ISO 27001 Stappenplan: Van Nulmeting Naar Certificaat in 2026
Praktisch ISO 27001 stappenplan in 10 fases: van nulmeting via risicoanalyse en Statement of Applicability naar certificering in 6 tot 12 maanden.
-
-
Wat we kunnen leren van de Odido-hack
Voorkomen is beter dan genezen Cyberincidenten zoals de aanval van ShinyHunters op Odido trekken veel aandacht. Begrijpelijk. Bij deze aanval wisten cybercriminelen via phishing toegang te krijgen tot accounts van medewerkers en zo het klantensysteem te benaderen. Uiteindelijk werden persoonsgegevens van miljoenen klanten buitgemaakt. Wanneer dergelijke hoeveelheden klantdata op straat belanden, raakt dat direct het…
-
ISAE 3402 Type 1 vs Type 2: het verschil en welke kies je?
De twee varianten van ISAE 3402-rapportage worden vaak genoemd in aanbestedingen en Assurance-trajecten, maar in de praktijk wordt hun doel geregeld door elkaar gehaald.Het onderscheid zit niet in de vorm van de rapportage, maar in de diepte van de toetsing en de periode waarop die betrekking heeft. Wat Type 1 precies laat zien Een Type…
-
Verschil NEN 7510 en ISO 27001: wat kies je wanneer?
Informatiebeveiliging draait niet alleen om techniek of beleid, maar vooral om aantoonbaarheid. Twee normen bepalen daarin de richting: NEN 7510 en ISO 27001. Ze lijken sterk op elkaar, maar verschillen in doel, reikwijdte en verplichting. NEN 7510 is ontwikkeld voor de Nederlandse zorg en wordt expliciet genoemd in het Besluit elektronische gegevensverwerking door zorgaanbieders. Wie…
-
ISAE 3402 vs ISAE 3000: het verschil en welke kies je?
ISAE 3402 vs ISAE 3000: Wie verantwoordelijk is voor Assurance binnen een organisatie, komt vroeg of laat voor de keuze te staan tussen ISAE 3402 en ISAE 3000. Op papier lijken de standaarden verwant, maar in de praktijk draaien ze om verschillende doelen en verwachtingen. ISAE 3402 is ontwikkeld voor dienstverleners die processen uitvoeren die…
-
Security awareness: van training naar aantoonbaar gedrag
Security awareness is geen verplichte cursus die je eenmaal per jaar afvinkt. Het is de meetbare schakel tussen beleid en dagelijks gedrag – de plek waar een informatiebeveiligings-managementsysteem (ISMS) zichtbaar wordt in de praktijk. ISO 27001:2022 maakt dat concreet in clause 7.3 en Annex A 6.3: medewerkers moeten begrijpen hoe hun handelingen bijdragen aan de…
-
NEN 7510 checklist: stappenplan voor zorgorganisaties
Wat verstaan we onder een ‘NEN 7510 checklist’? De term NEN 7510 checklist klinkt alsof er een kant-en-klaar document bestaat dat je kunt afvinken. In de praktijk is dat niet zo. De norm zelf is vastgelegd in NEN 7510-1 (eisen) en NEN 7510-2 (maatregelen), en de Nederlandse zorgsector werkt met deze documenten als fundament. Daarbij…
-
Business Continuity Plan: zekerheid nodig voor IT-incidenten?
Wanneer een organisatie onverwachts te maken krijgt met een cyberaanval of een grote storing, stopt de dagelijkse operatie direct. IT-risk-, audit- en securitymanagers weten hoe kostbaar downtime is. Denk bijvoorbeeld aan productieverlies of schade aan de reputatie bij klanten. Om deze schade te beperken, stelt u een Business Continuity Plan (BCP) op. Zo’n plan helpt…
-
BIO & NIS2: Audit-ready gids voor overheidsbeveiliging
Cybersecurityregels voor de overheid worden steeds strenger. De nieuwe Europese NIS2-richtlijn en de BIO2 (Baseline Informatiebeveiliging Overheid versie 2) zetten overheidsorganisaties onder druk. De gevolgen bij het niet naleven van deze regels zijn serieus: hoge boetes die oplopen tot 10 miljoen euro of zelfs 2% van de jaaromzet. Vanaf 17 oktober 2024 moet NIS2 actief…
-
DORA checklist 2025 – voldoe aan alle vereisten
DORA is een EU-verordening die de digitale weerbaarheid van financiële instellingen moet versterken. Het doel is dat organisaties IT-risico’s beter beheersen, met duidelijke meld- en testverplichtingen voor cyberincidenten. De regels treden op 17 januari 2025 in werking; vanaf dat moment moet elke financiële onderneming kunnen aantonen dat zij aan DORA voldoet. DORA legt de nadruk…
