ISO 27001 of NEN 7510 ook voor start-ups? (Dutch)

Met een ISO 27001-certificering toon je als organisatie aan dat je de informatiebeveiliging op orde hebt. Niet alleen slaap je zelf daarna rustiger, je kunt het ook gebruiken bij de “verantwoordingsplicht” die uit de AVG volgt. En bij (overheids-)aanbestedingen wordt dit certificaat steeds vaker als eis opgenomen.

De implementatie van ISO 27001 (of NEN 7510, voor toepassing in de zorg) kan echter tijdrovend zijn, de auditors die uiteindelijk komen controleren of alles klopt, zijn ook al niet gratis. Voor grote organisaties zijn deze investeringen vaak makkelijker te rechtvaardigen, maar voor een start-up of een kleine organisatie zijn deze kosten relatief gezien hoger. Hierdoor wordt de beslissing om ISO 27001 “te gaan doen” vaak naar achteren geschoven. Maar is dat nu wel zo verstandig?

Security/privacy by design

Het wordt aangeraden om al bij de ontwikkeling van een systeem rekening te houden met de technische beveiliging en de veiligheid van de opgeslagen gegevens. Eerst een systeem bouwen en het achteraf nog even “veilig maken” is het paard achter de wagen spannen. Alleen al om deze reden zou je als organisatie het “security-denken” moeten willen toepassen bij alle ontwikkelactiviteiten.

Technical debt

Het tweede probleem is dat hoe langer een organisatie “op de verkeerde manier werkt”, hoe lastiger het wordt om één en ander om te buigen. Veranderingen wekken weerstand op. En hoe groter de verandering, hoe groter de weerstand.

DNA

Wanneer ISO 27001 goed is geïmplementeerd, zorgt het ervoor dat “security-denken” onderdeel wordt van het DNA van de organisatie. Van het screenen van personeel, via gecontroleerd toegang verstrekken, tot veilig ontwikkelen en alle controles hierop. Het zorgt voor een verhoogd niveau van bewustzijn. Welbeschouwd begin je dus het beste zo vroeg mogelijk met ISO 27001.

Maar hoe dan?

Doe eens een risicoanalyse. Zorg ervoor dat er aandacht is voor beveiligingseisen bij ontwerp of aanpassing van systemen. Zorg dat je ontwikkelaars kennis hebben van veelvoorkomende fouten (OWASP top 10) zodat ze deze kunnen vermijden. Voer regelmatig scans op kwetsbaarheden uit (dat kan ook middels automated vulnerability scanning of statische code reviews). Zorg dat bij het inhuren van het allereerste personeelslid al een proces wordt gevolgd waarbij is nagedacht over de screening (social media check, referenties opvragen of een VOG). Overhandig hem of haar op dag 1 de eerste versie van de ICT gedragscode en controleer zo nu en dan of deze wordt opgevolgd.

Op deze manier zorg je ervoor dat het security-denken vanaf het prille begin onderdeel is van de organisatie en dat het er niet later nog even bijgeplakt moet worden.

En die dure auditors dan?

Er staat nergens dat je ISO 27001 alleen mag doen als er daarna een auditor komt. Je kunt prima de norm als leidraad nemen, of zelfs een ISMS inrichten, zonder ooit “voor het certificaat op te gaan”. En als je enige vorm van assurance wilt hebben kun je ook overwegen een partnerbedrijf te vragen een interne audit uit te voeren, de zogenaamde “peer review”.

Het daadwerkelijk behalen van de certificering (door dure auditors) is daarna nog slechts een formaliteit. Die je pas hoeft te doen op het moment dat de noodzaak daar is, bijvoorbeeld omdat je een aanbesteding hebt gewonnen.

ISO 27001: Niet omdat het moet, maar omdat het kan!

Een vliegende start maken?

Instant 27001 is een kant-en-klaar ISMS, ontwikkeld met het MKB in het achterhoofd. Het maakt ISO 27001 direct praktisch toepasbaar, met of zonder certificering.

Instant Kickback ambassador program

At Instant Management Systems, our customers are our ambassadors. After all, who can better sell our products than the people who have hands-on experience?

How does it work?

You come across a business partner who might be interested becoming certified using one of our management systems, after hearing your experiences.

All you need to do is send us an email with the contact details (or, have them contact us while referring to you). We will contact them, and when a sale is made, we will refund you 10% of the order value.

Tell me more!

Money back guarantee

Since the introduction of Instant Management Systems, many organizations worldwide have used our products to kickstart their ISO implementation. And we are proud to say, with great results. This is why we decided to go one step further.

We are certain Instant 27001 can help your organization to become ISO certified. To underline this statement, we have made your investment risk free with our new full money back guarantee (read more).

Persbericht (Dutch)

Instant Management Systems maakt ISO 27001 bereikbaar voor iedereen

Hoewel veel organisaties wel de nodige maatregelen hebben getroffen op het gebied van informatiebeveiliging, ontbreekt het nog vaak aan structuur en overzicht. Hierdoor kunnen belangrijke zaken onderbelicht blijven, soms met nare verrassingen als gijzelsoftware of datalekken tot gevolg. De Algemene verordening gegevensbescherming (AVG), die in mei 2018 van kracht is geworden, bevat bovendien een verantwoordingsplicht: organisaties moeten kunnen aantonen dat ze voldoende technische en organisatorische maatregelen hebben getroffen.

Een bewezen effectieve manier om dit te doen is de implementatie van ISO 27001, de standaard voor het certificeren van informatiebeveiliging. Het inrichten van het bijbehorende information security management system (ISMS) is echter een tijdsintensieve bezigheid en het inhuren van begeleiding kost eveneens geld. Voor veel kleinere organisaties is het niet mogelijk om hiervoor budget vrij te maken en daardoor blijft deze kans liggen.

Instant Management Systems is ontstaan vanuit de filosofie dat een ISO 27001 certificering bereikbaar zou moeten zijn voor iedereen. 

Er wordt vaak gesteld dat de implementatie van ISO 27001 maatwerk is, dat er geen one size fits all oplossing bestaat. Natuurlijk, elke organisatie is anders, maar ervaring leert dat de verschillen vaak in de details zitten, terwijl de baseline bij de meeste organisaties overeenkomt.

Instant Management Systems biedt deze baseline kant-en-klaar in de vorm van Instant 27001, een web-gebaseerd document management system gevuld met aansprekende voorbeelden van procesbeschrijvingen, beleidsdocumenten, bedrijfsmiddelenregistraties en een risicoanalyse. Het ingebouwde stappenplan neemt u bij de hand en licht per onderdeel toe wat er wordt gevraagd, biedt een voorbeeldimplementatie en instructies om deze aan uw organisatie aan te passen.

Met Instant 27001 beschikt u over een certificeerbaar ISMS binnen weken in plaats van maanden.

Voor een impressie kijkt u op www.instant27001.nl.

Over de ontwikkelaar

Maurice Pasman is specialist op het gebied van informatiebeveiliging en heeft honderden bedrijven geholpen met de implementatie en certificering van ISO 27001 en afgeleide normen, zoals NEN 7510, BIR en BIO.