De eerder besproken NIS2 richtlijn is een internationale richtlijn is voor informatiebeveiliging voor specifieke sectoren welke wettelijke verplichtingen oplegt. De ISO 27001 norm heeft hier enige overlap mee maar biedt een meer algemeen raamwerk voor informatiebeveiliging in organisaties.

Wat betekent nu eigenlijk een dergelijke norm en wat is de zin van dit raamwerk?

Een voor veel mensen bekende norm is ISO 9001. Dit is een internationale norm voor kwaliteitsmanagement en een ISO 9001 certificering is vaak bij veel bedrijven en organisaties terug te zien.

Procedures worden opgesteld en opgenomen in een handboek, een kwaliteitsmanagementsysteem, wat zorgt voor continu proces van monitoring, meten en verbeteren om de kwaliteit en klanttevredenheid te waarborgen.

ISO 27001

Iets minder bekend maar steeds vaker terug te zien is de ISO 27001 norm. Dit is een internationale norm voor informatiebeveiliging. Het is een raamwerk dat organisaties helpt bij het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS).

Het ISMS is een systematische aanpak om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie binnen een organisatie te waarborgen zoals ISO 9001 dit doet voor de kwaliteit.

De ISO 27001 norm stelt eisen aan het identificeren van informatiebeveiligingsrisico’s, het implementeren van passende beveiligingsmaatregelen en het opzetten van een proces voor continue evaluatie en verbetering van de informatiebeveiliging. Het omvat ook het definiëren van rollen en verantwoordelijkheden, het bewust maken van medewerkers en het beheren van incidenten.

Het implementeren van ISO 27001 vereist betrokkenheid en inzet van het management, evenals de medewerking van alle medewerkers binnen de organisatie. Het is een continu proces dat regelmatige audits en evaluaties omvat om ervoor te zorgen dat de informatiebeveiliging effectief blijft en aan de normen voldoet.

Betekent dit dan dat een organisatie met een ISO 27001 certificering dan geheel veilig is en beschermd tegen cyberaanvallen?

Helaas niet.

Zoals bij veel van dit soort normen ligt de nadruk op het voldoen aan bepaalde eisen en het invullen van procedures. De exacte invulling is vaak minder van belang dan het feit dat er wat ingevuld is. Daarbij zijn er hoge kosten gemoeid (denk aan mensen en middelen) met het implementeren, certificeren en het naleven.

Een ISO 27001 certificering heeft een beperkte focus en beschermd ook niet tegen nieuwe en opkomende bedreigingen en technologieën op Het Gebied Van informatiebeveiliging.

Wat de certificering wel biedt is Dat Een Organisatie zich meer bewust wordt van beveiliging, naleving en, indien goed geïmplementeerd, deze organisatie ook bezig blijft met verbetering op dit gebied.

Door risico’s te identificeren en aan te pakken kan de organisatie proactief handelen en potentiële schade minimaliseren. Het zorgt dat er wordt nagedacht over zaken op het gebied van cyber security en dat is vaak iets wat anders achterwege blijft.

Het behalen van de ISO 27001-certificering geeft aan dat een organisatie voldoet aan internationaal erkende normen voor informatiebeveiliging. Dit kan het vertrouwen van klanten en zakenpartners vergroten, aangezien het aantoont dat de organisatie zich inzet voor het beschermen van vertrouwelijke informatie en het waarborgen van de privacy van gegevens.

The post ISO 27001: de zin en de onzin van normen first appeared on Cybertilt.