ISO 27001 certificaat te bemachtigen? Je leest het in dit artikel.
Houd je niet alleen bezig met papierwerk
Een groot valkuil is dat er veel te veel gedocumenteerd wordt. Dat is ook niet zo vreemd bij het implementeren van een nieuw systeem. Het is juist goed als je hier extra aandacht aan schenkt en tegelijkertijd bijhoudt wat er gedaan wordt. Hier wordt ook naar gevraagd tijdens de audit. Bedenk echter wel dat al dit papierwerk niet het voornaamste doel is. Het doel is om daadwerkelijk iets te betekenen voor de informatiebeveiliging. Al deze documenten zijn prima, maar dan moet het wel ook echt iets toevoegen. Probeer hier wel de aandacht op te houden, zodat je niet alleen met het papierwerk bezig bent en ook echt verbetering zult zien van je aanpak.
Deel de verantwoordelijkheid
Het is een hele verantwoordelijkheid om de gehele informatiebeveiliging van een bedrijf op de eigen schouders te dragen. Sterker nog: dat is bijna onmogelijk. Het is dan ook belangrijk dat medewerkers binnen het bedrijf ook op de hoogte zijn van het belang van de ISO 27001 norm. Wat deze precies inhoudt en hoe ze hiermee aan de slag kunnen.
Houd er wel rekening mee dat je echt een specifieke selectie maakt van medewerkers die samen met jou deze verantwoordelijkheid kunnen dragen. Mensen uit de operationele organisatie bijvoorbeeld.
Welke maatregelen worden er nu al getroffen?
Breng voor de audit in elk geval al in kaart welke maatregelen er eerder al getroffen zijn. Informatiebeveiliging is van alle tijden. De kans is dan ook groot dat je de laatste jaren al stappen hebt ondernomen om de informatie beter te beschermen. Denk bijvoorbeeld aan een strenger wachtwoordbeleid, het gebruik van firewalls, enzovoorts. Beoordeel ook of deze maatregelen het gewenste effect hebben gehad of dat er nog andere aanpassingen getroffen moeten worden.
