Wat betekent de ISO 27001 certificering van Paragin?
  • 08 Sep 2021
  • Pdf

Wat betekent de ISO 27001 certificering van Paragin?

  • Pdf

Gecertificeerd zijn volgens ISO 27001 betekent dat een organisatie haar informatiebeveiligingsbeleid op niveau geborgd heeft. ISO 27001 is de ISO-standaard voor informatiebeveiliging en de belangrijke processen daaromheen.

ISO 27001 bestaat feitelijk uit Deel 2 van de BS 7799, de standaard waarin wordt beschreven hoe informatiebeveiliging procesmatig ingericht zou kunnen worden, om de beveiligingsmaatregelen uit ISO/IEC 17799 te effectueren.

De ISO 27001 is een brede standaard en bevat een groot scala aan verplichtingen en maatregelen die een organisatie moet nemen m.b.t. onder meer privacy, risicoanalyses, vertrouwelijkheid en betrouwbaarheid, continuïteit, communicatie bij incidenten, kwaliteitscontroles en cybersecurity. Onder meer aan bod komen de volgende onderwerpen:

  • Beleidsmatige borging (managementbetrokkenheid);
  • Organisatorisch (verantwoordelijkheden duidelijk in beeld);
  • Medewerkers (huisregels, nieuwe medewerkers, registreren van incidenten, bestrijden van fraude en misbruik);
  • Fysiek (sloten, alarmsystemen, brandbeveiliging, toegangscontrole via bijvoorbeeld biometrische beveiliging);
  • Softwareontwikkeling, infrastructuur en onderhoud (documentatie, ICT-architectuur, processen);
  • Continuïteit (calamiteitenvoorzieningen);
  • Regelgeving (Wet Computercriminaliteit III, Algemene verordening gegevensbescherming)

De norm specificeert eisen voor het opzetten, implementeren, uitvoeren en bijhouden, controleren en verbeteren van een vastgelegd Information Security Management System (ISMS), waarin de bedrijfsrisico's voor een organisatie inzichtelijk zijn gemaakt en geborgd zijn met processen om de kwaliteit van deze onderdelen te bewaken en continue te verbeteren.
Daarbovenop schrijft de norm een heel scala aan eisen voor beveiligingsmaatregelen.

Elke organisatie kan deze van toepassing verklaren of uitsluitend in de Verklaring van Toepasselijkheid, maar doorgaans is (vrijwel) alles uit de lijst van beveiligingsmaatregelen van toepassing op een organisatie.
Zo heeft Paragin alleen de beheersmaatregelen met betrekking tot outsourcing van softwaredevelopment (aangezien we zelf developers binnen Paragin hebben en niet met externe programmeurs werken) en laden en lossen van hardware met gevoelige data (wat bij Paragin niet gebeurt) niet van toepassing verklaart. Alle overige beheersmaatregelen zijn van toepassing op Paragin, waarvoor we dan ook sinds oktober 2015 door Lloyd’s Register Quality Assurance (LRQA) zijn gecertificeerd.