Hoe lang duurt ISO 27001-certificering?

Voor de meeste mkb'ers drie tot zes maanden voorbereiding voor de certificeringsaudit, afhankelijk van wat je al hebt staan. De audit zelf valt daarna uiteen in twee fasen, een paar weken uit elkaar. De tool verkort de voorbereiding, en daar gaat bijna alle tijd in zitten.

Hebben we een consultant nodig?

Nee. Consultants bestaan omdat de documentatie en het bewijs bewerkelijk zijn, niet omdat het werk moeilijk te begrijpen is. AIR-Tools stelt de documenten op en ordent het bewijs, zodat de meeste mkb'ers zonder consultant kunnen certificeren. Jij brengt de keuzes over je eigen bedrijf in; wij verzorgen de structuur.

Wat zijn die 93 maatregelen?

Annex A van de versie 2022 noemt 93 maatregelen in vier thema's: organisatorisch, mensen, fysiek en technologisch. Je past ze niet allemaal blind toe. Je onderbouwt welke bij jouw risico's passen in de verklaring van toepasselijkheid.

Wat kost certificering?

De audit zelf betaal je aan een geaccrediteerde certificerende instelling en hangt af van je omvang. Het dure deel waren van oudsher de maanden advieswerk om er klaar voor te zijn, en dat is precies wat deze tool vervangt.

Wat is het verschil tussen ISO 27001 en NEN 7510?

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Hij bouwt voort op ISO 27001 en voegt eisen toe die specifiek gaan over het verwerken van gezondheidsgegevens. Werk je in de Nederlandse zorg, dan wordt meestal NEN 7510 van je gevraagd.

Wat is de snelste manier om te beginnen?

Vraag een demo aan en draai de scan op je echte stack. Al in de eerste sessie zie je je beginreikwijdte, een inventarisatie en een eerste reeks gaten, in plaats van een leeg sjabloon.

ISO 27001 voor het mkb, de praktische weg naar certificering

Wat ISO 27001 echt is.

ISO 27001 is de internationale norm voor het beheren van informatiebeveiliging. Het geeft je geen lijstje met tools die je moet kopen. Het vraagt je om een managementsysteem voor informatiebeveiliging te draaien, een ISMS: je bepaalt wat bescherming nodig heeft, beoordeelt de risico's, kiest maatregelen om die te beheersen en toont aan dat je dat blijft doen. Een geaccrediteerde auditor certificeert vervolgens dat het systeem werkt.

Waarom het ertoe doet

Steeds meer aanbestedingen en zakelijke klanten zien ISO 27001 als toegangseis. Het certificaat is vaak wat je op de shortlist krijgt. Geen certificaat, geen gesprek.

Voor wie het is.

Bedrijven die meedingen naar opdrachten. Overheid en grote inkopers eisen het steeds vaker voordat je überhaupt mag inschrijven.
SaaS- en techbedrijven. Je klanten leggen hun beveiligingsplichten bij jou neer. Het certificaat beantwoordt het grootste deel van hun vragenlijst in één regel.
Iedereen met gevoelige gegevens. Als een incident je klanten of je reputatie zou schaden, geeft de norm je een verdedigbare manier om dat risico te beheersen.
Bedrijven die volwassen willen worden. Het maakt van losse beveiligingsgewoonten een systeem dat personeelswisselingen overleeft en met je meegroeit.

Wat de norm vraagt.

Een afgebakende reikwijdte. Bepaal welke onderdelen van het bedrijf, welke systemen en welke gegevens het ISMS dekt. De rest volgt hieruit.
Een risicobeoordeling. Breng in kaart wat er mis kan gaan met je informatie, hoe waarschijnlijk dat is en hoe erg het zou zijn.
Maatregelen en een verklaring van toepasselijkheid. Kies welke van de 93 Annex A-maatregelen je toepast, onderbouw wat je weglaat en leg het vast.
Beleid en procedures. Toegangsbeheer, incidentrespons, leveranciersbeheer, back-ups en de rest. Vastgelegd, niet geïmproviseerd.
Betrokkenheid van de leiding. De directie moet het ISMS dragen, doelen stellen en het beoordelen. Auditors controleren dit rechtstreeks.
Monitoring en verbetering. Interne audits, corrigerende maatregelen en directiebeoordelingen die laten zien dat het systeem steeds beter wordt.

De weg naar certificering.

Bepaal de reikwijdte. Leg vast wat het ISMS dekt en krijg de directie erachter.
Doe de risicobeoordeling. Breng je informatiebezittingen en de risico's daarvoor in kaart.
Kies maatregelen en schrijf de SoA. Kies je Annex A-maatregelen en stel de verklaring van toepasselijkheid op.
Voer uit en leg vast. Zet het beleid, de procedures en de technische maatregelen op en verzamel het bewijs.
Doe een interne audit. Toets je eigen ISMS aan de norm en dicht de gaten voordat de auditor ze ziet.
Slaag voor de certificeringsaudit. Een geaccrediteerde instelling beoordeelt je documenten in fase 1 en toetst ze in de praktijk in fase 2.
Houd het levend. Jaarlijkse tussentijdse audits en continue verbetering houden het certificaat geldig.

Hoe AIR-Tools je er sneller brengt.

Reikwijdte en inventarisatie. Clair scant je stack en stelt de inventarisatie en een beginreikwijdte op. Het blanco-paginaprobleem opgelost.
Begeleide risicobeoordeling. Elk bezit krijgt een voorgesteld risico en een aanbevolen maatregel. Jij bevestigt; wij leggen de onderbouwing vast.
Verklaring van toepasselijkheid, opgesteld. De 93 maatregelen zijn vooraf afgestemd op jouw omgeving, met redenen voor wat je opneemt en weglaat.
Beleid opgesteld. Toegangsbeheer, incidentrespons, leveranciersbeheer en meer, geschreven voor jouw bedrijf en klaar om goed te keuren.
Auditklaar bewijs. Alles waar de auditor om vraagt staat op één plek, gekoppeld aan de maatregel die het aantoont.
Blijft actueel. Afwijkingen, verlopen beoordelingen en nieuwe risico's worden gesignaleerd voordat een tussentijdse audit ze vindt.

Werk je in de Nederlandse zorg?

NEN 7510 is de zorgspecifieke versie van ISO 27001 voor Nederland. Verwerk je gezondheidsgegevens van patiënten of cliënten, dan wordt meestal die norm van je gevraagd.

Lees de NEN 7510-gids

De korte versie.

ISO 27001 is een systeem, geen aankoop. Het trage deel is het papierwerk en het bewijs, niet de beveiliging zelf. En dat is precies het deel dat Clair samen met je doet.

ISO 27001, zonder de consultant.