ISO27001 Certificering

DigiTrust helpt uw organisatie graag bij het realiseren van uw ISO 27001 certificering en is in Nederland dé expert op het gebied van informatiebeveiliging. Het beoordelen van uw managementsysteem voor informatiebeveiliging is onze core business. We hebben een eigen team van auditoren, die goed kijken naar de context van uw organisatie.

Al meer dan 450 organisaties gingen u voor.

Certificeringstraject - DigiTrust - ISO 27001 Certificering - NEN 7510 Certificering - ISO 9001 certificering

ISO 27001:2022 en de ISO27001:2023

ISO27001:2023 versie

Ja u leest het goed, er is een 2022 én een 2023 versie. Hoe zit dat?

De ISO/IEC 27001:2022 norm is in oktober 2022 gepubliceerd. Dit is een wereldwijde – internationale norm. Om te voorkomen dat internationale normen conflicteren met Europese normen, moet de European Committee for Standardization (CEN) die internationale normen eerst goedkeuren. Op 23 juli 2023 heeft de CEN de internationale 2022-versie, zonder aanpassingen goedgekeurd voor Europa. De NEN heeft deze versie voor Nederland geaccepteerd en in augustus 2023 gepubliceerd waardoor er nu de volgende versies beschikbaar zijn:

  • NEN-EN-ISO/IEC 27001:2023 nl
  • NEN-EN-ISO/IEC 27001:2023 en

Dit zijn dus de Europese – Nederlandse versies.

De internationale / wereldwijde versie is en blijft dus: ISO/IEC 27001:2022.

Indien u wilt gaan certificeren, moet u aangeven of u voor de Europese-Nederlandse versie of internationale gecertificeerd wilt worden. Wilt u de ISO 27001 norm kopen, dan kijkt u hier

Nieuwe naam
De nieuwe versie van de norm heeft ook een nieuwe naam gekregen. De volledige naam is nu: Informatiebeveiliging, cybersecurity en bescherming van de privacy – Managementsysteem voor informatiebeveiliging 

Aanpassing HLS
In de hoofdstukken 4 t/m 10 (HLS) zijn enkele kleine aanpassingen doorgevoerd. Denk daarbij aan H4 stakeholder analyse, H6.3 Het managen van veranderingen aan je ISMS, H8 operationele planning, H9 interne audit en de Management Review en als laatste H10 waarbij de 10.1 en 10.2 onderwerpen zijn omgedraaid. Het zijn kleine aanpassingen, die u vrij eenvoudig in uw ISMS kunt doorvoeren. 

Aanpassing Annex A
De huidige ISO 27001:2013 bevatte 114 maatregelen, verdeeld over 14 hoofdstukken. De ISO 27001:2022 norm is teruggebracht naar 4 hoofdstukken waarvan er veel maatregelen zijn samengevoegd:

  • Annex 5 (organisatie gerichte beheersmaatregelen) 
  • Annex 6 (mens gerichte beheersmaatregelen) 
  • Annex 7 (fysieke beveiliging beheersmaatregelen) 
  • Annex 8 (technische beheersmaatregelen)
     

In totaal zijn er nu 96 beheersmaatregelen, waarvan er 11 nieuw zijn. 

Van ISO 27001:2013 naar ISO 27001:2023 

Voor reeds gecertificeerde organisaties zal de overgang van ISO 27001:2013 naar ISO 27001:2023 binnen 3 jaar plaats moeten vinden én u zult binnen 3 jaar ook moeten voldoen aan de nieuwe versie. De deadline is afhankelijk van de geboortedatum van uw certificaat. De DigiTrust backoffice kan uw situatie beoordelen en samen met u bepalen wanneer uw deadline is. Uiteraard mag u ook eerder over naar de nieuwe norm. Deze overstap wordt gedaan via een Transitie-audit. 

Indien u bij DigiTrust een nieuwe initiële certificering gaat starten mogen we dit vanaf 01/02/23 uitvoeren op deze nieuwe versie van de norm. 

Vanaf 30 April 2024 mogen we niet meer op de ISO27001:2013 certificeren. Vanaf deze datum mogen we alleen nog maar op de nieuwe versie van de norm certificeringen uitvoeren. 

Transitie audit indien u al bij ons gecertificeerd bent 
Volgens de daarvoor geldende richtlijnen moet DigiTrust voor de uitvoering van de transitie audit de juiste audittijd met u inplannen. 

Bij een separate transitie audit of gecombineerd met een controle audit zal er 1 dag extra worden berekend. Indien de transitieaudit wordt gecombineerd met een HER-certificering dan zal 0,5 worden berekend voor de aanvullende transitie audit. 

Gedurende deze audit beoordelen we enkele onderwerpen om te beoordelen of u echt klaar bent om uw huidige certificaat over te zetten naar een certificaat tegen de ISO27001:2023 versie.  

Wat gaan we beoordelen? 

  • Uitgevoerde GAP-analyse 
  • Risicoanalyse en behandelplan 
  • VVT aanpassing 
  • Interne audit 
  • Directiebeoordeling 

NEN 7510 

Indien u een NEN7510 certificering heeft dan blijft deze op de huidige versie. Immers er is nog geen nieuwe versie van deze norm beschikbaar. Indien u zowel de ISO27001 én een NEN7510 certificering heeft kunt u met uw lopende ISO27001 certificering al over op de nieuwe norm. Er ontstaat dan een situatie van ‘oud en nieuw’ door elkaar in uw ISMS.  

De beheerder/eigenaar van deze norm is de NEN. Doordat er een nieuwe versie van de ISO 27001 is uitgebracht is de NEN normcommissie momenteel bezig om ook een nieuwe versie van de NEN7510 uit te brengen. Naar verwachting zal dit pas in de loop van 2024 definitief zijn en gepubliceerd worden. 

Heeft u hierover vragen neem dan contact met ons op. 

of bel met een van onze specialisten

De normering uitgelegd

Wat is ISO 27001?

De ISO 27001 is wereldwijd een erkende norm op het gebied van informatiebeveiliging.  Als organisatie dient u dan ook uw informatiebeveiliging op orde te hebben. Een datalek heeft voor uw organisatie niet alleen financiële gevolgen, maar ook uw reputatie wordt aangetast.

In de ISO 27001 norm zijn alle eisen aan informatiebeveiliging vastgelegd. Met een certificering tegen deze norm maakt u aantoonbaar dat u een werkend managementsysteem voor informatiebeveiliging heeft. Bovendien geldt de certificering als een eis bij veel aanbestedingen.

Waarom is een ISO 27001 certificering belangrijk?

Indien u als organisatie uw bedrijfsgegevens de gegevens van uw klanten, leveranciers of stakeholders niet beveiligd, dan kunnen de gevolgen groot zijn. Zo kan een hack of een datalek ervoor zorgen dat deze gevoelige informatie op straat komt te liggen met alle gevolgen van dien.
Met een ISO 27001 certificering zorgt u ervoor dat het geheel van maatregelen, processen en procedures om een datalek of ongewenste toegang tot belangrijke informatie zoals persoonsgegevens, intellectueel eigendom, bedrijfsgevoelige informatie of informatie van klanten en relaties wordt geminimaliseerd. Dit geeft vertrouwen voor anderen om met uw bedrijf zaken te doen.

De stappen uitgelegd

Hoe kunt u als bedrijf een ISO 27001 certificering behalen?

U kunt de ISO 27001 norm aanschaffen via de NEN. Om een certificering te behalen is er eerst een ISO 27001 audit nodig. Hier kan DigiTrust u bij helpen. Ons certificeringstraject heeft een aantal logische stappen.

Tijdens de Pre-audit kijken wij of u klaar bent voor de certificering. Wat is de status van het managementsysteem? Zijn er mogelijk nog zaken niet op orde? DigiTrust kan samen met u bepalen welke onderwerpen aan de orde moeten komen tijdens deze pre-audit. Ook de tijdsduur bepalen we samen. Veelal ligt dit rond tussen 2 à 4 dagen voor een goed beeld van het managementsysteem en alle beheersmaatregelen. Na iedere pre-audit levert DigiTrust u een helder auditrapport op, waarin op detailniveau wordt beschreven waar u mogelijk dus nog niet conform de ISO 27001 norm eisen werkt.

Tip; dit is een veel gekozen optie. U gaat hierdoor écht met het traject beginnen en krijgt direct een goed beeld waar u als organisatie staat.

Initiële certificering

DigiTrust toetst of het systeem werkt en functioneert volgens de eisen vanuit de ISO 27001. Deze beoordeling omvat ook de beoordeling van alle werkzaamheden op uw kantoor als op de uitvoeringslocatie. De initiële certificering bestaat uit 2 delen. De fase 1 en fase 2 audit.

Tijdens de fase 1 audit kijken we in hoofdlijnen naar uw management systeem (ISMS) en of u wel echt klaar bent voor de fase 2 audit. Ook gaan we samen het auditplan maken voor de fase 2. Wie hebben we wanneer nodig.

Tijdens de fase 2 audit toetsen we het ISMS en alle beheersmaatregelen.

Fase 1

Tijdens de fase 1 audit kijken we in hoofdlijnen naar uw management systeem (ISMS) en of u wel echt klaar bent voor de fase 2 audit. Ook gaan we samen het auditplan maken voor de fase 2. Wie hebben we wanneer nodig.

Fase 2

Tijdens de fase 2 audit toetsen we het ISMS en alle beheersmaatregelen.

Uitgifte certificaat

Bij een positieve beoordeling zal de auditor de organisatie voordragen ter certificatie. De certificatiemanager doet een kwaliteitscontrole op het dossier. Als alles in orde is ontvangt u de ISO 27001 certificering.

Controle 1

Gedurende de looptijd van het certificaat, die doorgaans drie jaar betreft, zal DigiTrust jaarlijks een controleaudit uitvoeren. Tijdens een controle audit nemen we een steekproef op de verschillende norm elementen. Bij een positieve beoordeling zal het lopende certificaat worden voortgezet.

Controle 2

DigiTrust komt ongeveer drie maanden voor het aflopen van het certificaat langs voor de herbeoordeling. Deze beoordeling is van dezelfde omvang als die bij stap 2 en moet ervoor zorgen dat bij een positief resultaat het certificaat met drie jaar wordt verlengd.

Wat is de investering voor een ISO 27001 certificering?

Benieuwd naar de investering van een ISO 27001 certificering en hoe die zijn opgebouwd? De basis van de audittijd en dus de kosten begint bij het aantal FTE dat werkzaam is binnen de scope van certificering, het aantal fulltime-equivalenten. Vervolgens wordt gekeken naar de complexiteit van het IT-landschap en uw organisatie in het algemeen. Welke producten/diensten en processen spelen een rol binnen uw scope van certificering? Vragen die hierbij een rol spelen zijn:

  • In welke (kritische) sectoren bent u werkzaam?
  • Ontwikkelt u software?
  • Heeft u wel of geen eigen server of slaat u de data op in de cloud?

Deze factoren bepalen onder andere de complexiteit van het managementsysteem voor informatiebeveiliging en zijn bepalend voor het uiteindelijke aantal auditdagen en dus de kosten die gemoeid zijn met het behalen van de ISO 27001 certificering. Om hier een goed beeld van te krijgen ontvang u van ons altijd ons intakeformulier.

We proberen de kosten voor de ISO 27001 certificering zo laag mogelijk te houden door een scherp dagtarief. Ondertussen kunt u rekenen op senior auditoren met diepgaande expertise en brede ervaring in de ICT-, zorg- en overheidssector.

Bij DigiTrust kunt u verwachten;

  • Scherpe dagtarieven (deze zijn lager dan bij andere Certificerende instellingen)
  • Eigen auditoren, wij werken niet met inhuur auditoren
  • Snel respons op al uw vragen
  • Direct contact met de back-office en de auditoren
  • Snel offerte, meestal binnen enkele dagen
  • Veelal kunnen wij op korte termijn uw audit inplannen

Vragen over een ISO 27001 certificering of benieuwd naar de mogelijkheden?

Onze specialisten vertellen u daar graag meer over. Bel ons op telefoonnummer 088-224 56 00, stuur ons een e-mail naar sales@digitrust.nl of gebruik ons online contactformulier. We komen graag bij u langs voor een vrijblijvende kennismaking.

Al meer dan 300 organisaties gingen u voor.