|
Om een ISO 27001 certificaat te behalen moet uw organisatie voldoen aan een aantal voorwaarden. Gemiddeld duurt het rond de 6-9 maanden voordat een bedrijf gecertificeerd kan worden. Om het certificaat te behalen moet allereerst de ISO 27001 norm met de lijst van eisen worden aangeschaft. Daarna worden de volgende stappen doorlopen:
U kunt pas van start met de daadwerkelijke implementatie als u volledig begrijpt waar u aan moet voldoen en welke processen u moet inrichten. Het behalen van een certificaat begint dus met een goede voorbereiding door het doorlezen, begrijpen en doorgronden van de ISO 27001 norm.
Als voorbereiding op de implementatie wordt een nulmeting uitgevoerd. Tijdens de nulmeting wordt de huidige status van de organisatie in kaart gebracht en vastgesteld welke stappen er nog genomen moeten worden om te voldoen aan de eisen die behoren bij de ISO 27001 normering. Een belangrijk onderdeel van de nulmeting is het bepalen van de scope: de reikwijdte van het project. Hiermee wordt aangegeven welke informatie en bedrijfsonderdelen binnen het informatiebeveiligingssysteem (ISMS) vallen.
Nadat is vastgesteld welke stappen ondernomen moeten worden, kan de implementatie van start gaan. U kunt dit werk uit handen geven of er zelf mee aan de slag. Het implementeren van de norm kan een uitdaging zijn en daarom kiezen veel organisaties ervoor om zich hierin (deels) te laten begeleiden. Om de implementatie in goede banen te leiden moet een planning worden opgesteld waarin alle onderdelen die de norm vereist worden opgenomen. Hieronder vallen onder andere het uitvoeren van een risicoanalyse, het implementeren van maatregelen om de risico’s tot een aanvaardbaar niveau te brengen en te houden, het inplannen en afnemen van interne audits, het opstellen van een informatiebeveiligingsbeleid, het uitvoeren van een directiebeoordeling en het trainen van personeel.
Als alle onderdelen zijn geïmplementeerd, kan het managementsysteem worden getoetst door een auditor van een certificerende instantie. Dit verloopt in 2 fasen: de fase 1 (documenten) en fase 2 (implementatie) beoordeling. Tijdens deze 2 audits wordt gecontroleerd of uw organisatie voldoet aan alle eisen van de ISO 27001 norm. Als het systeem wordt goedgekeurd, ontvangt u het officiële certificaat dat 3 jaar geldig is. Na de eerste certificering vinden er jaarlijks geplande herbeoordelingen plaats. Er kunnen na een herbeoordeling proceswijzigingen nodig zijn om het certificaat te mogen behouden. |
Veelgestelde vragen
Hoe lang duurt het om ISO 27001 gecertificeerd te worden?▼
Gemiddeld duurt het 6-9 maanden voordat een bedrijf ISO 27001 gecertificeerd kan worden. De exacte duur hangt af van de omvang van uw organisatie en de huidige beveiligingsstatus.
Wat is een nulmeting bij ISO 27001?▼
Een nulmeting brengt de huidige beveiligingsstatus van uw organisatie in kaart en bepaalt welke stappen nodig zijn om aan de normeisen te voldoen. Hierbij wordt ook de scope (reikwijdte) van het project vastgesteld.
Welke stappen moet ik doorlopen voor ISO 27001 certificering?▼
De belangrijkste stappen zijn: doorgronden van de norm, uitvoering van een nulmeting, implementatie van maatregelen, en tenslotte certificering door een auditor in twee fasen.
Hoe lang is een ISO 27001 certificaat geldig?▼
Een ISO 27001 certificaat is 3 jaar geldig. Na de initiële certificering vinden jaarlijks herbeoordelingen plaats om het certificaat te behouden.
Moet ik ISO 27001 zelf implementeren of kan ik hulp inschakelen?▼
U kunt de implementatie zelf uitvoeren of deels/volledig uitbesteden. Veel organisaties kiezen voor begeleiding omdat implementatie complex kan zijn en veel tijd vraagt.
