Gepubliceerd op 6 december 2016 door Karen Walsh • 2 minuten lezen
Het ISO Framework is een van de basisprincipes van informatiebeveiliging en de controles ervan. Hoewel veel managers zich richten op computers en hun controles, veranderen de risicobeheerprincipes in ISO 27001 de manier waarop u compliance moet benaderen. Deze focus op de technologische kant kan vaak leiden tot een nalevingskloof. Nieuw bij het beheer van ISO-nalevingssoftware? Hieronder vindt u een basiskennis van ISO 27001 en enkele tips om naleving te bereiken.
Wat is ISO 27001?
ISO’s zijn internationaal overeengekomen standaarden voor informatiebeveiliging. ISO 27001 creëert een reeks regels die managers discrete stappen geven om te volgen. Deze stappen organiseren hun informatiesystemen en zorgen voor voortdurende naleving van de beveiliging. Omdat ISO’s niet worden gereguleerd door één enkele overheidsinstantie, kiezen bedrijven er specifiek voor om zich te engageren en certificeren om hun beveiligingsnormen te versterken. Deze acties zijn belangrijk omdat ze het vertrouwen van de klant helpen vergroten.
De International Organization for Standards (of “ISO”) heeft de / ontwikkeld en definieert het als een “familie van normen die uw organisatie helpen bij het beheren van de beveiliging van activa zoals financiële informatie, intellectueel eigendom, werknemersgegevens of informatie die aan u is toevertrouwd door derden. ” Met andere woorden, ISO 27001 heeft niet alleen betrekking op de interne informatie van een bedrijf, maar ook op externe leveranciers. Aangezien ISO 27001 een levend document is, evolueert het voortdurend om te voorzien in nieuwe informatiebehoeften. Deze updates bieden voortdurende begeleiding om aan de voortdurende veiligheidsproblemen te voldoen.
Waarom ISO 27001?
De meeste bedrijven gebruiken processen en procedures om consistentie te creëren en veranderingen in management en personeel tegen te gaan. Met deze brede definitie kunnen veel organisaties zich echter overweldigd voelen bij het idee om aan het certificeringsproces te beginnen. Anthony Jones van IS Partners, LLC merkt op dat slechts ongeveer een derde van de bedrijven die op de hoogte zijn van de standaard ervoor kiest om deze over te nemen. ISO-certificering is een lang en gedetailleerd proces. De kosten van het certificeringsproces in termen van doorlopende tijd en energie zijn echter gelijk aan of minder dan het niet naleven.
Voor CISO’s biedt een ISO-certificering voornamelijk het voordeel van continu bijgewerkte monitoring. In plaats van de informatie zelf op te zoeken, ontvangen CISO’s bijgewerkte kennisgevingen van wijzigingen van hun certificeringsinstantie. Bovendien vereisen de stappen naar certificering en compliance-auditbeoordelingen risicobeoordelingen. Deze richten het management op gedocumenteerde risicobehandeling in plaats van waargenomen risico.
Waarom niet ISO 270001?
Een ISO 27001-certificering vereist veel informatie, tijd, moeite en mankracht. Veel CISO’s vrezen dat het mislukken van een ISO 27001-audit zal leiden tot verlies van het vertrouwen van de klant. Ongeacht of een bedrijf formeel een ISO-certificering aanvraagt, gebruikt het vaak veel van dezelfde processen en procedures. Bedrijven volgen deze protocollen omdat de industrie ze als standaarden erkent.
Naar ISO of niet naar ISO? Dat is de vraag
Veel compliancemanagers koppelen ISO 27001-conformiteit aan de gerimpelde neus die vaak bij een oude tonijnsandwich hoort. Dit komt omdat deze managers een verouderde en verouderde manier hebben om een ISO-audit te beheren. Gelukkig voor compliance-teams is dit het moment om opnieuw na te denken over hoe dit wordt gedaan. Een ISO-certificering hoeft niet pijnlijk te zijn om te behalen. Met de juiste ISO-auditsoftware en -proces kunnen complianceteams nu een ISO-certificering behalen en zowel het bedrijf als de klant op de lange termijn beschermen.