Belangrijk voor u...?
Organisaties die een ISO 27001-certificaat halen, bewijzen
dat ze een betrouwbaar Information Security Management System (ISMS) hebben en dat hun werking in overeenstem-
Net zoals de kwaliteits- en milieustandaarden ISO 9001 en ISO 14001, schrijft ISO 27001 een procesbenadering voor, met de PDCA- of verbetercirkel (plan, do, check, act) als basis.
ming is met de beste praktijken en strengste voorschriften inzake informatiebeveiliging. Wat houdt die norm precies in?
eT - Voor welk type bedrijven is 27001 belangrijk? Gaat dit ook over boekhoudprogramma’s, milieudatabanken, kadaster, ...
S. De Coninck, B. Janssens en G. Lacroix, Vinçotte – Vilvoorde
De Coninck - De norm is belangrijk voor een
I
SO 27001 omvat de eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd managementsysteem voor informatiebeveiliging. Het eerste deel van de standaard
is vergelijkbaar met andere systeemnormen. Het zwaartepunt van ISO 27001 ligt in Annex A. Die omvat een uitgebreide lijst van alle mogelijke doelstellingen en controles inzake informatiebeveiliging, zoals het vastleggen van criteria voor toegangscontrole, het
heel breed gamma aan activiteiten en zeker niet alleen voor bedrijven die aan softwareontwikkeling of -onderhoud doen. Niet alleen organisaties en bedrijven waar strategie en geheimhouding belangrijk zijn, hebben daar baat bij (politieke partijen, werkgeversorganisaties, professionele organisaties, leger, overheidsinstanties). In principe is de
augustus-september 2014 | 4
ISO27001
verzekeren van de bedrijfscontinuïteit na een storing of panne, het beveiligen van kabels, de bescherming tegen externe bedreigingen enzovoort. Organisaties selecteren en bepalen de voor hen relevante domeinen. Met een ‘statement of applicability’ leggen ze voor alle punten de beslissingen rond risico-evaluatie en -behandeling vast.