Onlangs is ons ISO27001 certificaat weer verlengd. Deze verlenging bevestigt, dat wij op een goede manier omgaan met vertrouwelijke (klant) informatie en de privacy van onze medewerkers waarborgen. Als cybersecurity bedrijf zijn we natuurlijk zeer content dat ook deze audit weer uitstekend is verlopen.

Wat is ISO27001?
ISO27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. Met deze certificering laat je zien, dat je voldoet aan alle eisen rondom informatiebeveiliging en fungeert hierdoor als een goed uitgangspunt voor je organisatie. Voor jou als organisatie betekent dit echter wel, dat je jouw Information Security Management System (ISMS) goed op orde dient te hebben. Deze ISO norm beschrijft namelijk 114 beheersmaatregelen, die je kunt implementeren om ervoor te zorgen dat het Information Security Management System de Beschikbaarheid, Integriteit en Vertrouwelijkheid (zogenaamde BIV classificatie) van het bedrijf waarborgt.

Meerwaarde ISO-27001
De ISO27001-norm is op risico’s gebaseerd. Daarom is het uitgangspunt van de certificering dat het bedrijf de gegevens die het bezit documenteert en aangeeft in welke informatiesystemen deze worden opgeslagen. Dit is op zichzelf al een waardevolle en uitdagende oefening voor veel organisaties. Op basis van deze bevindingen en de classificatie van de gegevens implementeert het bedrijf beleid, procedures en controlemaatregelen ter beveiliging van zijn gegevens.

De andere meerwaarde van het certificaat is aantonen, dat een bedrijf zijn eigen informatiebeveiliging serieus neemt en dat gegevens veilig zijn. In het geval van Navaio werken Navaio-consultants voor en met een aantal van de grootste bedrijven van het land, maar ook met overheidsinstellingen. Gecombineerd met de toename van wet- en regelgeving en maatschappelijke druk op grote bedrijven, worden certificeringen zoals ISO27001 de minimumstandaard voor IT-beveiligingsbedrijven.

Waarde ISO27001 voor de klant
Wanneer je vraagt om de ISO27001-certificering van een serviceprovider, sturen ze jou in veel gevallen het certificaat als bewijs van hun certificering. Maar wat zegt dat certificaat over het ISMS van het bedrijf? Bijna niets. Je wilt namelijk weten wat het bedrijf zoal heeft geïmplementeerd om dat certificaat te mogen ontvangen. Deze informatie kan je opvragen door de reikwijdte van de scope van de certificering te vragen aan het desbetreffende bedrijf. Ook kan je vragen naar de Verklaring van Toepasselijkheid (VvT). De VvT geeft aan welke van de 114 beheersmaatregelen van de ISO standaard het bedrijf heeft geïmplementeerd en welke zijn uitgesloten.

Mocht je twijfels hebben over de authenticiteit van het certificaat, dan vermeldt het certificaat welke certificeringsinstelling het certificaat heeft verleend. Onderzoek deze certificeringsinstelling en check of de certificeringsinstelling is geaccrediteerd. Bij de instelling kan je vervolgens het ISO-certificaat laten verifiëren op echtheid.

Als een organisatie aarzelt om meer informatie over het certificaat te geven of als ze geen ISO-27001 certificaat hebben, kan dit al een teken zijn om te overwegen of je wel met deze organisatie wilt samenwerken.