In 9 stappen naar een ISO27001 Certificaat, samen met DataNova?


We zullen er niet om liegen. Het implementeren van een ISO 27001-conform ISMS (Information Security Management System) kan een uitdaging zijn. Maar zoals het gezegde luidt, niets dat de moeite waard is, komt gemakkelijk, en ISO 27001 is zeker de moeite waardAls u net begint met ISO 27001, heeft DataNoVa deze 9-stappen-implementatiechecklist samengesteld om u op weg te helpen.



9 stappen-implementatiechecklist:

Uw eerste taak is het aanstellen van een projectleider die toezicht houdt op de implementatie van het ISMS.

Hij of zij moet beschikken over een gedegen kennis van informatiebeveiliging en de bevoegdheid hebben om een team te leiden en opdrachten te geven aan managers.

De projectleider zal een groep mensen nodig hebben om hem te helpen. Het hoger management kan het team zelf selecteren of de projectleider toestaan zijn eigen personeel te kiezen.

Zodra het team is samengesteld, moeten zij een projectmandaat opstellen. Dit is in wezen een reeks antwoorden op de volgende vragen:

  • Wat hopen we te bereiken?
  • Hoe lang gaat het duren?
  • Hoeveel gaat het kosten?
  • Heeft het project steun van het management?
Vervolgens moet u beginnen met de planning voor de implementatie zelf.

Het implementatieteam zal hun projectmandaat gebruiken om een gedetailleerder overzicht te maken van hun doelstellingen, plan en risicoregister voor informatiebeveiliging.

Dit omvat het opstellen van beleidslijnen op hoog niveau voor het ISMS waarin het volgende wordt vastgelegd:

  • Rollen en verantwoordelijkheden.
  • Regels voor de voortdurende verbetering ervan.
  • Hoe de bekendheid van het project kan worden vergroot door middel van interne en externe communicatie.
Als het plan klaar is, is het tijd om te bepalen welke methode voor continue verbetering gebruikt gaat worden.

ISO 27001 schrijft geen specifieke methode voor, maar beveelt een "procesbenadering" aan. Dit is in wezen een Plan-Do-Check-Act-strategie. U kunt elk model gebruiken, zolang de vereisten en processen maar duidelijk zijn gedefinieerd, correct worden geïmplementeerd en regelmatig worden herzien en verbeterd.

U moet ook een ISMS-beleid opstellen. Dit hoeft niet gedetailleerd te zijn; het hoeft alleen maar aan te geven wat uw implementatieteam wil bereiken en hoe zij van plan zijn dat te doen. Als het eenmaal klaar is, moet het worden goedgekeurd door de directie.

Op dit punt kunt u de rest van uw documentstructuur ontwikkelen. Wij raden u aan een strategie met vier niveaus te gebruiken:

  • Beleid bovenaan, waarin het standpunt van de organisatie wordt bepaald over specifieke kwesties, zoals aanvaardbaar gebruik en wachtwoordbeheer.
  • Procedures om de eisen van het beleid uit te voeren.
  • Werkinstructies die beschrijven hoe werknemers aan dat beleid moeten voldoen.
  • Registratie van de procedures en werkinstructies
De volgende stap is het verkrijgen van een breder inzicht in het kader van het ISMS. Het proces om dit te doen wordt beschreven in clausules 4 en 5 van de ISO 27001-norm. Deze stap is van cruciaal belang voor het bepalen van de scope van uw ISMS en het bereik ervan in uw dagelijkse werkzaamheden.

Als zodanig moet u alles wat relevant is voor uw organisatie in kaart brengen, zodat het ISMS kan voldoen aan de behoeften van uw organisatie. Het belangrijkste onderdeel van dit proces is het bepalen van de scope van uw ISMS. Dit omvat het identificeren van de locaties waar informatie is opgeslagen, of dat nu fysieke of digitale bestanden, systemen of draagbare apparaten zijn.

Het correct definiëren van de scope is een essentieel onderdeel van uw ISMS-implementatieproject. Als uw werkterrein te klein is, laat u informatie onbeschermd en brengt u de veiligheid van uw organisatie in gevaar. Maar als uw toepassingsgebied te breed is, wordt het ISMS te complex om te beheren.
De basislijn voor de beveiliging van een organisatie is het minimale activiteitenniveau dat vereist is om veilig zaken te doen.

U kunt uw veiligheidsbasis vaststellen met de informatie die is verzameld in uw ISO 27001-risicobeoordeling.

Dit zal u helpen bij het identificeren van de grootste kwetsbaarheden in de beveiliging van uw organisatie en de bijbehorende ISO 27001-beheersmaatregelen om het risico te beperken (beschreven in bijlage A van de norm).
Risicobeheer vormt de kern van een ISMS. Bijna elk aspect van uw beveiligingssysteem is gebaseerd op de bedreigingen die u hebt geïdentificeerd en geprioriteerd, waardoor risicobeheer een kerncompetentie is voor elke organisatie die ISO 27001 implementeert.

De norm staat organisaties toe hun eigen risicobeheerprocessen te definiëren. Gangbare methoden richten zich op risico's voor specifieke bedrijfsmiddelen of risico's die zich voordoen in bepaalde scenario's.

Welk proces u ook kiest, uw beslissingen moeten het resultaat zijn van een risicobeoordeling. Dit is een proces in vijf stappen:

  • Stel een kader voor risicobeoordeling op
  • Identificeer risico's
  • Risico's analyseren
  • Risico's evalueren
  • Selecteer opties voor risicobeheer

Vervolgens moet u uw criteria voor risicoaanvaarding vaststellen, d.w.z. de schade die bedreigingen zullen veroorzaken en de waarschijnlijkheid dat ze zich zullen voordoen. Managers kwantificeren risico's vaak door ze een score te geven in een risicomatrix; hoe hoger de score, hoe groter de bedreiging. Ze kiezen dan een drempel voor het punt waarop een risico moet worden aangepakt.

Er zijn vier benaderingen die u kunt volgen bij het aanpakken van een risico:

  • Tolereer het risico
  • Behandel het risico door controles toe te passen
  • Beëindig het risico door het volledig te vermijden
  • Draag het risico over (met een verzekeringspolis of via een overeenkomst met andere partijen).

ISO 27001 vereist ten slotte dat organisaties een SoA (Verklaring van Toepasselijkheid) invullen waarin wordt gedocumenteerd welke van de beheersingsmaatregelen van de norm u hebt geselecteerd en weggelaten en waarom u deze keuzes hebt gemaakt.
De uitvoering van het risicobehandelingsplan is het proces waarbij de beveiligingscontroles worden opgezet die de informatiemiddelen van uw organisatie zullen beschermen.

Om ervoor te zorgen dat deze controles doeltreffend zijn, moet u controleren of het personeel de controles kan uitvoeren of ermee kan werken en op de hoogte is van zijn verplichtingen inzake informatiebeveiliging.

U moet ook een proces ontwikkelen om de competenties die nodig zijn om uw ISMS-doelstellingen te bereiken, te bepalen, te beoordelen en te onderhouden.

Dit omvat het uitvoeren van een behoefteanalyse en het definiëren van een gewenst competentieniveau.
U kan niet kunnen zeggen of uw ISMS werkt of niet, tenzij u het evalueert.

Wij raden u aan dit ten minste jaarlijks te doen, zodat u het evoluerende risicolandschap nauwlettend in het oog kunt houden.

Het evaluatieproces omvat het identificeren van criteria die de doelstellingen weerspiegelen die u in het projectmandaat hebt vastgelegd.

Een gebruikelijke metriek is kwantitatieve analyse, waarbij u een getal toekent aan wat u meet. Dit is nuttig wanneer het gaat om financiële kosten of tijd. Het alternatief is kwalitatieve analyse, waarbij de metingen gebaseerd zijn op een oordeel. U zou kwalitatieve analyse gebruiken wanneer de beoordeling zich het best leent voor categorisering, zoals "hoog", "gemiddeld" en "laag".

Naast dit proces moet u regelmatig interne audits van uw ISMS uitvoeren. Er is geen specifieke manier om een ISO 27001-audit uit te voeren, wat betekent dat het mogelijk is om de beoordeling voor één afdeling tegelijk uit te voeren. Dit helpt aanzienlijk productiviteitsverlies te voorkomen en zorgt ervoor dat de inspanningen van uw team niet te veel worden verdeeld over verschillende taken.

U moet er echter wel naar streven het proces zo snel mogelijk af te ronden, want u moet de resultaten hebben, ze beoordelen en plannen voor de audit van het volgende jaar. De resultaten van uw interne audit vormen de input voor de managementbeoordeling, die in het proces van voortdurende verbetering zal worden opgenomen.
Zodra het ISMS is ingevoerd, kunt u ervoor kiezen om ISO 27001-certificering aan te vragen, in welk geval u zich moet voorbereiden op een externe audit.

Certificeringsaudits worden in twee fasen uitgevoerd.

Tijdens de eerste audit wordt vastgesteld of het ISMS van de organisatie is ontwikkeld in overeenstemming met de vereisten van ISO 27001. Als de auditor tevreden is, zal hij een grondiger onderzoek uitvoeren. U moet vertrouwen hebben in uw vermogen om te certificeren voordat u doorgaat, omdat het proces tijdrovend is en u nog steeds moet betalen als u niet meteen slaagt.

Een ander punt dat u in gedachten moet houden, is voor welke certificeringsinstantie u moet kiezen. Er zijn er genoeg om uit te kiezen, maar u moet er absoluut zeker van zijn dat zij geaccrediteerd zijn door een nationale certificatie-instelling, die lid moet zijn van de IAF (International Accreditation Body). Dit garandeert dat de beoordeling daadwerkelijk in overeenstemming is met ISO 27001, in tegenstelling tot niet-gecertificeerde instanties, die vaak beloven een certificering te verstrekken ongeacht het nalevingsbeleid van de organisatie.

De kosten van de certificeringsaudit zullen waarschijnlijk een primaire factor zijn bij de beslissing voor welk orgaan u gaat, maar het zou niet uw enige zorg moeten zijn. U moet ook overwegen of de beoordelaar ervaring heeft in uw bedrijfstak. Een ISMS is immers altijd uniek voor de organisatie die het heeft opgesteld, en degene die de audit uitvoert moet op de hoogte zijn van uw vereisten.