Wat is ISO 27001?
ISO 27001 is de internationale standaard voor informatiebeveiliging. Kern van de ISO 27001 is het beschermen van de vertrouwelijkheid, integriteit en de beschikbaarheid van informatie. Daarnaast geeft het belanghebbenden het vertrouwen dat informatierisico’s onder controle zijn.
Je leest hieronder meer over ISO 27001, wat het voor je organisatie betekent en wat Organisatieadviesbureau De Vaart daarbij kan betekenen. Wil je meer informatie over deze norm of hoe wij dat borgen bij onze klanten? Maak een vrijblijvende afspraak met één van onze ervaren adviseurs.
Voordelen ISO 27001
Iedere organisatie heeft te maken met informatie. Dat kan vertrouwelijke informatie zijn, denk hierbij onder andere aan persoonsgegevens, klantgegevens en ordergegevens. Maar het kan ook van essentieel belang zijn dat die informatie op het juiste moment beschikbaar is, bijvoorbeeld als die informatie geraadpleegd moet worden om een besluit te maken. Daarnaast is het vaak ook van belang dat die informatie correct (integer) is. Denk aan de gevolgen van het maken van een financiële investering op basis van de verkeerde cijfers.
Daarom is het van belang om goed na te denken welke eisen er zijn met betrekking tot de verschillende informatie binnen de organisatie. Dit is precies wat wij doen bij het implementeren van een managementsysteem voor informatiebeveiliging conform de ISO 27001 norm.
Het behalen van een ISO 27001 certificaat heeft verschillende voordelen, zowel extern als intern:
Externe voordelen ISO 27001 certificering
Met een ISO 27001 certificering laat je aan de buitenwereld zien dat je de zaken op orde hebt op het gebied van informatiebeveiliging. De partijen met wie je samenwerkt geef je hiermee het vertrouwen dat je op de juiste manier omgaat met de informatie die zij je toevertrouwen en dat je in staat bent om de beschikbaarheid, integriteit en vertrouwelijkheid van die informatie te waarborgen.
Het ISO-certificaat geeft aan dat je de juiste maatregelen toepast om risico’s op het gebied van informatiebeveiliging te beheersen. We zien daarom steeds meer dat het hebben van een ISO 27001 certificering een belangrijke eis is voor klanten om voor een partij te kiezen.
Interne voordelen ISO 27001
Naast externe voordelen, brengt het implementeren van een ISO 27001 managementsysteem en het certificeren hiervan ook vele interne voordelen op. Het systeem dat we bouwen geeft de handvatten om eens kritisch naar de eigen organisatie te kijken en verbetering door te voeren, niet alleen tijdens de implementatie, maar juist ook daarna. Op die manier ben je als organisatie in staat om continu te blijven verbeteren op het gebied van informatiebeveiliging en informatiemanagement. Denk aan zaken zoals:
- Is het voor iedereen binnen de organisatie duidelijk op welke manier we met informatie om moeten gaan?
- Is onze organisatiestructuur logisch en is voor iedereen duidelijk wat er van hem/haar wordt verwacht om de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie te kunnen waarborgen?
- Zijn onze medewerkers bewust van de risico’s en weten ze hoe ze moeten handelen in verschillende situaties?
- Hebben we de juiste technische en organisatorische maatregelen getroffen om correct om te gaan met de informatie die we beheren, of om dit correct te beschermen?
- Zijn we in staat om informatiebeveiligingsincidenten, of zelfs datalekken te voorkomen? En als het toch voorkomt, weten we dan wat we moeten doen om de impact te minimaliseren en het in de toekomst te voorkomen?
- Zijn onze (werk)processen rondom informatiebeveiliging efficiënt?
- Is onze ICT infrastructuur op de meest effectieve manier ingericht om correct om te gaan met informatie en om dit naar behoren te beschermen?
Bij interne voordelen van een ISO 27001 certificaat, gaat het onder andere om:
- het inzichtelijk maken van risico’s rondom informatiebeveiliging en het implementeren van organisatorische en technische maatregelen om de kans op, of de impact van deze risico’s te minimaliseren.
- het bieden van duidelijke richtlijnen en afspraken, waardoor het voor iedere medewerker duidelijk is hoe zij om dienen te gaan met informatie in verschillende situaties middels een informatiebeveiligingsmanagementsysteem.
- het bieden van handvatten om de organisatie en processen structureel en continu te verbeteren.
- het voldoen aan wet- en regelgeving omtrent privacy.
Hoe behaal je een ISO 27001 certificaat?
In het kort komt het erop neer dat er voor een ISO 27001 certificering een informatiebeveiligingsmanagementsysteem opgezet en geïmplementeerd moet worden dat voldoet aan de eisen van de ISO 27001 norm. Nadat het informatiebeveiligingsmanagementsysteem 3 maanden in gebruik is, wordt het managementsysteem en hoe de organisatie hieraan opvolging geeft, beoordeeld door een certificerende instelling door middel van een externe audit.
Wanneer uit deze externe audit blijkt dat je werkt conform de eisen van de ISO 27001 norm en de eigen processen binnen het informatiebeveiligingsmanagementsysteem, krijgt jouw organisatie voor 3 jaar het ISO 27001 certificaat uitgereikt. Waarbij jaarlijks, door de certificerende instantie, getoetst wordt of er nog wordt voldaan aan de eisen van de ISO 27001 norm.
Onze adviseurs hebben reeds jarenlange ervaring met alles wat komt kijken bij het opzetten van een informatiebeveiligingsmanagementsysteem. Wij begeleiden je organisatie daarom graag bij het opzetten en implementeren van het managementsysteem voor ISO 27001.
Hoe zet je een managementsysteem op?
De Vaart kan je ondersteunen bij het opzetten van een informatiebeveiligingsmanagementsysteem dat aan de ISO 27001 voldoet. Wij hebben al meer dan 500 bedrijven geholpen en durven daarom te garanderen dat het gewenste certificaat behaald wordt!
Onze aanpak bij het opstellen van een managementsysteem is dat we de norm in de eerste instantie opzij leggen en jullie beleid, organisatie en processen als uitgangspunt nemen.
In onderstaand overzicht is te zien in welke 9 stappen wij samen zorgen voor een informatiebeveiligingsmanagementsysteem dat voldoet aan alle eisen en waarmee je organisatie klaar is voor certificering.
9 StappenplanWat kan je van De Vaart verwachten?
Bij Organisatieadviesbureau De Vaart kan je terecht voor certificeringadvies en organisatieadvies. Wij begeleiden je bij jouw vraagstukken naar een oplossing die écht werkt voor jouw specifieke situatie. Er is geen sprake van een standaard werkwijze, maar we werken volgens een op maat gemaakt plan voor de organisatie.
In het geval van certificeringsadvies, volgen we niet standaard de eisen van de norm. We volgen de behoeften en wensen van jouw organisatie en zorgen er vervolgens voor dat je daarmee ook voldoet aan de norm, met als resultaat: het gewenste certificaat. Maar het belangrijkste resultaat gaat verder dan dat. De processen – intern en extern – zullen beter verlopen, je blijft interne efficiëntieslagen maken en kostenbesparingen worden mogelijk gemaakt.
Wil je meer weten over onze werkwijze? Klik dan hier.
Onze werkwijze
Direct contact met één van onze adviseurs.
Bel naar 010 26 88 015 of stuur een mail naar info@devaart.nl en stel je vraag geheel vrijblijvend.
Informatiebeveilingsmanagement
Binnen elke organisatie is het belangrijk om veilig om te gaan met data en vertrouwelijke informatie. Op basis van wet- en regelgeving en eigen wensen en voorkeuren is het belangrijk om aandacht te besteden aan informatiebeveiliging.
Het beginpunt van de continue beveiliging binnen ISO 27001 is het maken van een risico inventarisatie. Hierin worden alle risico’s rondom informatiebeveiliging beoordeeld en krijgen alle risico’s een waarde (kans x effect).
Zodra de risico’s inzichtelijk zijn is de volgende stap binnen ISO 27001 om maatregelen te implementeren om deze risico’s tot een aanvaardbaar niveau te brengen en te houden. Dit kunnen zowel organisatorische maatregelen zijn, zoals het vaststellen van een duidelijk beleid met gedragsrichtlijnen, als technische maatregelen zijn, zoals het inrichten van een goede backup cyclus of het monitoren van de werkstations op virussen en malware.
Afhankelijk van het vastgestelde risico zullen er meer of minder beheersmaatregelen genomen moeten worden om te zorgen dat het tot een acceptabel niveau wordt teruggebracht. Met andere woorden totdat de organisatie “in control” is.
Wat is een informatiebeveiligingsmanagementsysteem?
Een informatiebeveiligingsmanagementsysteem systeem richt zich op het beschermen van de vertrouwelijkheid, integriteit en de beschikbaarheid van informatie, en geeft belanghebbenden het vertrouwen dat risico’s worden beheerd. Daarnaast zorgt het voor het optimaliseren van het beleid, interne organisatie en bedrijfsprocessen met als doel het correct omgaan met de verschillende soorten informatie in verschillende situaties en de eigen producten en diensten continu te verbeteren op het gebied van informatiebeveiliging. Dit fundament levert meer grip op de dagelijkse werkzaamheden en biedt een duidelijke koers naar de toekomst.
Een informatiebeveiligingsmanagementsysteem is een set van organisatie- en procesbeschrijving die een leidraad vormt voor de beheersing van de activiteiten. De structuur die De Vaart hanteert voor een ISO 27001 certificering is opgebouwd uit een drietal niveaus: beleid, organisatie en proces. Hieronder is ieder niveau kort beschreven.
Het beleidsniveau voor ISO 27001
Een beleidsverklaring met concrete actieplannen en KPI’s die de organisatie hanteert om de doelstellingen ten aanzien van informatiebeveiliging te behalen.
Het organisatieniveau voor ISO 27001
Op dit niveau wordt de organisatie in kaart gebracht. Denk hierbij aan het opstellen van een organogram, functieprofielen en vergaderoverzicht. Het opstellen van een procedure indiensttreding, opleiden en awareness (bewustzijn) activiteiten.
Het procesniveau voor ISO 27001
Het in kaart brengen van relevante onderdelen van het dagelijkse proces, zoals bijvoorbeeld procedures verkoop, onboarding van nieuwe klanten, ontwikkeling van producten, inkoop en leveranciersmanagement.
Het managementsysteem voor ISO 27001 certificering heeft met deze drie niveaus een overzichtelijke en efficiënte opzet. Deze opzet borgt continue verbetering van de effecten van de bedrijfsvoering op de geleverde kwaliteit, werkbaarheid en veiligheid.
Onze adviseurs werken in house, waardoor er korte lijntjes
zijn en we echt aanwezig zijn in de organisatie.
Begeleiding bij ISO 27001 certificering
De Vaart zorgt er – zoals hierboven weergegeven – in 9 stappen voor dat je organisatie een certificaat in handen heeft.
Je kunt hierbij kiezen voor de ontzorgvariant – waarbij wij het voortouw nemen en het systeem met je opzetten – of voor de variant waarbij je alleen een stukje begeleiding wilt en zelf het systeem gaat opzetten.
Onze service stopt niet bij het opzetten van een managementsysteem of het geven van advies. Samen met jou en je medewerkers zorgen we ook voor de implementatie van de benodigde oplossingen en bereiden we jullie voor op de externe ISO 27001 audit. We werken altijd vanuit het bedrijfsbelang. We zien de organisatie als klant, niet de directeur of een individu. Natuurlijk worden de dagelijkse werkzaamheden zo min mogelijk belemmerd.
ISO 27001 certificaat: 3 jaar geldig
Voldoet het ISO 27001 managementsysteem aan de eisen van de ISO 27001 norm, is het managementsysteem 3 maanden in gebruik en is het door een certificerende instelling getoetst? Bij het behalen van deze toetsing, wordt de organisatie voorgedragen voor een ISO 27001 certificering en kan je het ISO 27001 certificaat binnen aantal weken verwachten.
ISO 27001 certificering is een driejarige cyclus met jaarlijkse audits. Dit wil zeggen dat het certificaat 3 jaar geldig is. Ieder jaar komt de certificerende instantie weer kort langs om te toetsen of de organisatie zich nog steeds aan het eigen informatiebeveiligingsmanagementsysteem houdt.
ISO 27001 integreren in bestaand managementsysteem
De ISO 27001 norm heeft dezelfde bekende High Level Structure (HLS structuur) waarop andere normen zoals ISO 9001, ISO 14001 (link) en ISO 45001 ook zijn gebaseerd. Dit betekent dat deze norm eventueel gemakkelijk is te integreren in een reeds bestaand managementsysteem. Om te voldoen aan de ISO 27001 norm zullen we de organisatie begeleiden bij het opzetten, implementeren, monitoren, onderhouden en verbeteren van een informatiebeveiligingsmanagementsysteem.
ISO 27001 consultants met ruime ervaring
De consultants van De Vaart hebben een relevante HBO of WO opleiding genoten. Doordat we allerlei verschillende soorten bedrijven in ons klantenbestand hebben, beschikken ze over een brede basiskennis. Je krijgt altijd een consultant toegewezen die bij jou en je bedrijf past. Dit doen we voor een optimale samenwerking tussen jou, je medewerkers en onze organisatie. Periodiek bespreken we met onze consultant de voortgang zodat we de kwaliteit van het project kunnen waarborgen. Indien wenselijk kunnen we een tweetal consultants inzetten voor je organisatie.
Informatie en advies over ISO 27001
Heb je nog vragen over ISO 27001? Neem contact op met één van onze adviseurs door te bellen naar 010 26 88 015 of mail naar info@devaart.nl om te horen wat wij voor jouw organisatie kunnen betekenen. Onze adviseurs voorzien je graag en geheel vrijblijvend van het juiste advies.
Wij helpen je graag meer grip te krijgen op je organisatie.
Veelgestelde vragen over ISO 9001
ISO 27001 is een internationale norm voor informatiebeveiliging. De norm helpt je om informatie structureel te beschermen, zoals klantdata, personeelsdossiers en bedrijfsinformatie. Je richt daarvoor een managementsysteem voor informatiebeveiliging (ISMS) in: afspraken, rollen, werkwijzen en controles waarmee je risico’s in kaart brengt, passende maatregelen kiest en de werking periodiek beoordeelt.
Het doel is dat informatiebeveiliging goed is geborgd in de organisatie en dat je een continu verbeterproces inricht, zodat verantwoordelijkheden helder zijn, risico’s beheerst worden en je organisatie stap voor stap sterker wordt in het algemeen en met het omgaan met informatiebeveiliging. Het gaat dus niet alleen om IT, maar ook om mensen, processen en sturing.
Een managementsysteem voor informatiebeveiliging (in het Engels vaak ‘ISMS’ genoemd) is de manier waarop je informatiebeveiliging centraal organiseert en borgt in je organisatie. Je legt vast welk beleid je volgt, welke procedures en werkinstructies gelden, wie verantwoordelijk is, en welke controles je uitvoert om te toetsen of het ook echt werkt.
In de praktijk betekent dit dat er één vaste plek ontstaat waar alle beveiligingsafspraken, documenten, registraties en bewijzen samenkomen en actueel blijven, bijvoorbeeld in SharePoint. Zo wordt informatiebeveiliging geen losse set IT-maatregelen, maar onderdeel van de dagelijkse werkwijze, waardoor de organisatie stap voor stap sterker wordt in sturing, samenwerking en risicobeheersing, met continu verbeteren op basis van evaluaties.
ISO 27001 is relevant voor elke organisatie die informatiebeveiliging goed en aantoonbaar wil regelen. Het is vooral waardevol wanneer je niet wilt leunen op losse IT-maatregelen, maar informatiebeveiliging structureel wilt borgen in afspraken, rollen, procedures en controles binnen een managementsysteem.
In de praktijk zijn er meestal twee aanleidingen:
- Intern: je wilt structuur aanbrengen, duidelijkheid in verantwoordelijkheden en grip op risico’s.
Extern: klanten, aanbestedingen of andere stakeholders vragen om aantoonbare informatiebeveiliging, of je wilt hierop vooruitlopen.
ISO 27001 is meestal niet wettelijk verplicht. In de praktijk kan het wel een eis zijn vanuit klanten, contracten, ketenpartners of aanbestedingen. Organisaties kiezen er daarnaast ook uit zichzelf voor om informatiebeveiliging structureel te organiseren en aantoonbaar te maken via een managementsysteem, waardoor de organisatie meer grip krijgt op risico’s en afspraken beter worden nageleefd, met duidelijke rollen, procedures en periodieke controles. Let op: ISO 27001 gaat over informatiebeveiliging en is niet hetzelfde als voldoen aan alle privacy-juridische eisen (AVG). Wel kan met het managementsysteem een structuur worden neergezet waarmee kan worden voldoen aan de AVG-wetgeving.
Voor ISO 27001 richt je een managementsysteem voor informatiebeveiliging in en laat je zien dat dit systeem in de praktijk werkt. Bij De Vaart doen we dat via ons 8-stappenplan, waarbij we starten vanuit jullie organisatie en werkwijze, en de norm daarna gebruiken als toets. Meer uitleg over ons 8-stappenplan vind je in onze algemene ISO-whitepaper.
In de kern betekent dit:
- scope en doelen bepalen,
- risico’s in kaart brengen en passende maatregelen kiezen (incl. vastleggen wat wel en niet van toepassing is),
- implementeren en uitrollen zodat iedereen werkt volgens de afspraken,
- intern toetsen met interne audits en een managementreview,
- daarna volgt de externe certificeringsaudit door een certificerende instelling.
Het doel is een werkbaar systeem dat aantoonbaar beheerst en continu verbetert, geen papieren dossier.
De ISO 27001-certificeringsaudit bij een certificerende instelling bestaat in het eerste jaar uit twee fasen.
Fase 1 (document review): de auditor beoordeelt of het managemenstsysteem staat, of de scope en risicoanalyse kloppen en of de benodigde documenten aanwezig zijn.
Fase 2 (praktijkaudit): de auditor toetst of het managementsysteem in de praktijk werkt. Denk aan interviews met medewerkers, het bekijken van registraties en bewijs, en controle of maatregelen daadwerkelijk worden toegepast.
Eventuele bevindingen moeten worden opgevolgd. Als de beoordeling positief is en opvolging op orde is, wordt het ISO 27001-certificaat afgegeven.
Een ISO 27001-certificering duurt meestal circa 5 tot 9 maanden, afhankelijk van de omvang en complexiteit van je organisatie en van wat er al is ingericht. In de praktijk zit de tijd vooral in het opzetten en uitrollen van het managementsysteem, het uitvoeren van de eerste interne audit en managementreview, en een proefdraai-periode. Voor de externe audit moet het systeem aantoonbaar minimaal drie maanden in gebruik zijn.
Het traject kan sneller als dit vereist is (bijvoorbeeld door een deadline vanuit een klant of aanbesteding), maar dat vraagt vaak meer interne capaciteit en strakkere planning, waardoor organisaties het traject meestal als intensiever ervaren.
De kosten van een ISO 27001-certificering bestaan uit drie onderdelen: begeleiding, interne tijd en de kosten van de certificeringsaudit bij een certificerende instelling. Er is geen vast bedrag, omdat de totale investering vooral afhangt van de omvang van je organisatie, de scope en de complexiteit van je werkzaamheden, processen en IT.
In de praktijk zie je verschillen doordat grotere of complexere organisaties meer werk hebben om afspraken, beheersing en bewijsvoering goed te borgen, en doordat de scope (bijvoorbeeld één of meerdere locaties, veel leveranciers of uitbesteding) direct invloed heeft op de benodigde inspanning.
Wil je dit voor jouw situatie concreter maken, dan kun je in onze algemene ISO-whitepaper meer lezen over kostenindicaties en over het verschil tussen een ontzorgtraject en een coachingtraject.
Een ISO 27001-certificaat is drie jaar geldig. In die periode vindt jaarlijks een controle-audit plaats. Tijdens die audits toon je aan dat het managementsysteem niet alleen bestaat, maar ook actief wordt gebruikt en continu wordt verbeterd.
Dat betekent dat je gedurende het jaar alle geplande acties en controles uitvoert, zoals interne audits, managementreviews, het opvolgen van incidenten en het doorvoeren van verbetermaatregelen. Aan het einde van de drie jaar volgt een hercertificeringsaudit om het certificaat te verlengen.
De scope van ISO 27001 beschrijft voor welke activiteiten en diensten je gecertificeerd wilt zijn, en welk deel van de organisatie daarvoor onder het managementsysteem valt (bijvoorbeeld teams, locaties, systemen en ondersteunende processen). In de praktijk is de scope dus het “scope statement” waarmee je naar de markt uitdraagt waar het certificaat over gaat.
De scope is belangrijk omdat die:
- bepaalt wat de auditor beoordeelt en waar de eisen gelden,
- zorgt dat de certificering aansluit op wat je daadwerkelijk levert aan klanten en partners, zonder te breed of te vaag te worden.
Een heldere scope voorkomt misverstanden, houdt het traject werkbaar en maakt extern duidelijk waarvoor je ISO 27001-gecertificeerd bent.
Voor ISO 27001 gaat het niet om zoveel mogelijk papier, maar om een managementsysteem waarin je de afspraken en bewijzen vastlegt die je nodig hebt om informatiebeveiliging te sturen, te borgen en te verbeteren. De norm schrijft weinig vaste formats voor, maar verwacht wél dat essentiële informatie gedocumenteerd en beheerst is.
Bij De Vaart bouwen we dit op als een werkbaar managementsysteem: we starten met wat er al is, brengen processen en risico’s in kaart en leggen vervolgens alleen vast wat echt toegevoegde waarde heeft, op één centrale plek, zodat het systeem in de praktijk gebruikt en onderhouden wordt.
In de praktijk heb je doorgaans in ieder geval:
- een informatiebeveiligingsbeleid en doelen,
- de scope van het ISMS en relevante rollen/verantwoordelijkheden,
- een risicoanalyse met gekozen maatregelen,
- een Statement of Applicability (SoA) met onderbouwing,
- registraties die laten zien dat het systeem werkt, zoals interne audits, incidenten, corrigerende maatregelen en verbeteracties, en de managementreview.
Hoe uitgebreid je dit vastlegt, hangt af van je organisatiegrootte en werkwijze. Belangrijk is dat het werkbaar is, aantoonbaar wordt toegepast en continu verbetert.
Een Statement of Applicability (SoA) is een verplicht onderdeel van ISO 27001. In de SoA leg je vast welke beveiligingsmaatregelen uit de norm van toepassing zijn verklaard en zijn geïmplementeerd binnen jouw managementsysteem.
Daarnaast vermeld je welke maatregelen niet van toepassing zijn, en alleen voor die uitgesloten maatregelen licht je toe waarom. Die onderbouwing is meestal gebaseerd op bijvoorbeeld risico’s, contractuele eisen, business requirements of wettelijke eisen.
De SoA is belangrijk voor de certificeringsaudit en helpt intern om overzicht te houden over welke maatregelen gelden, wie verantwoordelijk is en welke bewijsvoering daarbij hoort.
De drie basisprincipes van informatiebeveiliging zijn vertrouwelijkheid, integriteit en beschikbaarheid:
- Vertrouwelijkheid: alleen geautoriseerde personen hebben toegang tot informatie.
- Integriteit: informatie blijft correct en volledig, en wijzigingen zijn beheerst en te herleiden.
- Beschikbaarheid: informatie en systemen zijn bruikbaar wanneer je ze nodig hebt.
Bij De Vaart gebruiken we deze principes niet alleen als definities, maar als uitgangspunt voor het hele managementsysteem. Ze helpen om informatie te classificeren (welk type informatie vraagt welke bescherming) en om per risico en toepassing te bepalen hoe zwaar je maatregelen moeten zijn, zodat de inrichting past bij de organisatie en de praktijk.
De AVG is privacywetgeving en gaat over het op een juiste manier omgaan met persoonsgegevens. Dat betekent onder andere: wanneer je gegevens mag gebruiken, welke verplichtingen je hebt richting betrokkenen (transparantie en rechten), en dat je kunt aantonen dat je dit goed organiseert.
Informatiebeveiliging gaat over het beheersen van risico’s rond alle informatie (dus ook persoonsgegevens), met als doel de vertrouwelijkheid, integriteit en beschikbaarheid te borgen. In de praktijk doe je dat door afspraken, rollen, procedures en controles in te richten in een managementsysteem, zodat er aantoonbaar op een juiste manier met informatie wordt omgegaan.
Goede informatiebeveiliging ondersteunt de AVG, omdat de AVG ook vraagt om passende technische en organisatorische maatregelen en beheersing van datalekken, maar de AVG bevat daarnaast privacy-juridische eisen die je niet volledig oplost met alleen informatiebeveiliging.
Het verschil tussen ISO 9001 en ISO 27001 zit in de focus van het managementsysteem. ISO 9001 is kwaliteitsmanagement en draait om grip op je bedrijfsvoering, tevreden klanten en het continu verbeteren van beleid, organisatie en processen.
ISO 27001 is informatiebeveiliging en richt zich op het systematisch beheersen van risico’s rond informatie en systemen, zodat je passende maatregelen kiest en aantoonbaar borgt (bijvoorbeeld tegen ongeautoriseerde toegang, datalekken of ransomware).
Kort gezegd: ISO 9001 = grip en continu verbeteren van de organisatie, ISO 27001 = risico’s op informatiebeveiliging beheersen en borgen.
