ISO 27001
ISO 27001 is een standaard (best practice) voor informatiebeveiliging van organisaties. ISO staat voor International Organization for Standardization, een organisatie die standaarden ontwikkelt en publiceert. Het getal achter de dubbele punt (bijvoorbeeld ISO 27001:2013) geeft het jaar van de publicatie van de versie aan.
ISO 27001 schrijft voor hoe de organisatie beleid en maatregelen kan instellen die bijdragen aan de beveiliging van informatie. Een belangrijk principe van ISO 27001 is dat de organisatie hiertoe een risicoafweging maakt. Daarmee kan de organisatie de risico’s en kwetsbaarheden in kaart brengen, om te bepalen hoe bepaalde informatie beschermd moet worden om aan de gestelde beveiligingsdoelstellingen in het beleid te voldoen.
Om risico’s acceptabel te maken treft de organisatie maatregelen. Een voorbeeld van zo’n maatregel is het instellen van een Information Security Management System (ISMS). Daarin legt de organisatie de procedures en maatregelen vast om de vertrouwelijkheid, beschikbaarheid en de integriteit van informatie te beschermen.
Er zijn diverse standaarden in de ISO-27000 serie die nauw samenhangen met ISO 27001: ISO 27000 en ISO 27002. ISO 27000 is de lijst met definities gebruikt in de 2700x serie. ISO 27002 biedt nader uitwerking van maatregelen (controls), welke nuttig zijn voor de implementatie van ISO 27001. Bijna geen enkele organisatie gebruikt alle ISO 27002 maatregelen omdat dit erg bewerkelijk is.
De nieuwe informatiebeveiligingsstandaard van de Nederlandse overheid, de Baseline Informatiebeveiliging Overheid (BIO) refereert veel aan maatregelen en principes van ISO 27001 en ISO 27002.
Het is mogelijk om het informatiebeveiligingsbeleid te laten toetsen door een onafhankelijke auditor, zoals BSI, Dekra en Lloyds Register. Indien deze auditor vaststelt dat het informatiebeveiligingsbeleid voldoet aan de eisen die ISO 27001 voorschrijft, kan de organisatie een certificaat verkrijgen dat drie jaar geldig is. Daarmee toont de organisatie niet aan dat het organisatie zeer veilig is of inbraak onmogelijk is.