title: De Norm zelf - Clausules sidebar_position: 3

ISO27001 - Clausules 4 tot 10

De ISO27001-norm bestaat uit twee delen:

ISO27001 - Clausules 4 tot 10
Bijlage A - 93 (normatieve) maatregelen

Beide delen zijn belangrijk bij de implementatie van je ISMS. In dit document leggen we het eerste deel uit: Clausules 4 tot 10.

Tip

Je kunt alle Clausules en Bijlage A-maatregelen vinden in je Tidal-omgeving. Bezoek de Frameworks-pagina en selecteer 'ISO27001'. Alle clausules inclusief richtlijnen staan daar vermeld.

Clausules 4 tot 10 beschrijven wat er van jou wordt verwacht als management van de organisatie (zie hieronder voor een samenvatting van elke clausule). Dit zijn vastgestelde vereisten.

Echter, als onderdeel van het ontwerpen en implementeren van clausules 4 tot 10 zul je meestal zelf de nodige maatregelen voor de werking van je Information Security Management System (ISMS) definiëren.

Een voorbeeld. Clausule 9.1 stelt dat "De organisatie moet de informatiebeveiligingsprestaties en de effectiviteit van het informatiebeveiligingsmanagementsysteem evalueren." Er staat nergens in ISO27001 dat je een informatiebeveiligingscommissie moet hebben die maandelijks bijeenkomt. Maar als je besluit dat je er een nodig hebt, en je zegt dat deze elke maand moet samenkomen, dan heb je zojuist een nieuwe vereiste gecreëerd. Dus moet deze elke maand samenkomen!

Dit betekent dat wat je ook zegt dat je gaat doen om je ISMS te beheren, je het ook moet doen. De certificeringsauditors zullen dit simpelweg controleren en als je niet doet wat je zei dat je zou doen, dan krijg je een non-conformiteit.

Tip

Dit werkt beide kanten op. Overweeg bijvoorbeeld een situatie waarin het Management heeft geconcludeerd dat een bepaalde technische maatregel die in de norm voorkomt geen van de risico's beperkt die de organisatie heeft geïdentificeerd, en besluit deze niet te implementeren. Het ISMS werkt naar behoren, dus dit zal niet resulteren in een non-conformiteit!

Dit maakt de clausules zowel de belangrijkste als de meest flexibele vereisten van de Norm. Gebruik deze kennis verstandig!

De volgende hoofdstukken vatten de inhoud van elke Clausule samen.

Clausule 4 - Context van de organisatie

Een voorwaarde voor het succesvol implementeren van een Information Security Management System is het begrijpen van de context van de organisatie. Externe en interne kwesties, evenals belanghebbenden, moeten worden geïdentificeerd en in overweging worden genomen. Vereisten kunnen regelgevingskwesties omvatten, maar kunnen ook veel verder gaan. Met dit in gedachten moet de organisatie de reikwijdte van het ISMS definiëren.

Clausule 5 - Leiderschap

De vereisten van ISO 27001 voor adequaat leiderschap zijn veelzijdig. De betrokkenheid van het topmanagement is verplicht voor een managementsysteem. Doelstellingen moeten worden vastgesteld in overeenstemming met de strategische richting en doelstellingen van de organisatie. Het bieden van benodigde middelen voor het ISMS, evenals het ondersteunen van personen in hun bijdrage aan het ISMS, zijn andere voorbeelden van de verplichtingen waaraan moet worden voldaan.

Verder moet het topmanagement een beleid op topniveau voor informatiebeveiliging vaststellen. Het ISO 27001 Informatiebeveiligingsbeleid van het bedrijf moet worden gedocumenteerd, alsmede gecommuniceerd binnen de organisatie en aan belanghebbenden.

Rollen en verantwoordelijkheden moeten ook worden toegewezen om aan de vereisten van de ISO 27001-norm te voldoen en te rapporteren over de prestaties van het ISMS.

Clausule 6 - Planning

Planning in een ISMS-omgeving moet altijd rekening houden met risico's en kansen. Een risicobeoordeling voor informatiebeveiliging biedt een belangrijke basis om op te vertrouwen. Dienovereenkomstig moeten informatiebeveiligingsdoelstellingen worden gebaseerd op de risicobeoordeling. Deze doelstellingen moeten worden afgestemd op de algemene doelstellingen van het bedrijf, en ze moeten binnen het bedrijf worden gepromoot omdat ze de beveiligingsdoelen bieden waar iedereen binnen en afgestemd op het bedrijf naartoe werkt. Vanuit de risicobeoordeling en de beveiligingsdoelstellingen wordt een risicobeheerplan afgeleid, gebaseerd op maatregelen zoals vermeld in Bijlage A.

Clausule 7 - Ondersteuning

Middelen, bekwaamheid van medewerkers, bewustzijn en communicatie zijn de sleutel voor het ondersteunen van het ISMS. Een andere vereiste is het documenteren van informatie volgens ISO 27001. Informatie moet worden gedocumenteerd, gecreëerd en bijgewerkt, evenals worden beheerd. Een geschikte set documentatie moet worden onderhouden om het succes van het ISMS te ondersteunen.

Clausule 8 - Uitvoering

Processen zijn verplicht om informatiebeveiliging te implementeren. Deze processen moeten worden gepland, geïmplementeerd en beheerd. Risicobeoordeling en -behandeling - die in de gedachten van het topmanagement moeten zijn, zoals we eerder hebben geleerd - moeten in actie worden omgezet.

Clausule 9 - Prestatie-evaluatie

De vereisten van de ISO 27001-norm verwachten monitoring, meting, analyse en evaluatie van het Information Security Management System. Naast het monitoren van de effectiviteit ervan, moet het bedrijf interne audits uitvoeren. Ten slotte moet het topmanagement op vastgestelde tijdstippen de naleving van het ISMS en ISO 27001 door de organisatie beoordelen.

Clausule 10 - Verbetering

Verbetering volgt op de evaluatie. Non-conformiteiten moeten worden aangepakt door actie te ondernemen en hun oorzaken te elimineren. Bovendien moet een proces van continue verbetering worden geïmplementeerd. Hoewel de PDCA-cyclus (Plan-Do-Check-Act) niet langer expliciet wordt genoemd in ISO 27001, wordt deze nog steeds aanbevolen, aangezien het een solide structuur biedt en voldoet aan de vereisten van ISO 27001.