ict beeld

Als ICT-dienstverlener bent u zich waarschijnlijk zeer bewust van alle risico’s op het gebied van informatiebeveiliging. De noodzaak om het ISO 27001 managementsysteem te implementeren voelt u dan wellicht ook niet zo. Toch kan dit systeem voor u voordelen opleveren. Daarom vertellen we u in deze blog waarom ISO 27001 voor ICT-bedrijven een must is.

Geef succesvol invulling aan ISO 27001 in uw organisatie - Download het  stappenplan

ISO 27001

ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. ISO 27001 helpt bij het opzetten van een managementsysteem voor informatiebeveiliging (ISMS) in uw organisatie gebaseerd op de ‘best practices’ uit de ISO 27002. Het ISMS helpt u om alle mogelijke risico’s te identificeren en maatregelen daarvoor te nemen en onderhouden.

Met een gecertificeerd managementsysteem voor informatiebeveiliging weet u zéker dat u er alles aan hebt gedaan om informatie te beveiligen en te voldoen aan privacywetgeving. Het ISO 27001 certificaat bestaat uit een driejarige cyclus. Dit houdt in dat u, als u het certificaat heeft behaald, drie jaar gecertificeerd bent. Wel worden er ieder jaar audits uitgevoerd om te controleren dat nog aan alle eisen wordt voldaan en het ISMS zijn werk doet. Na drie jaar moet u dan opnieuw bij een onafhankelijke partij - zoals bijvoorbeeld TÜV NORD - op voor hercertificering.

ISO 27001 voor ICT-dienstverleners

Tijdens een ISO 27001 audit wordt er beoordeeld of voor het bedrijf duidelijk is waar een organisatie aan moet voldoen, hoe het bedrijf daaraan voldoet en hoe de risico’s beoordeeld worden. Wat dit bij ICT-dienstverleners nét iets anders maakt dan bij andere organisaties, is dat het bij een regulier bedrijf alleen gaat de eigen data en IT infrastructuur. De data is ondersteunend aan het primaire proces (bijvoorbeeld een huisarts, waarbij de patiëntgegevens ondersteunend zijn aan het primaire proces zorg). Bij een ICT-dienstverlener is het beheer van die infrastructuur juist het primaire proces, want dat is het daadwerkelijke product. Dit maakt de risico’s anders en dus ook de maatregelen.

Waarom is ISO 27001 een must voor ICT-dienstverleners?

Omdat ICT voor de meeste organisaties geen core-business is, kiezen veel bedrijven om deze ICT-diensten uit te besteden. Daardoor betalen deze organisaties voor software en infrastructuur bij de ICT dienstverlener en hoeven ze zelf geen grote investeringen te doen op dat gebied. Als ICT-dienstverlener wordt er van u verwacht dat de bedrijfsinformatie bij u in goede handen is. Een ISO 27001 certificaat is hiervan een goed aantoonbaar bewijs. Kortom, ISO 27001 is voor een ICT-bedrijf eigenlijk een must. Maar er zijn nog meer redenen:

U verbetert uw eigen primaire proces

Met een ISO 27001 certificaat verbetert u uw eigen primaire proces. Allereerst omdat u door een analyse van de risico’s deze beter weet te beheersen. Maar ook door continue verbetering blijft u werken aan finetunen van uw primaire proces. Daar draagt de extra bewustwording van collega’s zeker nog aan bij. Door een ISO 27001 traject neemt deze bewustwording namelijk toe. Hierdoor gaan collega’s veiliger om met (persoons)gegevens en is de kans op incidenten kleiner, wat weer eventuele (reputatie)schade voorkomt.

Met ISO 27001 extra bewust van aansprakelijkheidsrisico's

Binnen een risicoanalyse moet ook rekening gehouden worden met risico’s die aansprakelijkheid met zich mee kan brengen. Dit jaar nog is er een gerechtelijke uitspraak geweest, waarbij een IT-bedrijf een deel van de schade moest vergoeden na een ransomware aanval. Niet elke IT-beheerder is meteen expert op het gebied van security. Het opzetten van een gestructureerd managementsysteem en de kritische blik van een onafhankelijk auditor kan hierbij helpen, zodat eventuele schade kan worden voorkomen.

Een bekend risico op dit gebied is het verlies van persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG of GDPR) speelt hierbij een belangrijke rol. Deze wet stelt vast hoe u in opdracht van klanten, moet omgaan met persoonlijke informatie. Met het ISO 27001 certificaat legt u een goede basis voor AVG compliance.

U bent een betrouwbare partner

Doordat ISO 27001 een internationaal erkende norm is, toont u met een ISO 27001 certificaat aan dat u een betrouwbare partner bent op het gebied van informatiebeveiliging. Een ISO 27001 certificaat geeft (potentiële) klanten meer zekerheid over de kwaliteit van uw dienstverlening. Dankzij het ISO 27001 systeem zijn uw processen namelijk zo ingericht dat zij de beschikbaarheid, integriteit, vertrouwelijkheid respectievelijk bescherming van informatie zo goed mogelijk waarborgen.

ISAE 3000 als aanvulling

Aanvullend is een ISAE3000 rapportage ook interessant om u nog meer als betrouwbare partner te presenteren. Een ISAE 3000 rapport wordt opgesteld om inzicht te verkrijgen en zekerheid te hebben over de juistheid van de processen van uitbestede diensten. Het toont aan de interne beheersprocessen van een organisatie ook daadwerkelijk worden uitgevoerd zoals ze zijn beschreven. 

Meer kans bij aanbestedingen/gunning van opdrachten

Een klant eist zekerheden, zeker als dit grote bedrijven, overheden of zorginstellingen betreft. Daarom zien we steeds vaker dat een ISO 27001 certificaat als knock-out criterium wordt gehanteerd bij tenders en offerte aanvragen. Wilt u dus mee kunnen doen, zult u in het bezit moeten zijn van een ISO 27001 certificaat.

Ga aan de slag met ISO 27001, download het stappenplan

Overtuigd om als ICT-bedrijf aan de slag te gaan met ISO 27001, maar vindt u het lastig te bepalen waar te beginnen? Onze experts ontwikkelden een praktisch ISO 27001 stappenplan om er meteen mee aan de slag te gaan. Met aandacht voor de technische kennis, maar ook voor het zorgen voor acceptatie en adoptie bij collega’s, helpen we u stap voor stap uw doel te bereiken.

Download het ISO 27001 stappenplan hier.

New Call-to-action

 

Onderwerpen:

Alle onderwerpen Certificeren ISO 27001 informatiebeveiliging privacywetgeving cybersecurity

mail icons 2

Stel uw vraag over

Certificering van managementsystemen, keurmerken en andere schema's

Planning en service voor certificering

Customer Service Center Certificatie

TÜV Nederland