ISO 27001 CERTIFICERING Zet de stap naar certificering!
Laat u ondersteunen en vergroot het draagvlak binnen uw organisatie. Draag zorg voor een continue verbetering van processen, producten en diensten. 2 - Kader, bureau voor kwaliteitszorg b.v.
Inleiding Fijn dat u geïnteresseerd bent in ISO 27001 certificering. ISO 27001 certificering maakt aantoonbaar dat uw organisatie informatieprocessen continu beheerst en dat u de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfskritische informatie borgt. In deze brochure treft u informatie aan over onder ander de norm, ISO 27001 en de Algemene Verordening Gegevensbescherming (AVG), NEN 7510, de voordelen, de mogelijkheden en de Kader aanpak. CONTACT Aanvullende informatie? Neem contact met ons op. Telefoonnummer 030 243 64 64 E-mail info@kader.nl Website www.kader.nl Heeft u na het lezen van de informatie nog vragen of wil u een offerte aanvragen? Neem dan gerust contact met ons op. In deze brochure vindt u: ISO 27001 certificering... pagina 4 De Kader aanpak... pagina 6 Aanvullende diensten... pagina 9 Over Kader... pagina 10 Kader, bureau voor kwaliteitszorg b.v. - 3
ISO 27001 certificering De norm ISO 27001 is dé standaard voor het opzetten en implementeren van een managementsysteem voor informatiebeveiliging (ISMS, Information Security Management System). Organisaties met een ISO 27001 certificaat tonen aan dat zij het informatieproces beheersen en gevoelige gegevens goed beveiligen tegen ongeautoriseerde toegang en bewerking. Dit biedt zekerheid aan alle betrokkenen, met name klanten. De voordelen Organisaties die aan de ISO 27001 norm voldoen, borgen de informatiebeveiliging binnen hun organisatie en tonen dat zij de beschikbaarheid, integriteit en vertrouwelijkheid van hun informatie (documenten en systemen) beheersen. Doel is de continuïteit van de informatie en de informatievoorziening te waarborgen en eventuele gevolgen van beveiligingsincidenten te beperken. Met ISO 27001 geeft u invulling aan maatregelen voor een passende bescherming van persoonsgegevens en daarmee het voldoen aan de AVG wetgeving. Uw organisatie voldoet onder andere aan contractuele vereisten zoals bijvoorbeeld verwerkersovereenkomsten en aanbestedingscriteria. Dit levert voordeel op bij aanbestedingen! ISO 27001 norm De norm NEN-ISO/IEC 27001 beschrijft hoe informatiebeveiliging procesmatig kan worden ingericht. Verder stelt de norm specifieke eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd ISMS. Onderdeel hiervan is het periodiek uitvoeren van een risicoanalyse & -beoordeling, waarmee specifieke organisatierisico s rond informatiebeveiliging worden geborgd en weggenomen door passende beveiligingsmaatregelen. De norm kan worden ingezet binnen iedere organisatie. NEN 7510 Voor de zorgsector wordt NEN 7510 gehanteerd. NEN 7510 geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie moeten treffen ter beveiliging van de informatievoorziening. NEN 7510 geldt dus niet alleen voor zorginstellingen maar is ook van toepassing op (toe) leveranciers die te maken hebben met patiëntgegevens en andere beheerders van persoonlijke gezondheidsinformatie. Wanneer (toe)leveranciers andersoortige informatie verwerken, zoals financiële gegevens, persoonsgegevens of andere bedrijfsvertrouwelijke gegevens, dan kunnen zij zich laten certificeren volgens de ISO 27001 en is NEN 7510 niet direct noodzakelijk. NEN 7510 en ISO 27001 zijn dus beide normen voor informatiebeveiliging. Het soort informatie dat een organisatie of instelling verwerkt bepaalt de reikwijdte van certificatie. NEN 7510 legt de focus volledig op patiëntgegevens, terwijl ISO 27001 de focus legt op de informatie die een organisatie aanmerkt als waardevol. Hier ligt het verschil tussen NEN 7510 en ISO 27001. De drie opties voor niet zorginstellingen zijn: NEN 7510 certificering: Als de focus van de organisatie ligt op de zorgbranche; ISO 27001 & NEN 7510 certificering: Voor toeleveranciers van de zorg, als informatiebeveiliging aangetoond moet worden aan organisaties buiten de zorgsector, maar ook met zorgklanten wordt gewerkt; ISO 27001 certificering: Als er voornamelijk voor organisaties buiten de zorg wordt gewerkt. 4 - Kader, bureau voor kwaliteitszorg b.v.
ISO 27001 en AVG De Algemene Verordening Gegevensbescherming AVG is een Europese wet waar alle organisaties in Nederland en binnen de Europese Unie per 25 mei 2018 aan moeten voldoen. De AVG eist dat persoonsgegevens worden beschermd met passende technische en organisatorische maatregelen. Dit betekent dat alleen noodzakelijke persoonsgegevens op een zorgvuldige manier mogen worden opgeslagen en verwerkt. Organisaties die dit niet doen zijn in overtreding. Zij riskeren een boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. ISO 27001 certificaat Voldoet uw organisatie aan de eisen van de NEN-ISO/IEC 27001 norm, dan kan een ISO 27001 certificaat worden aangevraagd. Een onafhankelijke externe certificatie instelling toetst of uw organisatie daadwerkelijk voldoet aan de eisen van de norm. Bij een positief resultaat wordt het ISO 27001 certificaat uitgereikt. Wilt u uitgebreide informatie over de AVG en de mogelijkheden van Kader? Download dan de brochure: Brochure AVG Veel onderwerpen in de AVG, en ook vanuit de huidige Wet Bescherming Persoonsgegevens, kunnen worden geborgd in een informatiebeveiligingssysteem op basis van ISO 27001. Voldoen aan de ISO 27001 norm of het hebben van een ISO 27001 certificering is echter geen verplichting vanuit Nederlandse of Europese wetgeving. Wel helpt het om invulling te geven aan maatregelen voor een passende bescherming van persoonsgegevens en daarmee het voldoen aan de AVG. Vanuit de AVG wordt geen expliciete verwijzing gemaakt naar de NEN-ISO richtlijnen, maar de AVG geeft nadrukkelijk aan dat certificering een belangrijk hulpmiddel kan zijn voor het aantoonbaar maken van de eisen en voorschriften vanuit de AVG. Informatiebeveiligingssysteem Het ISMS omvat het geheel aan structuur, beleid, planningsactiviteiten, verantwoordelijkheden, werkwijzen, procedures, processen en middelen die de organisatie heeft ingericht om het gewenste niveau van informatiebeveiliging in de organisatie te borgen. Dit geheel dient te worden gedocumenteerd voor de aantoonbaarheid en terugvindbaarheid. Kader, bureau voor kwaliteitszorg b.v. - 5
De Kader aanpak 1 2 3 4 5 Nulmeting Interne audit Managementsysteem Directiebeoordeling Begeleiding certificering Kader begeleidt uw organisatie in 5 praktische stappen naar ISO 27001 certificering. Wij stellen hierbij uw organisatie centraal, waardoor er geen onnodige beheersmaatregelen worden geïmplementeerd. De beheersing van uw bedrijfsrisico rond informatiebeveiliging is het uitgangspunt. Wij kijken niet alleen naar technische systeem gerelateerde risico s, maar juist ook naar de risico s die ontstaan in het primaire bedrijfsproces rondom uw medewerkers en fysieke informatiestromen. Nulmeting Met de nulmeting beoordelen wij in hoeverre uw organisatie al invulling geeft aan de ISO 27001 norm en wat exact nodig is om te komen tot certificering. Ook dient deze nulmeting om uw medewerkers kennis te laten maken met de inhoud en de reikwijdte van de norm. Wij bespreken verschillende processen, procesbeschrijvingen, procedures en instructies en toetsen dit aan de ISO 27001 norm. De resultaten verwerken wij in een rapportage en Plan van Aanpak (PvA). Na de nulmeting weet u precies waar u aan toe bent en kunt u besluiten of u zich door Kader wilt laten begeleiden naar ISO 27001 certificering. U heeft inzicht in de verwachte tijdsbesteding, taakverdeling en kosten van certificatie. Informatiebeveiligingssysteem (ISMS) Kader zet een praktisch hanteerbaar en efficiënt digitaal informatiebeveiligingssysteem op dat voldoet aan de eisen van de ISO 27001 norm én de behoefte van onze opdrachtgevers. De opzet en invoering van het informatiebeveiligingssysteem is volgens de HLS-structuur en kan hierdoor eenvoudig met andere nieuwe ISO normen geïntegreerd worden. Ook is het mogelijk om branche-specifieke richtlijnen te integreren. U kunt rekenen op de volgende activiteiten: Uitvoeren van een risicoanalyse en risicobeoordeling; Opzetten en invoeren van een informatiebeveiligingssysteem; Maatregelselectie en informatiebeveiligingsplan; Implementatie en controleprogramma; Verklaring van toepasselijkheid. Interne audit Met de interne audit toetsen wij of uw informatiebeveiligingssysteem goed is ingevoerd en voldoet aan de ISO 27001 norm, wetgeving, klanteisen en/ of eisen van uw organisatie. Wij stellen een auditplan op, toetsen of het ISMS voldoet aan de norm en leggen bevindingen en verbeteringen vast in een rapportage. De interne audit is een prima voorbereiding op de certificatie audit. Directiebeoordeling Met de directiebeoordeling ondersteunt Kader de directie bij de beoordeling van de effectieve werking van het informatiebeveiligingssysteem en het in kaart brengen van verbetermogelijkheden en risico s. Onze deskundige adviseur is uw sparringpartner. De directiebeoordeling is een belangrijk onderdeel vanuit de norm voorafgaand aan certificering. Na certificering stelt de norm verplicht dat er een periodieke directiebeoordeling wordt uitgevoerd. Begeleiding naar certificering Kader is approved partner van een aantal gerenommeerde certificatie instellingen. Wij hebben goede contacten met veel certificatie instellingen. Hierdoor zijn wij in staat het moment van certificatie veelal te bespoedigen en te bevorderen. 6 - Kader, bureau voor kwaliteitszorg b.v.
Onze adviseurs werken transparant en toegankelijk bij u op locatie en zijn daardoor optimaal beschikbaar voor beantwoording van vragen over het managementsysteem en ondersteuning van het management. Kader kan de externe audit door de certificatie instelling begeleiden. Dit biedt extra zekerheid voor de opdrachtgever. Investering en doorlooptijd De gemiddelde doorlooptijd van ISO 27001 certificering varieert van 2 tot 6 maanden. Dit is sterk afhankelijk van de complexiteit en omvang van uw organisatie, maar ook de mate waarin de organisatie in de praktijk al voldoet aan de ISO 27001 norm. Voor een exact inzicht in de verwachte doorlooptijd, tijdsbesteding, taakverdeling en kosten van het totale certificatietraject voert Kader vaak eerst een nulmeting uit. Belangstelling Hebben wij uw belangstelling gewekt? Vraag dan een offerte aan of neem contact met ons op! Kader, bureau voor kwaliteitszorg b.v. - 7
ISO 27001 voor VolkerWessels Telecom Kader heeft ons uitstekend geholpen bij het traject naar ISO 27001 certificering. Vooral de specialistische kennis en jarenlange ervaring op het gebied van informatiebeveiliging en ISO 27001 was een absolute meerwaarde. Ook nu na afronding van het certificeringstraject blijft Kader ons ondersteunen bij het verder door ontwikkelen van informatiebeveiliging in onze organisatie. Zekerheid en vertrouwen voor opdrachtgevers Het ISO 27001 certificaat biedt zekerheid en vertrouwen voor nationale én internationale opdrachtgevers en klanten. Hiermee maken wij aantoonbaar dat wij zorgdragen voor continue beheersing van informatieprocessen en continue verbetering van onze organisatie. Zo zijn onze opdrachtgevers ervan verzekerd dat wij de vertrouwelijkheid, integriteit en beschikbaarheid van onze informatie optimaal borgen. Bianca Peper, Manager Procesondersteuning One Shoe Kader is meedenken! Kader weet de bekende valkuilen te vermijden, legt de lat niet te hoog en weet goed de verbanden tussen specifieke onderdelen in documentatie en dagelijkse werkzaamheden te leggen. De aanpak is informerend, ondersteunend en adequaat. Kader zorgde voor de routekaart naar het ISO 9001:2015 en ISO 27001 certificaat. Wij zijn erg tevreden met het eindresultaat. We hebben nu een goed houvast om continue verbetering te borgen. Kader blijft betrokken bij het onderhouden van het managementsysteem. Onder andere door het uitvoeren van interne audits, deelname aan ISO overleg en ondersteuning bij de directiebeoordeling. Michel van Velde, CEO 8 - Kader, bureau voor kwaliteitszorg b.v.
Aanvullende diensten Integratie met andere normen Bij de opzet van het informatiebeveiligingssysteem houden wij rekening met de mogelijkheid om diverse thema s met elkaar te integreren. Het is mogelijk om verschillende normen of branche-specifieke richtlijnen te integreren in ons managementsysteemmodel. U kunt hierbij denken aan bijvoorbeeld het combineren van ISO 9001, ISO 14001, OHSAS 18001 (ISO 45001) en ISO 27001 in één managementsysteem. GOED TE WETEN Heeft uw organisatie behoefte aan extra capaciteit en/of kennis? Kader biedt met eigen Information Security Managers een flexibele oplossing voor benodigde capaciteit, kennis, kunde en vaardigheden en continuïteit bij ziekte, zwangerschap of functieverandering! ISO 27001 certificaat behouden Eenmaal gecertificeerd? Om te blijven voldoen aan de eisen van certificatie en het maximale uit het geïmplementeerde informatiebeveiligingssysteem te halen, dienen met regelmaat de nodige inspanningen te worden geleverd. U kunt deze periodieke activiteiten uitbesteden aan Kader, zodat uw organisatie zich volledig kan richten op haar corebusiness. Kader, bureau voor kwaliteitszorg b.v. - 9
Over Kader Kader, bureau voor kwaliteitszorg verzorgt advies en opleidingen op het gebied van kwaliteit, veiligheid & arbo en milieu. We ondersteunen o.a. bij: Het behalen van certificaten (zoals ISO 9001 of ISO 27001). Het behalen van een diploma (zoals Hogere Veiligheidskunde of het bewijs van vakbekwaamheid tot EPA adviseur). Het voldoen aan wet- en regelgeving op het gebied van veiligheid, kwaliteit en milieu. CONTACT Mocht u aanvullende informatie wensen, neem gerust contact met ons op. Telefoonnummer 030 243 64 64 E-mail info@kader.nl Website www.kader.nl Kader is approved partner van gerenommeerde certificatie instellingen, heeft Hobéon SKO toegelaten opleidingen en is ISO 9001 gecertificeerd. De officiële erkenning door onafhankelijke certificatie instellingen onderstreept onze kwaliteit van dienstverlening en toont aan dat u verzekerd bent van een betrouwbare partij met ruime kennis en ervaring in het opzetten en implementeren van managementsystemen en een succesvolle begeleiding naar certificatie. Kader heeft vestigingen in Almelo, Amsterdam, Den Bosch, Rotterdam en Zeist. WAAROM KADER? Meer dan 20 jaar vakervaring; Begeleiding naar én na certificering; Praktische, resultaatgerichte en integrale aanpak; Approved partner van o.a. DEKRA, TÜV en BSI. V.0318 2018 Kader, bureau voor kwaliteitszorg b.v. Deze brochure is met de grootst mogelijke zorgvuldigheid samengesteld. Kader behoudt zich het recht voor zonder enige verplichtingen naar of jegens derden aanpassingen aan deze brochure door te voeren. 10 - Kader, bureau voor kwaliteitszorg b.v.
Kader, bureau voor kwaliteitszorg b.v. - 11
www.kader.nl 030 243 64 64 info@kader.nl Zeist Almelo Amsterdam Den Bosch Rotterdam