ISO 27001 checklist: in 15-stappen naar implementatie ISO 27001
Is er een ISO 27001 checklist? Nee, die is er niet! Wel een 15-stappen implementatieplan dat je kunt hanteren als checklist!
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nl‘Is er een ISO 27001 checklist?’ Een vraag die we vaak voorbij horen komen. Het antwoord daarop is eenvoudig: er is geen checklist. De norm zelf is uiteindelijk ‘de ISO 27001 checklist’ waaraan moet worden voldaan. Wat ons betreft moet een ISO 27001 certificering echter ook niet benaderd worden als het afvinken van een checklist, maar juist als een manier van denken en werken binnen een organisatie om op een geplande manier:
- De Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) van informatie te inventariseren;
- Daar de juiste risicobeheersmaatregelen voor te treffen;
- De effectiviteit daarvan structureel te monitoren;
- En op basis daarvan continue verbetering te realiseren.
ISO 27001 checklist in 15 stappen
Het is weliswaar geen ISO 27001 checklist, maar om een beeld te geven van de aanpak bij een ISO 27001 certificering, zonder daarbij eerst de hele norm te hoeven doorlopen, geven we hieronder een stappenplan dat bestaat uit de volgende stappen:
- Basismaatregelen voor cybersecurity
- Bepalen van het projectteam
- Bepalen scope van het ISMS
- Inventariseren processen, data en systemen binnen de scope
- Analyseren stakeholdereisen m.b.t. BIV van informatie
- Bepalen informatiebeveiligingsbeleid (hoofdlijnen)
- Uitvoeren van de risicoanalyse
- Bepalen/selecteren/prioriteren beheersmaatregelen (opstellen VvT)
- Implementeren geprioriteerde beheersmaatregelen
- Creëren van security awareness
- Opzetten en implementeren monitoring/verbetercyclus (PDCA)
- Uitvoeren interne audit
- Uitvoeren directiebeoordeling
- Uitvoeren externe audit
- Onderhouden van het ISMS
Hieronder zoomen we in op iedere stap uit het stappenplan.
Stap voor stap op weg naar ISO 27001 met deze checklist
Informatiebeveiliging gaat over het managen van risico’s rondom beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Daarin kan onderscheid worden gemaakt tussen:
- Cybersecuritydreigingen en -maatregelen die voor iedere organisatie van toepassing zijn (ofwel, de zaken die iedere organisatie standaard in orde zou moeten hebben, of er nu een ISO-certificeringswens is of niet) en;
- Technische/organisatorische informatiebeveiligingsrisico’s die verder gaan dan dat en meer samenhangen met een certificeringswens.
Stap 1: basismaatregelen voor cybersecurity
Wanneer je van start wilt/moet met ISO 27001, adviseren we om, alvorens je start met het opzetten van een Information Security Management System (ISMS) op basis van ISO 27001, eerst na te gaan in hoeverre je als organisatie voldoet aan de basismaatregelen met betrekking tot cybersecurity en waar dat nog niet zo is, dit eerst op orde te brengen. De basismaatregelen die het Nationaal Cyber Security Centrum (NCSC) heeft opgesteld kunnen daarvoor als uitgangspunt worden genomen.
Met behulp van de punten van NCSC leg je een noodzakelijke basis, waarmee je al belangrijke risico’s vermindert. Start je namelijk met een ISO 27001 traject, zonder dat je deze basiszaken op orde hebt, dan maak je het jezelf lastig!
Ook interessant: Aan de slag met informatiebeveiliging, maar hoe? Een laagdrempelige en toegankelijke manier om ermee te beginnen is door te starten met een ISO 27001 opstaptraject.
Nadat stap 1, de basisinrichting, doorlopen is, kun je verder met stap 2 t/m 15: het opzetten en implementeren van een ISMS op basis van ISO 27001. Hieronder een toelichting per stap:
Stap 2: Bepalen van het projectteam
Bepaal allereerst welke medewerkers uit de organisatie het projectteam vormen voor het implementatietraject. Zorg daarbij voor zowel afvaardiging vanuit management alsmede vanuit relevante afdelingen. Stel vervolgens een projectleider aan met voldoende kennis van organisatieprocessen en affiniteit met IT-aangelegenheden. Deze laatste persoon zal normaal gesproken de rol van Security Officer binnen de organisatie gaan vervullen. Zorg voor voldoende basiskennis van de ISO 27001 norm bij deze persoon en bij voorkeur ook bij de andere key-spelers.
Stap 3: Bepalen scope van ISMS
Waarop heeft het op te zetten ISMS betrekking? Is dat op BIV van informatie die omgaat in ALLE bedrijfsactiviteiten/-onderdelen of wil je hierin afbakenen? Denk daarbij aan een specifiek product/dienst, specifieke vestiging, specifiek geografisch werkgebied etc.
Stap 4: Inventariseren processen, data en systemen binnen de scope
Met welke bedrijfsprocessen heb je precies te maken bij de activiteiten/onderdelen binnen de gekozen scope? Welke informatie gaat daarin om waarvoor BIV-eisen gelden? En welke systemen worden daarbij gebruikt? Dat inventariseer je in stap 4.
Stap 5: Analyseren stakeholdereisen m.b.t. BIV van informatie
Met welke belanghebbenden, zowel intern als extern, heb je te maken bij de betreffende bedrijfsactiviteiten? En welke eisen en verwachtingen hebben zij op het gebied van BIV van informatie? Denk hierbij aan klanten, eindgebruikers, aandeelhouders, leveranciers, wet- en regelgeving etc.
Stap 6: Bepalen informatiebeveiligingsbeleid (hoofdlijnen)
Uitgaande van de relevante stakeholdereisen: waar sta je als organisatie op hoofdlijnen voor? Welke doelen stel je jezelf op gebied van BIV van informatie?
Stap 7: Het uitvoeren van de risicoanalyse
Welke potentiële risico’s zijn er op technisch en organisatorisch vlak die ertoe kunnen leiden dat je niet aan de stakeholdereisen en je eigen doelstellingen gaat voldoen? Bepaal de kans en de impact van ieder risico. Bepaal daarna of je het risico kunt accepteren of dat er beheersmaatregelen getroffen moeten worden om de kans en/of de impact van het potentiële risico te verlagen.
Stap 8: Bepalen/selecteren/prioriteren beheersmaatregelen (opstellen Verklaring van Toepasselijkheid)
In deze stap ga je tegenover ieder relevant risico een passende beheersmaatregel stellen. Gebruik hiervoor de Annex A van de ISO 27001 norm als richtlijn. In de Annex A staan rond de 100 voor gedefinieerde maatregelen vermeld. Voor verdere verdieping/best practices kun je eventueel de ISO 27002 norm gebruiken.
Vervolgens bepaal je van alle maatregelen in de Annex A of die maatregel relevant is in jouw context. Zo ja, bepaal of en hoe je deze maatregel geïmplementeerd hebt. Maak hier een overzicht van. Dat vormt de basis voor je ‘Verklaring van Toepasselijkheid’ die later integraal onderdeel zal zijn van het ISO 27001 certificaat.
Stap 9: Implementeren geprioriteerde beheersmaatregelen
Stel het bedrijfsbeleid vast op alle bij ‘stap 8’ geselecteerde beheersmaatregelen en implementeer dit, voor zover dat nog niet het geval is, op het juiste niveau, passend bij het risiconiveau.
Stap 10: Creëren van security awareness
Werk aan bewustwording en gedrag bij medewerkers binnen de organisatie. Laat het eindverantwoordelijke management hier een sturende/leidende rol in spelen. Creëer daarbij bewustzijn rondom operationele risico’s zoals bijv. phishing en social engineering, maar creëer ook bewustzijn rondom het bedrijfsbeleid dat is opgesteld bij ‘stap 6’.
Stap 11: Opzetten en implementeren monitoring/verbetercyclus (PDCA)
Stel vast op welke wijze je de naleving en effectiviteit van de getroffen beheersmaatregelen kunt monitoren en evalueren. Denk daarbij aan technische monitoring, maar ook proces-KPI’s en een proces voor incidentenmelding, -registratie en opvolging. Stel een operationele planning op voor de benodigde periodieke controles, acties en werkzaamheden hiervoor. En voer de hierna volgende stappen 12 en 13 uit; deze maken ook integraal onderdeel uit van de monitoring/PDCA cyclus.
Stap 12: Uitvoeren interne audit
De 12e stap is het opstellen van een interne auditplanning voor een auditcyclus van drie jaar. Daarin controleer je alle onderdelen van het ISMS periodiek op opzet, bestaan en werking. Het gaat om controles op volledigheid en actualiteit van de ISMS documentatie, maar ook om dossiercontroles, observaties en interviews waarmee de naleving van het beleid en de interne afspraken worden beoordeeld.
Stap 13: Uitvoeren directiebeoordeling
Als onderdeel van het benodigde leiderschap rondom het ISMS, is het een verplichting dat het eindverantwoordelijke management een review uitvoert op de effectiviteit van het ISMS. Daarbij komen zaken aan bod als:
- Wat waren de uitkomsten van audits en andere monitoring?
- Welke incidenten hebben plaatsgevonden en hoe zijn deze opgevolgd?
- Halen we onze informatiebeveiligingsdoelstellingen?
- Zijn we voldoende in control?
- Wat zijn onze verbeterdoelstellingen voor de komende periode?
Stap 14: Uitvoeren externe audit
Op het moment dat de bovenstaande stappen zijn uitgevoerd, en de conclusie is dat er een ISMS staat dat goed functioneert en leidt tot borging en verbetering, ben je klaar voor de kers op de taart: de officiële certificatieaudit door een geaccrediteerde certificerende instelling. Bij positief resultaat ontvang je het ISO 27001 certificaat.
Stap 15: Het onderhouden van het ISMS
Nadat het ISO 27001 certificaat is behaald, is het niet klaar. Sterker nog, dan begint het pas echt. Het ISMS moet worden onderhouden en de PDCA cirkel moet blijven draaien. De rol van de Security Officer is daarbij cruciaal!
Ondersteuning nodig bij deze of bovengenoemde stappen? Wij kunnen helpen met begeleiding, advies, opleidingen en/of het (parttime) invullen van de Security Officer rol middels onze dienst ‘Security Officer as a Service’.
Hulp of ondersteuning nodig?
Mocht je op zoek zijn naar een ISO 27001 checklist, dan geven bovenstaande 15 stappen je hopelijk een leidraad/houvast. Wil je aan de slag met opzetten of juist onderhouden van het ISMS en je ISO 27001 certificering en kun je daarbij advies of ondersteuning gebruiken? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag (op weg)!
Transcriptie video: ISO 27001 implementatie in 6 stappen
Hai! In deze video vertel ik je graag meer over de implementatie van een ISO 27001 managementsysteem. Stap 1: je begint allereerst met een contextanalyse. In een contextanalyse ga je kijken: hoe bestaan wij als bedrijf in de markt en wat voor in- en externe invloeden zijn er op ons als organisatie? Dat kan bijvoorbeeld in de vorm van een SWOT analyse of een DESTEP analyse. Linksom of rechtsom, je gaat in kaart brengen welke in- en externe factoren van invloed zijn op jou als organisatie. Naast dat je de contextanalyse in kaart brengt, ga je ook kijken naar stakeholders. Belanghebbenden dus voor jouw organisatie. Een belangrijke voorwaarde voor de implementatie van een ISO 27001 managementsysteem, is een stukje leiderschap en betrokkenheid. Het is een managementsysteem dus het management of de directie moet betrokken zijn bij de implementatie van ISO 27001. Of überhaupt een managementsysteem. Zonder betrokkenheid of commitment vanuit de directie ga je er niet komen. Vervolgens als jij een stuk commitment hebt en je hebt de context in kaart gebracht, ga je kijken naar een risicoanalyse. In die risicoanalyse ga je kijken: wat zijn nu de risico’s die van invloed zijn op onze organisatie? Waarschijnlijk heb je ook al een aantal risico’s geïdentificeerd vanuit jouw context- en stakeholdersanalyse. Dat neem je mee en vervolgens ga je kijken: wat is van impact op onze organisatie? Vervolgens ga je kijken: dit risico, vinden wij dat acceptabel? Waarschijnlijk niet, anders had je hem niet opgenomen. Wellicht ook wel, dat is even aan jezelf. Mocht je zo’n risico niet acceptabel vinden, dan ga je waarschijnlijk over tot het behandelen van het risico. Je gaat zo’n risico implementeren, je gaat een maatregel bedenken en vervolgens zegt de norm dan vergelijk die maatregel die jij hebt genomen eens met onze bijlage A, want wij zijn ISO, wij hebben hierover nagedacht. En kijk eens of je niet nog eventuele maatregelen vergeten bent.Dan heb je natuurlijk geïdentificeerd wat je wil gaan doen, wat je doelen zijn en wat je maatregelen voor risicobehandeling zijn. Daar heb je ook geld voor nodig, tijd, mensen: middelen in het algemeen. In de breedste vorm van het woord! Je gaat zorgen dat je de maatregelen die jij hebt bedacht ten uitvoer brengt en daar ga je een stuk monitoring op loslaten zodat je ook weet: hoe staan we ervoor? Vervolgens heb je dus het stuk monitoren, waar we het eerder al heel even over hadden. Leven wij ons beleid na? Medewerker A heeft alleen toestemming om toegang te hebben tot applicatie A. Maar uit jouw controle blijkt dat hij ook toegang heeft tot applicatie B. Dat is dan weer een afwijking van je eigen beleid en dat ga je dan vervolgens behandelen in het volgende hoofdstuk. Naast de controle op naleving, ga je ook een interne audit uitvoeren. Dat is een extra stap die je neemt om een stukje naleving te toetsen. Tevens ook een verplicht onderdeel! Wil je nog meer informatie over het implementeren van een ISO 27001 managementsysteem? Bekijk dan ook eens onze andere YouTube video’s, neem contact met ons op of bekijk onze website!
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nl
Direct aan de slag met ISO 27001?
Wij helpen je stap voor stap op weg!
- Vrijblijvende offerte
- Snel schakelen
- Praktische tips
- Op maat traject
