ISO27001

Een stapsgewijze handleiding voor het implementeren van ISO27001

title: Een stapsgewijze handleiding voor het implementeren van ISO27001 sidebar_position: 2

ISO 27001: Een Stapsgewijze Handleiding

Voordat certificering komt, is er de implementatie van een Information Security Management System (ISMS). In dit document leggen we een stapsgewijze aanpak uit voor het implementeren van ISO27001 en het verkrijgen van dat felbegeerde "Gecertificeerd voor ISO27001"-logo om op je website te plaatsen.

Deze stapsgewijze aanpak is getest en werkt het beste; en als we een betere manier vinden om het te doen, zullen we het hier zeker bijwerken!

Tip

Geen zorgen! Dit is alleen voor je algemene kennis over wat ISO27001 eigenlijk inhoudt. Tidal Control zal je door dit proces leiden, en je zult waarschijnlijk nooit echt de onderstaande stappen hoeven op te zoeken!

Stap 1: Voorbereiding en Reikwijdte

Voorbereiding

Voordat je begint met het certificeringsproces, is het cruciaal om de basis van de ISO27001-norm te begrijpen, de behoeften en verwachtingen van je klanten, toezichthouders en andere belanghebbenden, en de risico's op het gebied van informatiebeveiliging en privacy waarmee je organisatie wordt geconfronteerd.

Reikwijdte

Je moet precies bepalen welke soort informatie je moet beschermen voordat je je ISMS opbouwt. Voor sommige bedrijven omvat de reikwijdte van hun ISMS hun hele organisatie. Voor anderen omvat het alleen een specifieke afdeling of systeem.

Tip

De reikwijdte van een ISMS begint met de informatie die moet worden beschermd. Bedrijfsprocessen, IT-systemen, locaties en zelfs mensen binnen de reikwijdte zijn allemaal afgeleid van de informatie die moet worden beschermd.

Warning

De reikwijdte is niet alleen om op je certificaat te drukken. Tijdens de implementatie van het ISMS zul je jezelf vaak de vraag stellen: "Moet ik deze maatregel implementeren?", snel gevolgd door: "Nou, heb ik het nodig om de informatie te beschermen waarvan ik zei dat ons ISMS deze zou beschermen?". Het is zo belangrijk om het goed te krijgen.

Stap 2: Gap-analyse en Risicobeoordeling

Gap-analyse

Een gap-analyse vergelijkt je huidige informatiebeveiligingspraktijken met ISO27001-vereisten. Hoewel niet verplicht, helpt het gebieden te identificeren die verbetering nodig hebben en stelt het je in staat een routekaart te ontwikkelen om compliance te bereiken. Met de routekaart in de hand ben je klaar om de implementatie te plannen en management buy-in te verkrijgen voor het project en de middelen die nodig zijn om succes te garanderen.

Risicobeoordeling

Een formele risicobeoordeling is een vereiste voor ISO 27001-compliance. Identificeer en evalueer risico's voor informatiemiddelen, en definieer hoe je op deze risico's zult reageren.

Je kunt op de volgende vier manieren op risico's reageren:

  • Accepteer het risico omdat de kosten van het beperken ervan groter zijn dan het risico zelf. Dit is de gemakkelijkste oplossing.
  • Vermijd het risico en de omstandigheden waarin het zich kan voordoen volledig, bijv. door een contract met een leverancier te beëindigen die niet dezelfde normen handhaaft als jij.
  • Draag het risico over aan een andere partij, bijv. door activiteiten uit te besteden of verzekeringen af te sluiten.
  • Verminder het risico door maatregelen (controles) te implementeren die de kans verminderen dat het risico zich voordoet, of de impact wanneer dit wel gebeurt. Dit is de meest voorkomende optie en de enige optie die overblijft als de andere 3 opties niet haalbaar of wenselijk zijn.
Tip

Veel startups hebben geen toegewijd compliance-team en kiezen ervoor om een ISO-consultant in te huren om te helpen bij hun gap-analyse en remediatieplan. Een consultant die ervaring heeft met het werken met bedrijven zoals die van jou, kan deskundige begeleiding bieden om je te helpen aan compliance-vereisten te voldoen.

Bovendien kunnen ze je helpen bij het opstellen van best practices die je algehele beveiligingshouding versterken.

Stap 3: Implementeren van maatregelen

Met een duidelijk begrip van de hiaten kan je organisatie beginnen met het selecteren en implementeren van de nodige maatregelen en beleid om aan ISO27001-vereisten te voldoen. Dit omvat:

Selecteren van noodzakelijke maatregelen

Voor elk risico dat je hebt toegezegd te verminderen tot acceptabele niveaus, wil je een of meer maatregelen definiëren. Het selecteren van maatregelen uit een maatregelenbibliotheek elimineert de noodzaak om maatregelen vanaf nul te ontwerpen.

Vaststellen van beleid en procedures (proces)

Elk ISMS heeft een lijst van verplicht beleid en procedures die moeten worden geïmplementeerd. Daarnaast, en afhankelijk van de geselecteerde maatregelen, wil je mogelijk extra beleid en procedures definiëren en implementeren die van toepassing zijn op je organisatie en haar ISMS.

Implementeren van technische beveiligingsmaatregelen (technologie)

In veel gevallen leidt de implementatie van een ISMS tot het identificeren van beveiligingshiaten in systemen en applicaties. Dit is een goed moment om deze problemen te verhelpen.

Tip

Onthoud, ISO gaat er niet om aan te tonen dat je alle vereiste technische maatregelen op hun plaats hebt. Wat belangrijk is, is dat je een continu proces hebt om hiaten en andere problemen te identificeren, te monitoren en op te lossen. Het oplossen van problemen kan echter veel tijd besparen, aangezien het de noodzaak vermijdt om al deze stappen te documenteren en vervolgens bij te houden!

Training en bewustzijn (mensen)

ISO 27001 vereist dat alle medewerkers worden getraind in informatiebeveiliging. Hoewel de focus over het algemeen ligt op het implementeren van beveiligingsbewustzijnstraining voor alle medewerkers, vergeet niet om de trainingsbehoeften te identificeren (en training te bieden) voor medewerkers met specifieke verantwoordelijkheden voor informatiebeveiliging en privacy. Bijvoorbeeld technische teams, softwareontwikkelingsteams, en de beveiligings- en privacy-officer zelf.

Vastleggen van een PDCA-cyclusbenadering voor informatiebeveiliging (bestuur)

Een vaak over het hoofd gezien aspect van ISO27001 is de hoofdvereiste, en dat is het aantonen van compliance met hoofdstukken 4 tot 10 van de norm. In de praktijk betekent dit het vaststellen en documenteren van elk van de stappen in de Plan-Do-Check-Act (PDCA)-cyclusbenadering van het management voor informatiebeveiliging. ISO27001 vereist dat de organisatie deze cyclus ten minste één keer heeft voltooid voordat de certificeringsaudit kan beginnen.

Stap 4: Kiezen van een externe ISO-auditor

Je wilt je externe auditor selecteren wanneer je ver genoeg bent met de implementatie van je ISMS om er vertrouwen in te hebben dat het voltooid zal zijn voordat de fase I-audit begint. Aangezien externe auditors doorgaans een planningshorizon van 6-8 weken hebben, raden we over het algemeen aan om ze ruim van tevoren te contracteren.

Warning

Onthoud om een volledige PDCA-cyclus te voltooien voordat je externe audit begint! Dit omvat het voltooien van ten minste één Managementbeoordeling en Interne Audit die het gehele ISMS dekt

Stap 5: Monitoren, meten en evalueren

Managementbeoordeling

Een formele managementbeoordeling zorgt ervoor dat je ISMS blijft voldoen aan het beleid en de doelstellingen van je organisatie. Het senior management moet eventuele problemen, controlehiaten, lopende risicobehandeling, wijzigingen aan het ISMS en meer beoordelen om ervoor te zorgen dat corrigerende maatregelen worden genomen om geïdentificeerde problemen aan te pakken. Het is een verplichte stap in het ISO-proces.

Interne Audits

Interne audits evalueren de effectiviteit van je ISMS, identificeren non-conformiteiten en gebieden voor verbetering. Het belangrijkste verschil met de managementbeoordeling is dat de interne audit moet worden uitgevoerd door personen die bekwaam en onpartijdig zijn ten opzichte van het ISMS. Ze moeten de norm van voor tot achter kennen, en ze kunnen geen maatregelen auditeren die ze hebben geselecteerd of waarover ze operationele controle hebben. Je auditors mogen geen leden zijn van het implementatieteam of enige bevoegdheid hebben om wijzigingen aan te brengen na de audit.

Tip

Interne Audits kunnen worden uitgevoerd door intern personeel en zelfs door iemand die werkt voor dezelfde organisatie die je helpt bij het implementeren van het ISMS, zolang de betrokken personen voldoen aan de vereisten van competentie en objectiviteit.

Stap 6: Checklist voor auditvoorbereiding

Het invullen van een ISO Audit-voorbereidingschecklist vóór de certificeringsaudit helpt om ervoor te zorgen dat je eventuele resterende hiaten of gebieden van non-compliance in je ISMS identificeert. Dit stelt je in staat om deze problemen aan te pakken vóór de externe audit, waardoor het risico wordt verminderd dat non-conformiteiten worden gevonden door de auditors.

Stap 7: Certificeringsaudit

De certificeringsaudit wordt in twee fasen uitgevoerd door de gekozen certificerende instantie:

Fase 1 Audit (Documentbeoordeling):

De auditors beoordelen je ISMS-documentatie om ervoor te zorgen dat deze in lijn is met ISO27001-vereisten. Dit omvat het verifiëren dat alle noodzakelijke documenten aanwezig zijn en dat het ISMS op passende wijze is ontworpen.

Fase 2 Audit (Beoordeling ter plaatse):

De auditors bezoeken je organisatie om de implementatie en effectiviteit van het ISMS te beoordelen. Dit omvat interviews met personeel, observatie van processen en onderzoek van gegevens om te bevestigen dat het ISMS werkt zoals bedoeld.

Nadat de audits zijn voltooid, zal de externe auditor hun rapport opstellen en het certificaat uitgeven. Gefeliciteerd, je bent nu ISO27001-gecertificeerd!

Tip

Het onderhouden van een ISMS eindigt niet met certificering. Regelmatige interne audits, managementbeoordelingen en voortdurende verbetering zijn cruciaal voor compliance met ISO 27001. 💼 🚀

Volgende
De Norm zelf - Clausules