Het ISO-certificaat: Een stap voor op de concurrentie
De ISO 27001-normering is het bewijs dat je als onderneming de nodige stappen zet om de data te beschermen van je klanten en je medewerkers. Wat houdt het in, wat zijn de voordelen, en aan welke voorwaarden moet je voldoen om het ISO 27001-certificaat te behalen? En hoe helpt Phished je om automatisch compliant te zijn?
Correct en veilig omgaan met informatie is niet alleen noodzakelijk voor elke organisatie, het is eveneens verplicht. Een gebrek aan informatiebeveiliging kan immers leiden tot ernstige gevolgen zoals datalekken of phishingaanvallen. Met een ISO-certificaat toont een bedrijf dat het voldoet aan bepaalde internationale normen. ISO 27001 is een voorbeeld van zo'n norm rond cybersecurity. De voorwaarden die daarin opgelijst staan, helpen organisaties bij het vermijden van grote risico’s. Het Phished-platform helpt aan verschillende voorwaarden voldoen.
Wat is een ISO-certificaat en wat houdt het in?
ISO staat voor International Organization for Standardization. Dat is een organisatie die internationale standaarden, die we ISO-normen noemen, ontwikkelt en publiceert. ISO 27001 houdt in dat een organisatie de vertrouwelijkheid, beschikbaarheid en integriteit van al hun gegevens correct beheert. Via een lijst van eisen toont de norm hoe je dat het best aanpakt.
Een cruciale voorwaarde om ISO 27001-compliant te zijn is het opbouwen van een sterk Information Security Management System (ISMS) of informatieveiligheidssyteem. De standaard eist onder meer dat een organisatie via zo’n ISMS systematisch onderzoekt en bijhoudt welke informatiebeveiligingsrisico’s, zoals slecht beveiligde accounts, er bestaan voor het bedrijf.
Daarnaast moet een ISMS helpen bij het vermijden van die risico’s. Een belangrijk onderdeel daarvan is anti-phishingtraining, zo creëer je immers security awareness bij je werknemers en verhinder je gevaren. Dat draagt allemaal bij aan een nog efficiënter ISMS. Ook houdt ISO 27001 in dat een organisatie de informatiebeveiliging regelmatig evalueert en aanpast.
Het belang en de voordelen van een ISO 27001-certificaat
Hoe word je ISO 27001-compliant?
Het ISO 27001-certificaat is dus een echte troef voor iedere organisatie. Om het te verkrijgen, moet je als bedrijf de volgende stappen doorlopen:
- Koop en lees de ISO 27001-norm, daarin staan alle eisen waaraan je moet voldoen voor certificering.
- Risk Assessment: breng alle mogelijke informatiebeveiligingsrisico’s in kaart. Een phishingnulmeting van Phished kan daarbij helpen.
- Risk Treatment Plan: stel per risico een geschikt plan met aangepaste maatregelen op.
- Stel een statement of applicability op. Dat is een document waarin je vastlegt welke acties uit de catalogus van beveiligingsmaatregelen van ISO 27001 van toepassing zijn op jouw organisatie.
- Maak een totaalanalyse. Daarin breng je stappen 2, 3 en 4 samen. Leg ook vast hoe je met onverwachte voorvallen omgaat en wat je doet als een informatiebeveiligingsrisico zich toch heeft voorgedaan.
- Stel een informatiebeveiligingsbeleid op, daaronder valt ook het Information Security Management System (ISMS), waarvan anti-phishingtraining een essentieel deel uitmaakt.
Daarna komt een onafhankelijke partij bij je op bezoek die een audit afneemt. Ben je daarvoor geslaagd, dan krijg je een ISO-certificaat voor drie jaar.
Hoe kan Phished helpen?
Naast het feit dat Phished zelf haar applicatieservers en data opslaat in Google datacenters die onder andere ISO 27001 en ISO 27017-compliant zijn, kunnen we andere bedrijven helpen bij het behalen van zo’n certificaat. Een eerder vermelde ISO-norm houdt namelijk in dat de organisatie mogelijke informatieveiligheidsrisico’s onderzoekt.
Phished biedt nulmetingen met phishingsimulaties aan waardoor je een overzicht krijgt van eventuele zwakke plekken. Om ISO 27001-compliant te zijn moet je die risico’s ook correct weten aan te pakken. Via onze anti-phishingtraining leren medewerkers allerlei soorten cybergevaren herkennen en ermee om te gaan.
Bovendien draagt de Phished Academy bij tot het behalen van de ISO-norm rond permanente bijscholing over informatiebeveiliging en maakt deze het makkelijk om te meten, bijhouden, documenteren en verbeteren van de information security voor het ISMS. Zo kan je dat ISO-certificaat snel inkaderen en aan de muur hangen.