Wat is ISO 27001?

ISO 27001 is een wereldwijd erkende norm op het gebied van gegevensbescherming. Een bedrijf dat dit certificaat behaalt, toont aan dat zijn organisatie, producten of diensten voldoen aan een hele resem eisen op vlak van het information security management system (ISMS). Het certificaat toont aan dat de organisatie goed omgaat met data: persoonsgegevens, financiële gegevens, intellectuele eigendom of gegevens van derden in het algemeen. Om in aanmerking te komen voor een ISO 27001 certificaat moet een bedrijf voldoen aan 114 controls (mits uitzonderingen die voor het bedrijf niet van toepassing zijn). Of aan die controls voldaan wordt, wordt bepaald door een externe auditor (SGS, Deloitte, KPMG, ...) die het certificaat uitreikt als na een doorlichting blijkt dat aan alle normen voldaan wordt. 

Waarom ISO 27001?

Een ISO 27001 certificaat is een kwaliteitslabel dat uitstraling geeft aan je organisatie. Het geeft vertrouwen aan prospecten en klanten over je respect voor de GDPR-wetgeving en de manier waarop je organisatie in het algemeen omspringt met data: een eis die meer dan terecht gesteld wordt door klanten, nieuwe klanten en overheden. Je behaalt het dan ook niet zomaar: het is een lang maar interessant traject. Het biedt slagkracht voor commerciële kansen en zorgt ook intern voor betere garanties naar business continuity toe. Bedrijven met een ISO 27001 certificaat zijn de facto sterk gewapend tegen datalekken. Het biedt geen 100% bescherming, maar zorgt er wel voor dat databeveiliging in het middelpunt van de aandacht van de volledige organisatie komt te staan. 

ISO 27001 certificeert geen perfectie, maar excellentie!

Jammer genoeg bestaat perfectie niet. Je kan ernaar streven, altijd verbeteren, maar zelfs voor wie 99.9% beveiligd is, blijft er een risico van 0.1% bestaan. Risico’s zullen er altijd zijn, daarom vereist ISO geen perfectie. Een verslag zonder opmerkingen is letterlijk ongezien bij een audit. 

Auditors zullen een rapport opstellen met major of minor non-conformities. Bij major non-conformities faal je. Dat zijn fundamentele wijzigingen die je nog moet doorvoeren vooraleer je een certificaat kan bemachtigen. Minor non-conformities zijn vaak geïsoleerde, kleinere gevallen. Zolang de auditor merkt dat je hier correct op reageert en de juiste actie onderneemt, gaat het niet om een struikelblok. 

EASI watchlist cybersecurity background

Om in aanmerking te komen voor een ISO 27001 certificering moet je voldoen aan minstens 90% van de 114 controls. Wij staan hierin bij met raad en daad. Een begeleiding die opgebouwd is uit eigen expertise en steeds zal verschillen door je eigen in-house kennis. Een voorbeeld van hoe we dit aanpakken lees je hier

Hoe kan EASI helpen

Begeleiding op maat

Onze adviezen zullen zeer transparant gedeeld worden en zijn steeds op maat van jouw scope, bedrijfsdoelstellingen en medewerkers. Jij en je medewerkers kennen je organisatie het best: dit in combinatie met onze expertise zorgt ervoor dat we op de meest kostenefficiënte manier werken. 

Op eigen tempo

Op maat van jouw budget en altijd met de TCO in het achterhoofd, starten wij elk project. Wens je zelf een deel van de controls voor jouw rekening te nemen of allemaal? Dan kan dat! Jij bepaalt het tempo en de investeringen die je wilt maken, geruggensteund door de juist strategie die wij jou voorzien.

Gecertificeerde ISO partner

Onze experten zijn zelf "gecertificeerde ISO Lead implementors". Dit zorgt ervoor dat we kunnen voldoen aan jouw eisen en dat we ondersteuning kunnen bieden met toegevoegde waarde, door gebruik te maken van ons branche-inzicht en onze expertise in gegevensbescherming.

Wij geven het goede voorbeeld

We passen onze eigen aanpak toe op onze eigen producten en mensen. Inderdaad, EASI's cloud-oplossingen en -medewerkers voldoen aan de ISO 27001 norm. Iedereen in onze organisatie is effectief dageljiks ondergedompeld in de ISO-sfeer. Dat zorgt ervoor dat ISO steeds top-of-mind is. Ons intern always-on security awareness training programma speelt daarin een grote rol.  

Ook als het vooruit moet gaan

Onze aanpak zorgt ervoor dat de belangrijkste valkuilen van het certificeringsproces toegedekt zijn, wat er voor zorgt dat het proces versneld kan worden. De impact op je bedrijfsactiviteiten en middelen worden tot een minimum beperkt. Indien gewenst bieden wij begeleiding van A tot Z, van risico-analyse tot het implementeren van correctieve acties. Indien je zelf intern iemand hiervoor verantwoordelijk stelt, functioneren wij als begeleiders en klankbord

Ontmoet onze CISO-as-a-Service

Geert-CISO-EASI

Geert-as-a-Service

Chief Information Security Officer (CISO)

Specialisatie: ISO 27001 expert

Sterktes: Mentor, Team player

Waarom voor EASI kiezen: Na het behalen van onze eigen certificering voelde ik met als CISO verplicht om ook onze klanten te informeren en mijn know-how te delen. Er bestaat geen eenduidige aanpak om de 114 controls die binnen de scope liggen te behalen. Ik pak de controls stuk per stuk aan, en begeleid de klant om deze control zelf te installeren, met mijn hulp. Ook als de klant slechts een paar zaken van het certificaat wenst te behalen, kan dat zeker. Het is een norm om naar te streven, meer geen verplichting om het certificaat effectief te behalen. 

Patrick System Engineer EASI

Patrick-as-a-Service

Expert System Engineer

Specialisatie: Brede, uitgebreide ervaring met alle fasen van de IT-dienstverlening en het beheer van infrastructuurprojecten

Sterktes: People & project management

Waarom voor EASI kiezen: Dienstverlening bij EASI draait niet alleen om de dienst zelf, het gaat om de mensen aan wie je die dienst levert en dat is altijd anders. Daar leer je uit en dat neem je mee. Voor elke klant en elk project werken we een aanpak op maat uit, met onze ervaring in het achterhoofd. Door begeleiding van verschillende ISO 27001 certificeringsprojecten heb je oog gekregen voor de verschillende addertjes onder het gras, het maakt je attenter en dat heeft in het verleden al vaak het verschil gemaakt.

ISO 27001 stappenplan

ISO 27001 Sstappenplan EASI
Stap 1: Plan

Er bestaat geen eenduidige aanpak om het certificaat te behalen. Wij vertrekken steeds vanuit het Plan-Do-Check-Act principe op maat van jouw structuur: In stap 1 tekenen we samen de strategie uit om zo efficiënt mogelijk het certificaat te behalen. Op basis van jouw input bepalen we de scope en doen we deze matchen met de doelstellingen die je voor ogen hebt. Doorheen het hele proces staat leiderschap centraal: bepaalde punten van de checklist blijven in je eigen handen en werk je af onder je eigen leiderschap, andere punten doen we samen, en nog andere punten kunnen wij volledig voor onze rekening nemen. Naast de scope bepalen doen we in stap 1 ook:

  • een nulmeting (online en offline)
  • risico-analyse van de huidige databeveiliging
  • starten van het denkproces rond het controleprogramma 
  • bepalen hoe het security ISMS zal bestuurd worden
  • opmaken van een beveiligingsplan 
Stap 2: Do

Zoals het woord zegt, gaan we in deze fase de vooraf gemaakte plannen uitvoeren. Implementatie van het ISMS en training zijn hierin de belangrijkste zaken. Een ISO 27001 certificaat kan namelijk enkel behaald worden als het management kan aantonen dat het moeite doet om alle betrokkenen in kennis te stellen en aan te leren hoe zij moeten omgaan met gegevensbeveiliging zowel on als offline. Zoals al aangegeven zijn onze user awareness trainings hier ideaal voor. Wat doen we in deze fase nog:

  • meting en rapportage
  • incident rapportage 
  • ISMS opzetten
Stap 3: Check

In deze fase gaan we over tot een interne audit, met als doel te kijken of de genomen maatregelen voldoen aan de eisen inzage ISO 27001. De efficiëntie en effectiviteit van het ISMS wordt hierbij beoordeeld. Op basis van deze audit zal de directie beslissingen nemen over preventieve en verbeteracties. Het intern auditteam is in het geven van deze aanbevelingen best onafhankelijk

De volgende stap is een externe audit: deze wordt uitgevoerd door een van de cerficatie-instellingen. Zij stellen vast of je wel degelijk voldoet aan de normen. Wij kunnen jou in contact brengen met de geschikte organisatie op basis van jouw scope. 

Daarnaast doen wij ook: 

  • nog extra controles en rapportering
  • zorgen voor een verklaring van toepasselijkheid inzage ISO 27001
Stap 4: Act

We zorgen ervoor dat na controle door de externe partij eventuele correctieve acties worden ingepland en uitgevoerd. Een voortdurend proces vraagt ook voor verbeteracties. Hackers staan niet stil en wordt er vanuit de norm geëist verbeteracties te voorzien. Ook hiervoor kan je bij ons terecht. 

Contacteer onze CISO's-as-a-Service