Waarom informatiebeveiliging nu belangrijker is dan ooit

Oktober is Cyber Security Maand. Dit is het moment om stil te staan bij de digitale veiligheid van je organisatie. Cyberaanvallen, phishing en datalekken liggen continu op de loer. Een effectieve manier om je bedrijf hiertegen te beschermen, is door te werken volgens de ISO 27001 certificering. Dit is de internationale norm voor informatiebeveiliging.

Wat is ISO 27001 en waarom is het belangrijk?

ISO 27001 is een wereldwijd erkende standaard voor het opzetten, implementeren en continu verbeteren van het Information Security Management System (ISMS). Hiermee bescherm je bedrijfsgevoelige informatie tegen ongewenste toegang, verlies of misbruik. Met een ISO 27001 certificaat toon je aan dat jouw organisatie voldoet aan de strenge eisen op het gebied van informatiebeveiliging. Dat vergroot niet alleen de veiligheid van je data, maar ook het vertrouwen van je klanten, partners en leveranciers.

Wat zijn de kosten van een goede informatiebeveiliging?

De ISO 27001 kosten verschillen per organisatie. Factoren die meespelen zijn onder andere de bedrijfsomvang, het aantal medewerkers en de huidige beveiligingsstatus. Kleinere bedrijven kunnen vaak snel starten met een overzichtelijke investering, terwijl een grotere organisatie een uitgebreider traject moet doorlopen. Wat je hierin ook investeert, de voordelen voor je bedrijf zijn hierin belangrijk. Een ISO 27001 certificering helpt je risico’s te beperken, reputatieschade te voorkomen en vertrouwen te winnen bij klanten.

 

Databeveiliging in de cyber security maand

Voor wie is informatiebeveiliging geschikt?

De ISO 27001 norm is geschikt voor elke organisatie die vertrouwelijke informatie verwerkt of opslaat. Ongeacht de grootte of de branche. Hierbij kun je denken aan IT-bedrijven, zorginstellingen, financiële dienstverleners, overheidsorganisaties en mkb’s die met klantgegevens werken. Zelfs kleinere bedrijven hebben baat bij certificering. Het zorgt voor structuur in de beveiligingsprocessen en laat klanten zien dat ze zorgvuldig met data omgaan. Voor organisaties die willen groeien of samenwerken met grotere partijen, kan ISO 27001 zelfs een voorwaarde zijn om nieuwe opdrachten binnen te halen.

Waarom nu beginnen?

De Cyber Security Maand is het ideale moment om de beveiliging van je organisatie onder de loep te nemen. Cyberdreigingen worden steeds geraffineerder, waardoor voorkomen beter is dan genezen. Door te kiezen voor een ISO 27001 certificaat laat je zien dat jouw organisatie proactief werkt aan een veilige digitale omgeving.

Vraag vrijblijvend meer informatie of een offerte aan en ontdek hoe jij vandaag nog kunt starten met het verbeteren van je informatiebeveiliging.

Overgang naar iso 27001:2022 – Wat moet je weten?

ISO 27001 is de internationale standaard voor informatiebeveiliging. De versie uit 2013 (ISO 27001:2013) wordt per 31 oktober 2025 ingetrokken. Organisaties moeten uiterlijk vóór die datum overgestapt zijn naar ISO 27001:2022 om gecertificeerd te blijven.

Wat is er nieuw?

Minder, maar nieuwe én herschikte controles in Annex A

Waar iso 27001:2013 werkte met 114 controles verdeeld over 14 domeinen, heeft de nieuwe versie nog 93 controles die zijn herschikt in vier verschillende thema’s:

  • Organisatorisch
  • Personeel
  • Fysiek
  • Technologisch

Kleine wijzigingen in de hoofdstukken/clausules 4-10

De basisstructuur van de norm blijft nog hetzelfde, maar er zijn aanpassingen op belangrijke punten zoals:

  • Beter inzicht in welke verwachtingen van belanghebbende (zogenoemde interested parties) worden meegenomen in het ISMS.
  • Plannen van veranderingen binnen ISMS wordt explicieter verplicht gesteld.
  • Doelstellingen voor informatiebeveiliging moeten duidelijker en beter te meten zijn.

Overgangsperiode en deadline

Er is een overgangsperiode ingesteld. Tot 31 oktober 2025 zijn er certificaten op basis van ISO 27001:2013 nog geldig. Na die datum is de oude versie niet meer geldig.

Waarom overstappen?

  • Om te blijven voldoen aan de internationale normen én verwachtingen van klanten en toezichthouders.
  • Om de informatievoorziening te moderniseren. Denk hierbij aan nieuwe bedreigingen zoals cloud-beveiliging, bedreigingsinformatie (“threat intelligence”) en privacy. Deze worden beter ingepast in de standaard.
  • Beter risicomanagement. Dit betekent meer flexibiliteit qua controles dat beter is afgestemd op eigen risico’s en prioriteiten.

Hoe kan Organisatiesysteem je hierbij helpen?

Wij ondersteunen verschillende organisaties volledig bij de overgang naar ISO 27001:2022. Dit doen we door:

  • Het is kaart brengen waar het huidige ISMS afwijkt van de nieuwe standaard, zodat je precies weet welke aanpassingen er nodig zijn.
  • We helpen bij het invoeren van de nieuwe controles en bij het actueel maken van beleid, procedures en werkinstructies.
  • Het ISMS wordt overzichtelijk gedocumenteerd, zodat je de audits soepel doorloopt.
  • We begeleiden je van start tot certificering. Dit is inclusief interne audits en voorbereidingen op de externe audit.

Met Organisatiesysteem ben je verzekerd van een gestructureerde en eenvoudige overgang zodat je tijdig het ISO 27001 certificaat behaalt en de informatiebeveiliging op orde is.

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Naam(Vereist)
Betreft(Vereist)
Drie ISO-certificaten in één jaar

In een recente blog van Mark Schwier wordt uitgelegd hoe de ISO certificeringen, Avesqo heeft geholpen bij onder andere duurzaam ondernemen. Er wordt ingegaan op waarom de certificeringen behaald zijn en hoe ze het hebben aangepakt. Lees het volledige artikel van Avesqo op hun eigen website: https://www.avesqo.com/onze-ervaring-met-iso-9001-14001-en-27001/

Wij van Organisatiesysteem zijn trots dat we Avesqo mochten begeleiden tijdens dit traject. Met behulp van ons systeem konden zij hun processen, beleidsdocumenten, risicoanalyses en audits overzichtelijk vastleggen, volledig volgens de eisen van onder andere ISO 14001 én andere relevante normen. Dankzij deze aanpak konden zij gestructureerd en efficiënt toewerken naar de verschillende certificeringen.

Ook jouw organisatie begeleiden wij graag richting een succesvolle certificering.  Zodat je altijd audit-ready bent!

Phishing ook actief in de bedrijfswereld

Wie aan informatiebeveiliging voor bedrijven denkt, denkt waarschijnlijk aan personeelspasjes, goed beveiligde systemen, geen rondslingerende kladblokken met daarop gevoelige informatie, enzovoort. Maar heb je ook gedacht aan een vorm van cybercriminaliteit die jouw personeel op persoonlijk niveau kan misleiden?

Klik hier niet

Het klinkt een beetje flauw, maar een “klik hier niet” maakt de mens vaak nieuwsgierig genoeg om juist door te klikken. Tegenwoordig weten we inmiddels wel dat we écht niet op deze linkjes of mailtjes moeten klikken en dat daarmee al onze persoonlijke gegevens, foto’s en andere bestanden wel eens op straat zouden kunnen liggen.

Vissen naar informatie

Tegenwoordig gaan cybercriminelen een stuk professioneler te werk. Hun mails, sms’jes en appjes zijn bijna niet meer van echt te onderscheiden. Op een creatieve manier proberen ze persoonlijke informatie van jou of je medewerkers te ontfutselen. Is dit ze gelukt, dan kun je die informatie vaak wel terugkrijgen, maar enkel tegen een forse betaling. Heb jij dat ervoor over? Wellicht is je eerste gedachten “nee”, maar wat doet het met je imago als klantinformatie op straat komt te liggen en wat zijn de verdere gevolgen (en boetes) vanuit de GDPR-wetgeving?

Een foutje is zo gemaakt

Grote kans dat jouw medewerkers al eens een mail hebben ontvangen met dat het wachtwoord van hun Sharepoint verlopen is maar dat ze die via de bijgevoegde link kunnen heractiveren. Of dat je personeel een verzoek krijgt vanuit “HR” en een beoordeling in te vullen. Het lijkt heel onschuldig, maar de gevolgen kunnen groots zijn als er niet goed gekeken wordt naar de daadwerkelijke inhoud en afzender van de mail. Dit valt onder de noemer “phishing”.

Ondanks dat dit onderwerp voldoende belicht wordt, ook door landelijke instellingen als SIRE, is een foutje op de werkvloer zo gemaakt. Werknemers krijgen dit soort mails in hun zakelijke mailbox. Onze ervaring is dat de awareness op de werkvloer net iets meer wegzakt dan in privé-sferen.

Bewust van informatiebeveiliging met ISO 27001

Wellicht heeft jouw organisatie wel eens de vraag gekregen wat jullie doen met informatiebeveiliging. Een ISO 27001 certificaat toont de buitenwereld dat jouw organisatie daar bewust mee bezig is. Het voordeel van het certificeringsproces is dat jouw bedrijf niet enkel getest wordt op (de bescherming van) klantdata, maar ook je medewerkers worden meegenomen in het proces.

Bij Organisatiesysteem kunnen we je daarbij helpen. Door de jaren heen hebben wij een uniek online managementsysteem laten ontwikkelen (“het Organisatiesysteem”) die jou niet enkel helpt bij certificering, maar die je ook op de hoogte stelt als bepaalde processen aandacht nodig hebben. Er zijn zelfs bedrijven die alle processen wel zo inrichten als bij de ISO 27001, maar die zich er niet voor laten certificeren, puur om de winst van de informatiemanagement als bedrijf zijnde mee te pakken.

Wil je direct meer informatie over een ISO 27001 certificering? Vraag dan een vrijblijvende offerte aan. Ook voor spoedtrajecten kun je bij ons terecht.

Kwaliteit, kwaliteitsmanagement en PDCA

Het leveren van kwaliteit als bedrijf is van essentieel belang voor het hebben én behouden van tevreden klanten. Dit geldt voor zowel producten als diensten. Maar hoe kun je in de praktijk de controle houden op de kwaliteit en op de continue verbetering hiervan? De PDCA cirkel is een handige managementtool om hiervoor te gebruiken.

Kwaliteit en kwaliteitsmanagement zijn brede begrippen. Het beslaat alle facetten van het bedrijf en de bedrijfsvoering. Van de inkoop van materialen voor productie, de constante kwaliteit van producten en diensten, maar ook de snelheid van levering. Daarnaast is er de kwaliteit van service. Dat begint bij het beeld dat men heeft van jouw bedrijf (marketing/branding) en of dat de verwachtingen waarmaakt. En van de receptioniste aan de balie en de telefoon, tot de wijze van levering van product of dienst en (liever natuurlijk niet) de afhandeling van klachten.

De Plan-Do-Check-Act cirkel (PDCA cirkel)

Al in de jaren ’50 is door dr. W. Edwards Deming de PDCA (Plan, Do, Check, Act)-cirkel ontwikkeld. Deze PDCA cirkel of cyclus kan als hulpmiddel worden gebruikt bij kwaliteitsmanagement (bijvoorbeeld bij de ISO 9001) en/of als methode om problemen op te lossen. Het model wordt ook wel de Demingcirkel genoemd.
De structuur van de ISO-normen gebruikt ook de PDCA cirkel, die geldt als het uitgangspunt van het High Level Structure (HLS). Deze term refereert aan het initiatief dat ISO in 2008 heeft genomen om een ‘structuur op hoofdlijnen’ voor de managementsysteemnormen te ontwikkelen.

4 stappen voor structurele verbetering

Deze cirkel of cyclus is een methode die is opgebouwd uit 4 stappen voor verbetering van kwaliteit. De cirkel zelf geeft aan dat het oneindig is. Door het continu herhalen van de 4 stappen, werk je aan structurele verbetering. Naast de cirkel met 4 stappen is er ook nog het principe van borgen. Wanneer het proces van 4 stappen is afgerond, is het belangrijk dat als punt te nemen voor verdere verbetering. De bal (cirkel) moet natuurlijk wel verder rollen richting continue verbetering.

Het meten en borgen van de kwaliteit van de dienstverlening gebeurt onder andere door middel van klanttevredenheidsonderzoeken en leveranciersbeoordelingen. Aan de hand van de resultaten, kunnen acties worden opgezet voor verbetering of wordt op basis daarvan een nieuwe prestatie indicator ingesteld.

Status en verbeterkansen in een online managementsysteem

In ons online managementsysteem worden de resultaten van de diverse onderzoeken, beoordelingen en afwijkingsregistraties weergegeven in overzichtelijke grafieken op het dashboard van het systeem. Zo zie je in 1 oogopslag hoe je er als bedrijf voor staat en waar verbeterkansen liggen.

Wil je meer weten over de PDCA en of onze werkwijze? Neem contact met ons op of vraag direct geheel vrijblijvend een offerte aan.

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Naam(Vereist)
Betreft(Vereist)