De ISO 27001 audit en certificatie is actueler dan ooit. Steeds vaker horen we in de verschillende media dat weer een groot bedrijf is gehackt of dat er waardevolle informatie is gelekt. Dus wat doe je dan? Beveiligen! De ISO 27001 audit is eigenlijk over de hele wereld dé standaard voor informatiebeveiliging. Eigenlijk kun je als IT-bedrijf niet meer zonder. De ontwikkelingen gaan heel snel en je moet zorgen dat je up-to-date blijft. Met dit certificaat maak je duidelijk dat je voldoet aan alle eisen die gesteld worden aan informatiebeveiliging. 

Hoe kom ik aan het ISO 27001

Hiervoor zijn er vele partijen waaruit je kunt kiezen om je te begeleiden in het proces. Zodra je internet raadpleegt zie je dat er meerdere aanbieders om je gunsten smeken. Bekijk de verschillende websites en kies minimaal twee partijen die je om een offerte vraagt. Laat je goed en duidelijk voorlichten en maak een weloverwogen keuze. Kies hierbij een aanbieder waar je prettig mee samenwerkt en die goed aansluit bij je eigen bedrijf. 

Wat gebeurt er allemaal voordat het ISO 27001 certificaat wordt toegekend?

Het proces begint meestal met het aanschaffen van de norm ISO 27001 die je precies vertelt waaraan je moet voldoen. Deze norm is te downloaden bij het Nederlands Normalisatie Instituut NEN. Vergelijk de lijst van eisen waaraan je moet voldoen naast de procedures in je eigen organisatie. Meestal volgt er een risicoanalyse en een lijst van verbeterpunten. Vaak geldt er dat een informatiebeveiligings managementsysteem moet worden geïmplementeerd. Voor de partij die je begeleidt is hier een belangrijke taak weggelegd om je bedrijf te helpen alle veranderingen binnen de organisatie te verankeren. Als dit is gebeurd en de procedures zijn gedocumenteerd kan een audit worden aangevraagd. Nadat alle afspraken intern zijn vastgelegd en de audit heeft plaatsgevonden is certificering niet meer ver. Maar bij de audit kunnen nog een aantal zaken aan de orde komen waarin onvoldoende aandacht is geschonken. Het is geen eenvoudig traject. Er komt nogal wat kijken binnen de organisatie. Totdat alle verbeterpunten zijn doorgevoerd kan het even duren. De regels zijn streng en pas als alles 100% in orde is zal het ISO 27001 certificaat worden toegekend. Bedenk wel dat het certificaat voor 3 jaar geldig is en dat er dan weer een nieuwe audit zal moeten plaatsvinden. De ontwikkelingen blijven immers niet stilstaan en zal je moeten aantonen dat je op de hoogte bent van de nieuwste ontwikkelingen en criteria waaraan je moet voldoen. Als je eenmaal het certificaat hebt behaald is dit een prachtige bekroning op het werk dat je hebt verzet. 

Waarom zou je het ISO 27001 certificaat aanschaffen?

Het ISO 27001 certificaat is niet verplicht maar het hebben ervan bewijst wel dat je je als een serieuze speler op de IT-markt beschouwt. Je kunt het je eigenlijk niet meer veroorloven om op gebied van informatiebeveiliging achter te blijven. In een wereld waar dagelijks cyberaanvallen op de meest gerenommeerde bedrijven en overheidsinstanties plaatsvinden moet je organisatie hier klaar voor zijn. Beveiliging is actueler als ooit. Wekelijks worden grote spelers gehackt en gegijzeld. Spelers waarvan iedereen dacht dat die wel zijn zaakjes goed op orde heeft. Toch blijft de vijand altijd een stapje voor. Reden te meer om binnen elk IT-bedrijf het thema veiligheid op de eerste plaats te zetten.  Het gaat zelfs zover dat klanten de certificering eisen voordat ze met een bedrijf in zee gaan. Daarnaast is het verplicht bij aanbestedingen. Het ISO 27001 geeft je een belangrijk concurrentievoordeel. Het toont aan dat je serieus met vak bezig bent en je de behoeften van je klant vooropstelt. Simpelweg het scheidt het kaf van het koren.