ISO 27001 kan worden geïntegreerd in een ISO 9001:2015-systeem. Beide normen zijn ontworpen om organisaties te helpen bij het verbeteren van hun processen en het waarborgen van kwaliteit en veiligheid, maar ze richten zich op verschillende aspecten. Hier zijn enkele manieren waarop je ze kunt integreren:
1. Gezamenlijk Beheer
- Beide normen vereisen een gestructureerde aanpak voor het beheren van processen. Je kunt een geïntegreerd managementsysteem (IMS) opzetten dat zowel kwaliteitsmanagement (ISO 9001) als informatiebeveiliging (ISO 27001) omvat.
2. Risicobeheer
- ISO 9001:2015 legt de nadruk op risicobeheer in kwaliteitsmanagement, terwijl ISO 27001 zich richt op informatiebeveiligingsrisico's. Door beide benaderingen te combineren, kun je een holistische risicoanalyse uitvoeren die zowel kwaliteits- als beveiligingsaspecten dekt.
3. Documentatie en Procedures
- Veel documentatie en procedures kunnen overlappen. Je kunt bijvoorbeeld kwaliteitsprocedures combineren met informatiebeveiligingsbeleid, waardoor je dubbel werk voorkomt en de consistentie vergroot.
4. Audits en Evaluaties
- Je kunt interne audits en evaluaties combineren. Dit bespaart tijd en middelen en zorgt ervoor dat je de prestaties van zowel het kwaliteitsmanagementsysteem als het informatiebeveiligingsmanagementsysteem regelmatig evalueert.
5. Training en Bewustwording
- Medewerkers kunnen worden getraind in zowel kwaliteitsmanagement als informatiebeveiliging. Dit bevordert een cultuur van kwaliteit en beveiliging binnen de organisatie.
6. Managementbetrokkenheid
- Beide normen vereisen betrokkenheid van het management. Een geïntegreerde aanpak kan het makkelijker maken om de betrokkenheid te waarborgen en strategieën te aligneren.
7. Continue Verbetering
- Beide normen bevorderen continue verbetering. Door een geïntegreerde aanpak te hanteren, kun je synergieën creëren en verbeteren op basis van feedback en prestaties uit beide systemen.
Voordelen van Integratie
- Efficiëntie: Vermindert redundantie en bespaart tijd en middelen.
- Consistentie: Zorgt voor een coherente aanpak van kwaliteits- en beveiligingsprocessen.
- Betere Communicatie: Verbetert de communicatie en samenwerking tussen teams die verantwoordelijk zijn voor kwaliteits- en informatiebeveiliging.
Conclusie
Integratie van ISO 27001 in ISO 9001:2015 kan aanzienlijke voordelen opleveren, waaronder verbeterde efficiëntie, lagere kosten en een sterker fundament voor zowel kwaliteitsbeheer als informatiebeveiliging. Het is echter belangrijk om ervoor te zorgen dat de specifieke vereisten van beide normen worden nageleefd en dat de integratie zorgvuldig wordt gepland en uitgevoerd.
voorbeeld integratie NIS-2 in ISO 27001
NIS 2 artikel 21
Beleid inzake risicoanalyse en beveiliging van informatiesystemen
Incidentenafhandeling
Bedrijfscontinuïteit, zoals back-up beheer en noodherstel, en crisismanagement
Beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners
Beveiliging bij de verwerving, ontwikkeling en het onderhoud van netwerk- en informatiesystemen, inclusief het omgaan met en bekendmaken van kwetsbaarheden
Beleid en procedures om de effectiviteit van cyberbeveiligingsrisicobeheersmaatregelen te beoordelen
Basis cyberhygiënepraktijken en cyberbeveiligingstraining
Beleid en procedures met betrekking tot het gebruik van cryptografie en, waar van toepassing, encryptie
Beveiliging van personeelszaken, toegangscontrolebeleid en vermogensbeheer
Het gebruik van multifactorauthenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit, indien van toepassing
ISO 27001:2022
5.2 Beleid;
6.1.2 Risicobeoordeling van informatiebeveiliging;
6.1.3 Behandeling van informatiebeveiligingsrisico's;
A.5.1 Beleid voor informatiebeveiliging
A.5.24 Planning en voorbereiding van incidentenbeheer op het gebied van informatiebeveiliging;
A.5.25 Beoordeling en besluitvorming over incidenten op het gebied van informatiebeveiliging;
A.5.26 Reactie op incidenten op het gebied van informatiebeveiliging;
A.5.27 Leren van incidenten op het gebied van informatiebeveiliging
A.5.29 Informatiebeveiliging tijdens verstoringen
A.5.30 ICT-gereedheid voor bedrijfscontinuïteit;
A.8.13 Informatieback-up;
A.8.14 Redundantie van informatieverwerkingsfaciliteiten
A.5.19 Informatiebeveiliging in leveranciersrelaties;
A.5.20 Informatiebeveiliging aanpakken in leveranciersovereenkomsten;
A.5.21 Informatiebeveiliging beheren in de ICT-toeleveringsketen
A.5.19 Informatiebeveiliging in leveranciersrelaties;
A.5.20 Informatiebeveiliging aanpakken in leveranciersovereenkomsten
9.1 Monitoring, meting, analyse en evaluatie;
9.2 Interne audit;
9.3 Managementbeoordeling;
A.5.35 Onafhankelijke beoordeling van informatiebeveiliging;
A.5.36 Naleving van beleid en normen voor informatiebeveiliging
A.5.1 Beleid voor informatiebeveiliging;
A.6.3 Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
A.8.24 Gebruik van cryptografie
A.5.15 Toegangscontrole;
A.5.16 Identiteitsbeheer;
A.5.17 Authenticatie-informatie;
A.5.18 Toegangsrechten;
A.5.9 Inventarisatie van informatie en andere bijbehorende activa;
A.6.1-A.6.8 Controles van personen
A.5.14 Informatieoverdracht;
A.5.17 Authenticatie-informatie;
A.8.5 Veilige authenticatie;
A.8.20 Netwerkcontroles;
A.8.21 Beveiliging van netwerkdiensten
Voldoen aan NIS 2 door ISO 27001 te implementeren
Aan alle bovenstaande vereisten kan worden voldaan bij de implementatie van een informatiebeveiligingsmanagementsysteem volgens ISO 27001. Certificering is niet verplicht volgens NIS 2, maar het zal entiteiten zeker helpen wanneer hen wordt gevraagd hun naleving aan te tonen.
Reactie plaatsen
Reacties