Categorie: ISO 27001 / NEN 7510

ISO 27001 certificeringWat moet je checken als je met een gecertificeerd ISO 27001 / NEN 7510 bedrijf gaat werken. Wat verteld de scope van het certificaat jou en welke informatie moet je nog meer opvragen om een goed beeld te krijgen. Deze blog geeft jou die informatie. (Als hieronder ISO 27001 staat kan dat gelezen worden als ISO 27001 en NEN 7510. Voor beide normen is dit namelijk hetzelfde). (meer…)

Beleid volgens de ISO 27001De ISO 27001 gaat over informatiebeveiliging en daar moet je beleid voor maken. Maar in de norm staan meer onderwerpen waar beleid voor gemaakt moet worden. Je kan dit zien als sub-beleid, want deze beleiduitgangspunten moeten een verbijzondering zijn van het informatiebeveiligingsbeleid. Maar wat moet er nu precies instaan en wat is dat nu eigenlijk “beleid”. Meer informatie in deze blog over “beleid volgens de ISO 27001”.

(meer…)

Communicatieplan ISO9001 en ISO27001Hoe maak je een communicatieplan volgens de ISO 27001:2013 en de ISO9001:2015. Deze normen zijn inmiddels beide in het high level structure (HLS) formaat. Dat betekend dat het communicatieplan in beide normen dezelfde paragraaf hebben, namelijk 7.4.

Het communicatieplan volgens de ISO

Communicatie is belangrijk om de juiste informatie bij de juiste mensen te krijgen op het juiste tijdstip. Effectieve communicatie qua inhoud, methode en uitgezet in de tijd creëert vertrouwen bij interne en externe partijen. Het laat zien dat jij voorbereidt bent een vooral proactief kan reageren op situaties.

Dit artikel beperkt zich tot het communicatieplan zoals dat vermeld staat in paragraaf 7.4 van beide normen, maar communicatie wordt op diverse andere plekken ook genoemd. Zo besteed de ISO 27001 ook aandacht aan communicatie bij o.a. A15.1.3 en A16.1. En de ISO 9001:2015 besteed er aandacht aan bij de paragrafen 8.2.1 en 7.1.3. (meer…)

Stakeholders2Andere woorden voor belanghebbende zijn stakeholders of interested parties. In vele ISO normen worden ze genoemd, zo ook in de ISO9001:2015 en de ISO27001:2013. Ze zijn belangrijk voor een organisatie omdat ze eisen kunnen hebben aan het product, c.q. de dienst die een organisatie levert. (meer…)

ISO 27000 familieDe ISO 27001 is onderdeel van de ISO 27000 familie, ook wel de ISO 27000 series genoemd. De hele serie staat beschreven op wikipedia, maar voor ISO 27001 gecertificeerde bedrijven zijn er maar een aantal echt belangrijk.

Welke normen moet je nu echt hebben:

Natuur de ISO 27001, de norm waar tegen gecertificeerd wordt.
Uit te breiden met ISO 27000 (om de vaktermen te begrijpen), ISO 27002 (uitleg van de Annex), ISO 27003 (ISMS implementatie gids) en de ISO 27004 (ISMS meten op effectiviteit).
Als laatste de verdiepingslag. Hiervoor zijn geschikt de normen ISO 27005 (risicomanagement) en ISO 27007 (hoe audit je een ISMS). (meer…)

Match Deming circle ISO 27001:2013De Deming Circle met zijn Plan, Do, Check en Act fases en de ISO normen zijn nauw met elkaar verbonden. Toch staat de Deming Circle niet meer beschreven in de nieuwe versie van de ISO 27001. Wel is er een duidelijke link tussen de verschillende management hoofdstukken en de fases Plan, Do, Check en Act te maken.

Klik op het plaatje links voor een grotere versie. (meer…)

Verplichte documenten ISO 27001De ISO 27001:2013 kent een aantal verplichte documenten. Het is even zoeken in de norm, want ze staan niet in een handig lijstje bij elkaar maar verspreid. In dit artikel staan de verwijzingen naar de desbetreffende paragraven / beheersmaatregelen uit de norm waar een verplicht document vermeld staat. Daar is ook na te lezen  waar dat document aan moet voldoen. (meer…)