10/08/2023
Wat is de ISO 27001?
De norm ISO 27001 is een kader dat de verplichtingen definieert voor het opzetten van het management van de informatiebeveiliging (ISMS). Dit impliceert de maatregelen voor de controles en het beheer van de risico’s om de confidentialiteit, de integriteit en de beschikbaarheid van de informatie te garanderen. De norm beschrijft dus niet welke beveiliging in plaats moet gezet worden; ze beschrijft de verschillende aspecten die moeten bekeken en gemanaged worden teneinde een beveiliging in plaats te hebben op maat van de onderneming en de te beveiligen scope.
De certificatie wordt bekomen na een rigoureuze audit, uitgevoerd door een extern geaccrediteerd organisme, vergelijkbaar met de keuring van de elektrische installatie in een woning.
Het gaat hier over de beveiliging van de “informatie” en niet over de beveiliging van de “informatica”. De ISO 27001 slaat op alle domeinen van beveiliging, onder andere ook de fysieke beveiliging van de informatie (clean desk, toegangscontrole tot het gebouw, papieren archieven, …), evenals de manier waarop het personeel omgaat met dergelijke vormen van informatie.
In een notendop : « Ik verklaar dat mijn informatie op een beveiligde manier beheerd wordt en de auditor heeft nagegaan dat dit inderdaad zo wordt toegepast ».
Meer weten?
Wat is er gebeurd om het certificaat te bekomen?
Om het ISO 27001 certificaat voor Izimi te bekomen hebben alle teams van Fednot bijgedragen tot het realiseren van verschillende sleutelactiviteiten. Het is door teamwork, onder de dirigent InfoSec, dat dit resultaat neergezet is.
In een eerste fase, eind 2021, werd een analyse uitgevoerd over de status van de informatiebeveiliging van Izimi. Het was een analyse van de bestaande architectuur en processen teneinde de kritische domeinen te identificeren.
In 2022 werd, met de hulp van Approach, het beveiligingsbeleid herzien en de implementatie bijgestuurd.
Een gestructureerd proces om de risico’s te beheren werd ingevoerd, dit om de risico’s voor Izimi te evalueren en aan te pakken.
Beveiligingscontroles om de geïdentificeerde risico’s te beperken werden geëvalueerd en ingevoerd indien nodig.
Het Izimi team, en alle andere stakeholders, werden betrokken bij de vereisten van de ISO 27001 norm naar de implementatie van de goede maatregelen voor de informatiebeveiliging.
Een externe audit is uitgevoerd door een certifiëringsorganisme (KPMG Certification) om de conformiteit met de vereisten van de norm ISO 27001 te evalueren. Dit gebeurde in 2 fases. De eerste was vooral theoretisch, namelijk de verificatie van onze policies en een aantal andere documenten. De tweede concentreerde zich op de naleving ervan dit via internviews met de verschillende medewerkers op sleutelposities.
Wat nu met de ISO certificatie?
Om de certificatie te behouden, en de effecten ervan te maximaliseren, is een continu beheer absoluut noodzakelijk.
Het is ook noodzakelijk om regelmatige controles uit te voeren om te garanderen dat de toepassing van het informatiebeveiligingsbeleid in de dagelijks operaties wordt gedaan en dit met in achtneming van een veranderende omgeving en bedreigingen.
Het informatiebeveiligingssyteem zélf dient ook regelmatig geherevalueerd te worden om zeker te zijn dat die blijft voldoen aan de vereisten van Fednot en de veranderende regelgeving. Fednot moet continu en actief opportuniteiten zoeken om haar processen en controles rond de beveiliging van Izimi te verbeteren.
Interne en externe audits zullen regelmatig uitgevoerd worden om de conformiteit met de vereisten van de ISO 27001 norm te verifiëren. Deze audits zijn incrementele audits die hoofdzakelijk over de open actiepunten gaan, behalve in geval er fundamentele veranderingen zijn die een volledige audit vergen, Na 3 jaar is een complete audit cyclus noodzakelijk.