Wanneer is dit relevant?
ISO 27001 is allang niet meer alleen iets voor grote corporates.Voor veel mkb-bedrijven wordt het gewoon gevraagd.Door klanten. In aanbestedingen. Of omdat je zelf wilt aantonen dat je informatiebeveiliging op orde is.
Herkenbaar?
- Klanten stellen security-eisen voordat ze tekenen;
- Je zit in een aanbestedingstraject;
- Je wilt bewijs kunnen laten zien in plaats van het verhaal alleen;
- Je bent al met ISO bezig en wilt weten wat je IT-partij daadwerkelijk afdekt.
Dan wil je geen vaag antwoord. Dan wil je weten: wat is al geregeld, wat nog niet, en wie pakt wat op?
Wat wij al voor je afdekken
ISO 27001 vraagt om aantoonbare maatregelen. En juist daar gaat het vaak mis: veel organisaties weten niet precies wat hun IT-partner al levert en wat ze zelf nog moeten organiseren.
ClickOn is zelf ISO 27001-gecertificeerd. Als onderdeel van ons standaard managed service pakket dekken wij al een groot deel van de technische maatregelen af.
Concreet betekent dat:
- een groot deel van de technische controls is al ingericht via onze dienstverlening
- een deel doen we samen, omdat daar ook input van jouw organisatie voor nodig is
- onderdelen zoals HR, fysiek beleid en interne governance blijven bij jou of je ISO-consultant
Zo voorkom je dubbel werk, losse aannames en verrassingen tijdens de audit
Wat we technisch voor je regelen
Om ISO 27001 aantoonbaar te maken, moet je IT-omgeving goed zijn ingericht. Daar helpen wij bij. Denk aan:
Toegangsbeveiliging
We zorgen dat accounts, rechten en toegang logisch en veilig zijn ingericht. Met MFA, rolgebaseerde rechten en slimme toegangscontrole.
Werkplekken en apparaten
Laptops en werkplekken staan onder centraal beheer. Updates, configuraties en beveiliging worden afgedwongen en gemonitord.
Back-up en herstel
Back-ups worden niet alleen gemaakt, maar ook beheerd en gecontroleerd. Zodat herstel niet op papier klopt, maar ook in de praktijk werkt.
Monitoring en detectie
We houden systemen actief in de gaten en signaleren afwijkend gedrag. Zodat incidenten sneller zichtbaar zijn en beter opgevolgd kunnen worden.
Netwerk en infrastructuur
Verkeer, verbindingen en toegang tot je omgeving worden veilig ingericht. Met aandacht voor segmentatie, filtering en versleuteling.
Servicemanagement
Wijzigingen, incidenten en configuraties leggen we gestructureerd vast. Precies het soort basis dat auditors willen terugzien.
Wat je zelf regelt en wat wij regelen
Niet alles binnen ISO 27001 valt onder IT. Dat is goed om vooraf helder te hebben.
Wij regelen de technische kant. Denk aan inrichting, beheer, beveiliging en bewijs vanuit de IT-omgeving.
Onderwerpen zoals beleid, HR, fysieke beveiliging en interne governance liggen bij jouw organisatie of bij een ISO-consultant.
Zo is de taakverdeling vanaf dag één duidelijk. En voorkom je dat zaken blijven liggen omdat iedereen denkt dat de ander het oppakt..
Helder over wat wel en niet standaard in scope zit
Een goede audit begint met een eerlijk verhaal. Daarom zijn we duidelijk over wat standaard binnen onze dienstverlening valt, en wat eventueel aanvullend ingericht moet worden.
Denk bijvoorbeeld aan:
- centrale SIEM-functionaliteit voor organisaties met zwaardere eisen.
- aanvullende restore-tests op een vaste klantfrequentie.
- extra DLP-functionaliteit bij hogere compliance-eisen.
- verdere uitrol van wijzigingsbeheer buiten standaardsituaties.
- aanvullende monitoring op specifieke netwerksegmenten.
Zo ziet het traject eruit
We maken vooraf duidelijk wie wat oppakt.
1. Nulmeting: We brengen in kaart welke technische maatregelen al gedekt zijn en waar nog gaps zitten.
2. Verdeling van verantwoordelijkheden: Wij pakken de technische controls op. Je ISO-consultant of interne verantwoordelijke pakt het organisatorische deel op.
3. Bewijs en onderbouwing: We leveren de technische input en documentatie die nodig is voor het audittraject.
4. Voorbereiding op de audit: Zodat je niet alleen maatregelen hebt ingericht, maar ook kunt laten zien dat ze werken.
5. Doorlopende ondersteuning: Ook na certificering blijft je IT-omgeving aansluiten op de eisen voor surveillance-audits..
