ISO 27001 certification

ISO/IEC 27001 describes the requirements for establishing, implementing, maintaining and continuously improving an organization's information security management system (ISMS). It is an internationally accepted standard and a valuable way to distinguish your organization because it demonstrates your compliance with industry standards and commitment to information security.

Why ISO 27001 certification?

An ISO 27001-certified organization demonstrates to the world that it can be trusted, has implemented an Information Security Management System (ISMS) in accordance with section 4.4 of the standard, and has demonstrated to an external auditor/independent ISO certification body that it complies.

ISO 27001 certification is a differentiator for organizations in competitive markets. It indicates that your partners, customers and employees can trust that your organization manages their information assets/data responsibly.

What are the benefits of ISO 27001 certification?

Voor alle belanghebbenden is de belangrijkste boodschap het vertrouwen en de zekerheid die voortvloeien uit een extern gecontroleerd informatiebeveiligingsbeheer. Compliance met ISO 27001 biedt meerdere voordelen - bijvoorbeeld:

Benefits for you

• Protection of brand and reputation
• Gain more business from new & existing customers
• Reduce the cost of sales
• Retaining more business
• Improved processes leading to cost and time savings
• Avoid fines for non-compliance with regulations (such as the AVG)
• Avoid civil litigation as a result of a data breach
• Avoid costs of remedial actions due to incidents and/or breaches
• Attract better staff

Benefits for your employees

• Confidence in organizational sustainability
• Work (and home) security training.
• Clarity through policies and procedures
• Pride in the organization and their role in protecting it

Benefits for your customers

• Confidence and assurance in you and your supply chain
• Less chance of a costly breach
• Reduced vendor familiarization costs

The requirements for ISO 27001

The standard consists of two parts. The first (main) part consists of 11 chapters (0 to 10). The second part, called Annex A, provides guidelines for 93 objectives and measures.

Two parts of the standard

Chapters 0 through 3 of the main body of the standard (Introduction, Scope, Normative References, Terms and Definitions) serve as an introduction to the ISO 27001 standard. Chapters 4 through 10, which contain the ISO 27001 requirements, are mandatory if the company wants to comply with the standard and are discussed in more detail later in this article.

Appendix A of the standard supports the chapters and their requirements with a list of measures that are not mandatory but are selected as part of the risk management process.

Hoofdstukken 4 - 10

The requirements of chapters 4 through 10 can be summarized as follows:

Hoofdstuk 4 van ISO 27001 - De context van de organisatie - Een voorwaarde voor het succesvol implementeren van een Information Security Management System is het begrijpen van de context van de organisatie. Externe en interne kwesties, evenals belanghebbende partijen, moeten worden geïdentificeerd en overwogen. Vereisten kunnen regelgevingskwesties omvatten, maar ze kunnen ook veel verder gaan.

With this in mind, the organization must define the scope of the ISMS.

Hoofdstuk 5 van ISO 27001 - Leiderschap & commitment - De vereisten van ISO 27001 voor adequaat leiderschap zijn talrijk. De betrokkenheid van het topmanagement is verplicht voor een managementsysteem. Doelstellingen moeten worden vastgesteld in overeenstemming met de strategische richting en doelstellingen van de organisatie. Het verschaffen van middelen die nodig zijn voor het ISMS en het ondersteunen van personen in hun bijdrage aan het ISMS zijn andere voorbeelden van verplichtingen waaraan moet worden voldaan.

In addition, top management must establish a top-level information security policy. The company's ISO 27001 Information Security Policy must be documented and communicated within the organization and to stakeholders.

Roles and responsibilities must also be assigned to meet the requirements of the ISO 27001 standard and to report on ISMS performance.

Hoofdstuk 6 van ISO 27001 - Planning - Planning in een ISMS-omgeving moet altijd rekening houden met risico's en kansen. Een risicobeoordeling voor informatiebeveiliging biedt een belangrijke basis om op te vertrouwen. Dienovereenkomstig moeten doelstellingen voor informatiebeveiliging worden gebaseerd op de risicobeoordeling. Deze doelstellingen moeten worden afgestemd op de algemene doelstellingen van het bedrijf en ze moeten binnen het bedrijf worden bevorderd omdat ze de beveiligingsdoelen vormen waar iedereen binnen het bedrijf naar toe moet werken. Uit de risicobeoordeling en de beveiligingsdoelstellingen wordt een risicobehandelingsplan afgeleid op basis van de maatregelen die worden vermeld in Bijlage A.

Hoofdstuk 7 van ISO 27001 - Middelen, ondersteuning en communicatie - Middelen, competentie van werknemers, bewustzijn en communicatie zijn essentieel voor de ondersteuning van het ISMS. Een andere vereiste is het documenteren van informatie volgens ISO 27001. Informatie moet worden gedocumenteerd, gecreëerd en bijgewerkt en moet worden gecontroleerd. Een geschikte set documentatie, inclusief een communicatieplan, moet worden onderhouden om het succes van het ISMS te ondersteunen.

Hoofdstuk 8 van ISO 27001 - Operationele uitvoering - Processen zijn verplicht om informatiebeveiliging te implementeren. Deze processen moeten worden gepland, geïmplementeerd en gecontroleerd. Risicobeoordeling en -behandeling - die, zoals we eerder hebben geleerd, op het netvlies van het topmanagement moeten staan - moeten in de praktijk worden gebracht.

Hoofdstuk 9 van ISO 27001 - Prestaties - De vereisten van de ISO 27001-norm verwachten controle, meting, analyse en evaluatie van het beheersysteem voor informatiebeveiliging. Naast het controleren van de belangrijkste prestatie-indicatoren van het werk, moet het bedrijf interne audits uitvoeren. Tot slot moet het topmanagement op gezette tijden het ISMS en de ISO 27001 KPI's van de organisatie evalueren.

Hoofdstuk 10 van ISO 27001 - Verbetering - Verbetering volgt op de evaluatie. Niet-conformiteiten moeten worden aangepakt door actie te ondernemen en de oorzaken ervan weg te nemen. Bovendien moet een continu verbeteringsproces worden geïmplementeerd. Hoewel de PDCA-cyclus (Plan-Do-Check-Act) niet meer expliciet wordt genoemd in ISO 27001, wordt deze nog steeds aanbevolen omdat deze een solide structuur biedt en voldoet aan de eisen van ISO 27001.

ISO 27001 certification process

Nadat een bedrijf de implementatie heeft voltooid, kan het ISO 27001:2022-certificeringsproces beginnen - de drie belangrijkste stadia hiervan zijn als volgt:

Fase 1 audit - Documentbeoordeling. In this audit, the auditor looks at the documented scope, the ISMS policies and objectives, the description of the risk assessment methodology, the risk assessment report, the declaration of applicability and risk treatment plan, along with procedures for document control, corrective and preventive action, and internal audit. You must also document a number of measures from ISO 27001 Annex A. You also need reports from at least one internal audit and management review. If any of these elements are missing, it means you are not ready for the next stage.

Fase 2-audit - Hoofdaudit. This phase usually follows a few weeks after the Phase 1 audit. The auditor checks whether your ISMS has actually been implemented in your company, or whether it exists only on paper. He will check this through observation and interviews with your employees, but mainly by checking your records. So you need to be sure that you are really complying with everything you have written down in your security policies and procedures. If there are no major discrepancies, the certification body will issue the ISO 27001 certificate to your company.

Als de auditor een belangrijke non-conformiteit heeft gevonden, zal hij u een deadline geven waarbinnen de non-conformiteit moet zijn opgelost (meestal 90 dagen). Het is uw taak om de juiste corrigerende actie te ondernemen, maar u moet voorzichtig zijn - deze actie moet de oorzaak van de non-conformiteit oplossen, anders accepteert de auditor misschien niet wat u hebt gedaan. Zodra u zeker weet dat de juiste actie is ondernomen, moet u de auditor op de hoogte brengen en hem/haar het bewijs sturen van wat u hebt gedaan. In de meeste gevallen, als u uw werk grondig hebt gedaan, zal de auditor uw corrigerende maatregelen accepteren en het proces voor de afgifte van het ISO 27001-certificaat in gang zetten.

Fase 3-audit - Toezichtsaudit. Het certificaat dat door de certificatie-instelling wordt afgegeven, is drie jaar geldig - gedurende deze periode controleert de certificatie-instelling of uw ISMS goed wordt onderhouden; vandaar de toezichtsaudits. De surveillanceaudits lijken erg op de hoofdaudits, maar ze zijn veel korter - ongeveer 30% van de duur van de hoofdaudit. Er zal elk jaar ten minste één surveillance-audit plaatsvinden - als uw bedrijf bijvoorbeeld in februari 2023 is gecertificeerd, dan zal de eerste surveillance-audit in februari 2024 plaatsvinden en de tweede in februari 2025; in februari 2026 zal uw certificaat verlopen en zult u beslissen of u voor hercertificering wilt gaan. De hercertificeringsaudit bestaat uit dezelfde drie fasen als de initiële certificering.

What questions will the ISO 27001 auditor ask?

Now let's take a closer look at the things an auditor might ask you.

1) Required documentation

The auditor will first review all documentation in the system (normally done during the Phase 1 audit) and ask for evidence of the existence of all documents required by the standard. In the case of security measures, he will use the Declaration of Applicability (CoA) as a guide. In addition to the required documents, the auditor will also review any document the company has developed to support the implementation of the system or implementation of measures. Examples include a project plan, network diagram, list of documentation, etc.

2) Proof

De volgende stap is om te controleren of alles wat geschreven staat overeenkomt met de werkelijkheid (normaal gesproken gebeurt dit tijdens de Stap 2 audit). Stel bijvoorbeeld dat het bedrijf bepaalt dat het informatiebeveiligingsbeleid jaarlijks moet worden herzien. Wat zal de vraag zijn die de auditor in dit geval zal stellen? U zou bijvoorbeeld kunnen raden: "Hebt u het beleid dit jaar gecontroleerd?". En het antwoord zal waarschijnlijk ja zijn. Maar de auditor kan niet vertrouwen op wat hij niet ziet; daarom heeft hij bewijs nodig. Dergelijk bewijs kan bestaan uit verslagen, notulen van vergaderingen, enz. De volgende vraag zou zijn: "Kunt u me documenten laten zien waarop de datum staat vermeld wanneer het beleid is herzien?"

Met betrekking tot beveiligingsmaatregelen - hij zal ook bewijs zoeken dat ze zijn geïmplementeerd, hoewel in dit geval de gegevens logboeken, bestanden in het systeem, schema's van het netwerk, configuratie van platforms, overeenkomsten met leveranciers of klanten, wetgeving, enz. kunnen zijn.

3) Interviews

At this point, the auditor knows what documents the company uses, so he must check whether people are familiar with them and whether they actually use them during day-to-day activities, i.e. check whether the ISMS works in the company. Therefore, the auditor should conduct interviews with employees to find out to what extent they are aware of at least the main documents that apply to them: Security policies, confidentiality clauses, acceptable use of resources, access control policies, etc.

An example of questions in an interview might look like the following:

• "Heeft u toegang tot de interne regels van de organisatie met betrekking tot de informatiebeveiliging?"
• "Kunt u mij enkele van de gerelateerde beleidsregels laten zien?"
• "Kunt u mij vertellen wat volgens u de belangrijkste punten in het beleid zijn?"

On the other hand, the auditor can also interview those responsible for processes, physical areas and departments to get their perception of the implementation of the standard in the company. In these interviews, the questions will focus on getting familiar with the functions and roles these people have in the system and whether they comply with the implemented measures.

Who certifies organizations for ISO 27001?

Ten eerste worden ISO-normen gepubliceerd door de International Organization for Standardization (ISO) - dit is een internationaal orgaan dat is opgericht door regeringen over de hele wereld. Het doel is om normen te publiceren en kennis en best practices te leveren, maar niet om certificaten uit te geven.

Certificates for companies are issued by organizations called certification bodies. These are entities licensed by accreditation bodies to conduct certification audits and assess whether a company's Information Security Management System complies with ISO IEC 27001.

Niet alle certificeringsinstanties (ook wel registrars genoemd) zijn gelijk. De kans is groot dat u er minstens een paar in uw land vindt, zodat u degene kunt kiezen die het beste bij u past. De prijs is natuurlijk belangrijk, maar dit is niet het enige criterium dat u moet gebruiken - wat ook belangrijk is, is dat de auditors uw branche kennen, dat ze een goede reputatie hebben, dat ze ook andere normen kunnen certificeren, enz.

Cost for ISO 27001 certification

Er zijn geen vaste kosten voor de certificeringsaudit - de certificeringsinstantie zal u kosten aanrekenen op basis van verschillende factoren, maar deze twee zijn de belangrijkste: (1) de grootte van uw organisatie en (2) de prijs van lokale certificeringsauditors. Een kleine organisatie in Nederland betaalt bijvoorbeeld ongeveer €7,000 voor de certificeringsaudit. Om een nauwkeuriger idee te krijgen van de ISO 27001 certificeringskosten, is het een goed idee om offertes aan te vragen bij een paar verschillende certificeringsinstanties.

How long is ISO 27001 valid once certified?

Once a certification body issues an ISO 27001 certificate to a company, it is valid for a period of three years. During this period, the certification body conducts surveillance audits to assess whether the organization is properly maintaining the ISMS and whether required improvements are being implemented in a timely manner.

How many companies are ISO certified?

ISO 27001 is wereldwijd de populairste norm voor informatiebeveiliging geworden en veel bedrijven hebben zich ervoor gecertificeerd - hier ziet u het aantal certificaten in de afgelopen jaren:

Source: The ISO overview of certifications of management system standards

Which companies are ISO 27001 certified? There is no official central list of ISO 27001-certified organizations, so information on which companies are ISO 27001-certified must be obtained directly from the ISO 27001 certifying companies.

Articles

How is ISO 27001 implemented?

How does implementing this standard work? In this article, we will take you through the world of ISO, the ISMS, the benefits, the investment and how to maintain an ISMS.

ISO 27001:2022 and ISO 27002:2022: What will change?

A new version of ISO 27002 was released in February 2022. What does that mean for your ISO 27001 certification?

Risk analysis tool

Are you in the process of achieving ISO 27001 compliance? We have developed a tool for your risk analysis that is free and non-binding to use. The information you enter can be downloaded as a PDF, but will not be saved.

Open the Risk analysis tool