Hoe wordt ISO 27001 geïmplementeerd?

    Goede informatiebeveiliging is verankerd in de werkwijze van een bedrijf. Normenkaders als ISO 27001 helpen hierbij.  Maar hoe gaat het implementeren van deze norm in zijn werk? In dit artikel nemen we u mee in de wereld van ISO 27001, het ISMS, de voordelen, de investering en hoe u een ISMS onderhoudt.

    Wat is ISO 27001?

    ISO 27001 is de norm voor informatiebeveiliging. Het normenkader ISO 27001 beschikt over een bijlage, ANNEX A of ISO 27002 genoemd. ISO 27002 is een set aan 114 beheersmaatregelen die een verdiepingsslag bieden voor ISO 27001. Implementeert u ISO 27001? Dan gebruikt u hiervoor altijd ISO 27002.

    De norm bestaat uit een verzameling van 114 beheersmaatregelen waarmee een organisatie meer grip krijgt op belangrijke risico’s. Deze risico’s worden inzichtelijk gemaakt met een risicoanalyse. Voor de grootste dreigingen worden er processen aangepast om de informatiebeveiliging te waarborgen. Dit kan bijvoorbeeld effect hebben op de volgende zaken:

    • Fysieke beveiliging van uw kantoor
    • Gestelde eisen aan een leverancier
    • Indiensttreding van nieuw personeel
    • Autorisaties
    • Wijzigingenbeheer
    • Patchmanagement
    • Mogelijkheid voor hackers om uw systemen binnen te komen

    ISO 27001 implementatie

    Een ISO 27001 implementatie is een grote investering en heeft impact op uw organisatie. De doorlooptijd van een ISO 27001 implementatie is afhankelijk van de schaal en beschikbare resources van uw organisatie. Als globale inschatting duurt het traject ongeveer drie tot zes maanden. In dit tijdsbestek beschrijft u uw processen en schrijft u dit op in de vorm van beleid en procedures. Een aantal voordelen van een ISO 27001 implementatie zijn:

    • Inventariseren van uw kritische gegevens en systemen
    • Beveiligingen van deze gegevens of systemen
    • Internationaal erkend en certificeerbaar
    • Bewijs van professionaliteit naar stakeholders en klanten

    Information Security Management System (ISMS)

    Waar het normenkader ISO 27001 beheersmaatregelen biedt, bestaat een Information Security Management System (ISMS) uit activiteiten. Zowel de beheersmaatregelen als het ISMS zijn onderhevig aan de Plan, Do Check, Act (PDCA) cyclus. De ISMS-activiteiten worden middels een veelal jaarlijkse interval uitgevoerd. De beheersmaatregelen worden beheerst door de PDCA-cyclus. Plan, Do, Check en Act realiseren continue verbetering van het ISMS.

    Hieronder vindt u een globaal stappenplan van de ISMS-activiteiten:

    Door het volgen van deze processtappen bent u optimaal voorbereid op de volgende stap: de externe audit. Een externe auditor komt langs om in twee fasen het ISMS te toetsen op conformiteit met de norm. In fase 1 wordt de basis opzet van uw ISMS gecontroleerd en in fase 2 de invulling van de ANNEX A/ISO 27002 onderwerpen. Na de audit krijgt u huiswerk in de vorm van tekortkomingen mee waarna u verbeterplannen en oorzaakanalyses moet opstellen. Wanneer deze zaken opgeleverd zijn aan de externe auditor dan volgt bij goedkeuring het ISO 27001 certificaat. Het is niet mogelijk om een certificaat te behalen voor ISO 27002 omdat dit een bijlage is van ISO 27001.

    PDCA-cyclus

    De hierboven beschreven stappen zijn onderhevig aan de Plan, Do, Check (PDCA) cyclus. Deze iteratieve cyclus zorgt ervoor dat de activiteiten steeds worden herhaald en dus de informatiebeveiliging voortdurend onder de aandacht blijft en zich blijft ontwikkelen. Ook geeft de PDCA-cyclus borging van resultaten waardoor er na elke stap gecontroleerd wordt of de resultaten in lijn zijn met de verwachtingen.

    Plan
    Stel een plan op waarin de einddoelen duidelijk zijn opgeschreven. Formuleer deze doelen specifiek, meetbaar, acceptabel, realistisch en tijdsgebonden (SMART) in overeenstemming met de belangen van verschillende stakeholders. Geef duidelijke de beschikbare middelen en randvoorwaarden aan.

    Do
    Voer het opgestelde plan uit. Activiteiten en prestaties worden continue geregistreerd en beoordeeld.

    Check
    Vergelijk de behaalde resultaten met de gewenste resultaten. Evalueer de verschillen en voer een oorzaakanalyse uit. Om de oorzaakanalyse in te vullen kunt u gebruik maken van de vijf keer waarom methode. U stelt vijf maal de vraag waarom om zo tot de grondoorzaak van het probleem te komen.

    Act
    Op basis van de resultaatverschillen onderneemt het management actie en worden maatregelen genomen om de gewenste resultaten alsnog te halen.

    Na deze stappen herhaalt de cyclus zich en wordt uw ISMS continue verbeterd!

    Het ISMS onderhouden

    Security is een wereld die voortdurend verandert. Dreigingen nemen nieuwe vormen aan en risico’s veranderen continu. Daarom is het zaak dat u het ISMS blijft onderhouden. Door het uitvoeren van interne audits toetst u de werking van de opgestelde procedures. De resultaten hiervan stellen u weer in staat om processen te verbeteren. Door de informatiebeveiliging op deze manier op te nemen in uw organisatie, vormt het geen extra last, maar een gestructureerde methode om uw werkwijze continu te blijven verbeteren.

    ISMS monitoring

    Het is belangrijk regelmatig de werking van uw ISMS te toetsen om deze effectief te houden. Wij doen dit door middel van ISMS monitoring. Voor een vast bedrag per maand voeren we controles uit, lossen we security incidenten op en zijn we bereikbaar voor al uw vragen. Meer informatie hierover vindt u op de pagina ISMS monitoring.