Compliance is iets anders ISO 27001.

Compliance is het vastleggen van de interne verantwoordelijkheden binnen het bedrijf.
Wie is er eindverantwoordelijk voor de informatiebeveiliging. Wie is de systeemeigenaar? Wie is de data-eigenaar? Zijn dat verschillende personen? Leg dan vast wie waar verantwoordelijk voor is.

Compliance is ook voldoen aan de contractuele eisen die opgesteld staan is het contract met je leverancier en je afnemer. Hier komen de “Leveranciersrelaties” uit de ISO te voorschijn.

Compliance is ook voldoen aan wet- en regelgeving. Bijvoorbeeld de AVG, NIS-2, NEN-7510. Deze reglementen en normen drukken een stempel op de beveiligingsmaatregelen die je moet nemen. Ongeacht of je risico analyse daar grote risico’s ziet.

In principe kan je dus concluderen dat er beveiligingsmaatregelen vanuit twee visies doorelkaar heen lopen, beter, gelijktijdig doorgevoerd worden:

• Beveiligingsmaatregelen die gebaseerd zijn op het naleven van wet- en regelgeving en eventuele contractuele verplichtingen, en
• Beveiligingsmaatregelen die op basis van risico analyse voorgesteld worden.

ISO 27001

ISO 27001 is één norm uit een hele serie normen die zich met informatiebeveiliging bezig houden. Een certificering voor ISO 27001 wordt steeds vaker geëist, voordat een bedrijf zaken met je wil doen. Prima, maar stel die eis dan ook aan het bedrijf waar jij zaken mee wilt doen.

Ben je veilig als je ISO 27001 gecertificeerd bent?

Nee!
ISO 27001 helpt je vooral niets te vergeten.
Als je alle maatregelen (die op jou van toepassing zijn) hebt genomen, zoals die in Annex A/ISO 27002 voorgesteld zijn, dan heb je in principe aan alle beveiligingsmaatregelen gedacht. Maar ben je dan veilig?

100% veilig bestaat gewoon niet. Bijna dagelijks worden er kwetsbaarheden in software ontdekt waar misdadigers gebruik van kunnen maken. De norm eist van je dat je (aantoonbaar!) bewustwordingsactiviteiten onder de medewerkers uitvoert.

Maar wat als die medewerker het echt wel begrepen heeft, maar in een moment van onachtzaamheid op een (ransomware) link klikt?

Zo zijn er veel meer voorbeelden te noemen waarom er meer komt kijken dan alleen een vinklijstje afwerken.</P

Daarom is het zo belangrijk de bedrijfsprocessen, de eisen die je stelt aan de beschikbaarheid, integriteit en vertrouwelijkheid die je aan je bedrijfsprocessen stelt in kaart te brengen.

Dan gaan we kijken naar de dreigingen en kwetsbaarheden die bekend zijn en welke risico’s je loopt.
Daar zetten we samen een beveiligingsplan op en gebruiken ISO 27001 als basis om je bedrijf te beveiligen. Dan slaan we twee vliegen in één klap: Je komt op het niveau om gecertificeerd te worden èn je benaderd het voor jouw gewenste beveiligingsniveau