Wat is ISO 27001?
Update: sinds maart 2025 is Bitwarden ISO 27001-gecertificeerd en voldoet het aan ISO 27001-beheersmaatregelen rondom gegevensbeveiliging.
ISO 27001, een internationale norm, vormt de basis voor het opzetten, onderhouden en ontwikkelen van managementsystemen voor informatiebeveiliging (ISMS), waaronder gegevensbeheer. Bedrijven die ISO 27001-compliance of -certificering willen behalen, moeten overwegen ISO 27001-wachtwoordbeheer aan hun toolset toe te voegen.
De International Organization for Standardization (ISO) is een wereldwijde organisatie die internationale technische, industriële en commerciële normen ontwikkelt en publiceert. De ISO 27001-norm voor ISMS is voor het laatst bijgewerkt in oktober 2022 en biedt een raamwerk voor gegevensbeveiliging dat bestaat uit 93 beheersmaatregelen. Om ISO 27001-certificering te behalen, moeten bedrijven aantonen dat ze aan al deze maatregelen voldoen.
Om als ISO 27001-bedrijf gecertificeerd te worden, moet je voldoen aan 93 beheersmaatregelen.
Het ISO 27001-certificeringsproces bestaat uit een audit die wordt uitgevoerd door onafhankelijke certificeringsinstanties die het beleid en de procedures voor gegevensbeveiliging van het bedrijf beoordelen, en hoe die worden toegepast. Het proces kan lang duren, maar het slagen voor een ISO 27001-certificeringsaudit laat zien dat je bedrijf een beveiligingsrisicobeoordeling heeft uitgevoerd om potentiële bedreigingen te identificeren, en beveiligingsmaatregelen heeft ingevoerd om zich te beschermen tegen datalekken.
De voordelen van ISO 27001-certificering en -compliance
ISO 27001-certificering geeft organisaties een concurrentievoordeel bij het aantrekken en behouden van klanten, omdat certificering robuuste maatregelen voor informatiebeveiliging aantoont. Certificering kan ook helpen leveranciers en andere belanghebbenden aan te trekken en te behouden die zich zorgen maken over hoe hun informatie wordt beheerd en beschermd.
Zelfs de voorbereiding op het auditproces kan bestaand ISO 27001-beleid versterken en interne systemen, structuren en dagelijkse bedrijfsprocessen verbeteren. Het risicobeheerproces kan organisaties ook helpen beter te voldoen aan wetgeving voor gegevensbescherming, zoals CCPA en AVG, en boetes wegens niet-naleving of reputatieschade door een te voorkomen datalek te vermijden.
Lees meer over hoe je bedrijf zijn cybersecuritypraktijken kan versterken om te slagen voor beveiligingsaudits.
De ISO 27001-beheersmaatregelen
De 93 beheersmaatregelen zijn opgenomen in Bijlage A en vallen onder 4 grotere thema’s. Om ISO 27001-certificering te behalen, moeten bedrijven aantonen dat ze aan deze maatregelen voldoen. De categorieën zijn:
Organisatorische maatregelen (37 maatregelen)
Maatregelen voor mensen (8 maatregelen)
Fysieke maatregelen (14 maatregelen)
Technologische maatregelen (34 maatregelen)
De vorige versie van ISO bevatte 114 maatregelen verdeeld over 14 categorieën. Die versie bevatte ook formuleringen voor veilige aanmelding en wachtwoordbeheersystemen.
De maatregel voor veilige aanmelding bepaalde: “toegang tot systemen en applicaties moet, wanneer vereist door het toegangsbeheerbeleid, worden geregeld via een veilige aanmeldprocedure.” Met een wachtwoordbeheerder profiteren gebruikers van een extra beveiligingslaag voor logins en hebben ze één plek om tweefactorauthenticatie te beheren en te integreren voor alle websites die dit ondersteunen.
De maatregel voor wachtwoordbeheersystemen stelde: “wachtwoordbeheersystemen moeten samenwerken om de kwaliteit van wachtwoorden te waarborgen.” ISO raadt aan een wachtwoordbeheerder te gebruiken waarmee gebruikers sterke en unieke wachtwoorden kunnen aanmaken en die veilige deelmogelijkheden voor samenwerking biedt.
Wachtwoordbeheerders zorgen voor sterke wachtwoorden, dwingen 2FA af en gebruiken gebeurtenislogboeken om gebruikersactiviteit te monitoren: allemaal mogelijkheden die bedrijven moeten realiseren om te voldoen aan ISO-vereisten voor toegangsbeheer, bescherming van PII en endpointbescherming.
De nieuwste versie van ISO 27001 behandelt wachtwoordbeheer in Bijlage A 5.17. Er zijn veel aanvullende vereisten in Bijlage A waaraan kan worden voldaan of die kunnen worden ondersteund door een wachtwoordbeheerder te gebruiken. Hoewel niet volledig, zijn voorbeelden hiervan:
Bijlage A 5.3, Scheiding van taken: Conflicterende taken en conflicterende verantwoordelijkheidsgebieden moeten worden gescheiden.
Bijlage A 5.14, Informatieoverdracht: Voor alle soorten overdrachtsfaciliteiten binnen de organisatie en tussen de organisatie en andere partijen moeten regels, procedures of overeenkomsten voor informatieoverdracht aanwezig zijn.
Bijlage A 5.15, Toegangsbeheer: Regels voor het beheren van fysieke en logische toegang tot informatie en andere bijbehorende assets moeten worden vastgesteld en geïmplementeerd op basis van bedrijfs- en informatiebeveiligingsvereisten.
Bijlage A 5.16, Identiteitsbeheer: De volledige levenscyclus van identiteiten moet worden beheerd.
Bijlage A 5.17, Authenticatie-informatie: De toewijzing en het beheer van authenticatie-informatie moeten worden geregeld door een beheerproces, inclusief het adviseren van personeel over best practices voor de omgang met authenticatie-informatie.
Een uitgebreide inleiding over dit criterium bevat wachtwoordaanbevelingen met advies over het beheren van wachtwoorden, waaronder de mogelijkheid om veilige wachtwoorden te maken. Daarnaast raadt de doelstelling organisaties aan om zwakke, veelgebruikte of gecompromitteerde inloggegevens te vermijden.
Gezien dit criterium zouden organisaties idealiter een wachtwoordbeheersysteem implementeren waarmee ze kunnen rapporteren over, en bruikbare inzichten krijgen in, blootgestelde, hergebruikte, zwakke of mogelijk gecompromitteerde wachtwoorden.
Bijlage A 5.34, Privacy en bescherming van persoonsgegevens (PII): De organisatie moet de vereisten voor het behoud van privacy en de bescherming van persoonsgegevens (PII) identificeren en eraan voldoen, conform toepasselijke wet- en regelgeving en contractuele vereisten.
Bijlage A 8.1, Gebruikers-eindapparaten: Informatie die is opgeslagen op, verwerkt door of toegankelijk via gebruikers-eindapparaten moet worden beschermd.
Bijlage A 8.4, Toegang tot broncode: Lees- en schrijftoegang tot broncode, ontwikkeltools en softwarebibliotheken moet passend worden beheerd.
Bijlage A 8.5, Veilige authenticatie: Veilige authenticatietechnologieën en -procedures moeten worden geïmplementeerd op basis van beperkingen voor toegang tot informatie en het onderwerpspecifieke beleid voor toegangsbeheer.
Deze doelstelling richt zich op het gebruik van multifactorauthenticatie om veilig in te loggen op systemen. Met een wachtwoordbeheerder profiteren gebruikers van een extra beveiligingslaag voor logins en hebben ze bovendien één plek om tweefactorauthenticatie (2FA) te helpen beheren en integreren voor alle websites die dit ondersteunen. De doelstelling benadrukt ook dat wachtwoorden altijd vertrouwelijk moeten blijven, wat een sterk argument vormt voor een volledig versleutelde wachtwoordkluis.
Wachtwoordbeheersystemen stellen organisaties in staat items in hun kluizen met inactieve 2FA te identificeren.
Bijlage A 8.11, Gegevensmaskering: Gegevensmaskering moet worden gebruikt in overeenstemming met het onderwerpspecifieke beleid van de organisatie voor toegangsbeheer en andere gerelateerde onderwerpspecifieke beleidsregels, en met bedrijfsvereisten, rekening houdend met toepasselijke wetgeving.
Bijlage A 8.12, Datalekken: Maatregelen ter voorkoming van datalekken moeten worden toegepast op systemen, netwerken en alle andere apparaten die gevoelige informatie verwerken, opslaan of verzenden.
Wist je dat?
Bitwarden biedt Vault Health-rapporten die kunnen helpen sterke cyberbeveiligingspraktijken te stimuleren en medewerkers in staat stellen accounts met zwakke bescherming te identificeren.
Behaal ISO 27001-certificering met behulp van een wachtwoordbeheerder
Een wachtwoordbeheersysteem ondersteunt de vele vereisten van Bijlage A die hierboven worden genoemd, evenals veel van de vereisten in de algemene sets met beheersmaatregelen.
Gebruikers kunnen authenticatiegegevens geheimhouden, best practices voor wachtwoorden toepassen, zoals het genereren van sterke, unieke wachtwoorden, en wachtwoorden veilig delen met een wachtwoordbeheerder die gevoelige informatie beveiligt met end-to-end-versleuteling. Door te beperken wie bepaalde gevoelige of kritieke informatie kan zien, helpen wachtwoordbeheerders ook taken te scheiden en insiderdreigingen te beperken.
Organisaties die wachtwoordbeheerders gebruiken, stellen eisen aan wachtwoordsterkte en dwingen tweefactorauthenticatie (2FA) af, en gebruiken gebeurtenislogboeken om gebruikersactiviteit te monitoren — allemaal mogelijkheden die bedrijven moeten realiseren om te voldoen aan ISO-vereisten voor toegangsbeheer, bescherming van persoonsgegevens (PII) en eindpuntbeveiliging. De meeste gerenommeerde wachtwoordbeheerders faciliteren ook SSO-integratie, waardoor beheerders de tools krijgen die ze nodig hebben om toegang en het authenticatieproces te beheren. Deze mogelijkheid helpt te voldoen aan de ISO-vereiste voor veilige authenticatie.
Bij het beoordelen van wachtwoordbeheerders ter ondersteuning van ISO 27001-certificering moeten organisaties nagaan of de software voldoet aan beveiligings- en compliancestandaarden op ondernemingsniveau, zoals SOC 2 Type 2-compliance, AVG-compliance, het Data Privacy Framework en HIPAA. Bedrijven moeten een oplossing kiezen die beschikt over end-to-end zero-knowledge-versleuteling.
Casestudy's:
Inventory Hive, een toonaangevend softwareplatform voor vastgoedinspecties en virtuele rondleidingen in het Verenigd Koninkrijk, heeft ISO 27001-certificering behaald met Bitwarden.
Zowel Bitwarden Secrets Manager als Bitwarden Password Manager stellen Titanom Technologies in staat om veerkracht op het gebied van cyberbeveiliging aan te tonen en in aanmerking te komen voor ISO 27001-certificering.