Stappenplan ISO 27001Wil je een ISO 27001 certificaat behalen? Dan dien je als organisatie een aantal stappen te doorlopen. Het stappenplan ISO 27001 dat we bij CertificeringsAdvies Nederland hanteren bestaat grofweg uit 10 verschillende stappen. Deze stappen zijn onderverdeeld in twee verschillende fasen. In dit blogartikel vertellen wij je meer over de verschillende stappen die vanuit onze methode doorlopen dienen te worden op weg naar een ISO 27001 certificering. Daarin bevinden zich uiteraard ook een aantal ‘standaard’ eisen die gesteld worden vanuit de norm en zaken waar op gelet wordt door een certificerende instantie.

Stap 1: Algemene inventarisatie + Scope bepalen

In de eerste stap vindt er een algemene inventarisatie van de organisatie plaats. Daarin wordt de werkwijze onder de loep genomen, wordt er gekeken naar de informatie die reeds beschikbaar is en wordt de ICT-infrastructuur doorlopen. Uiteindelijk wordt in de eerste stap ook de ISO 27001 scope bepaald. De scope geeft aan waarvoor je het ISO 27001 certificaat precies wilt gaan behalen.

Lees ook het artikel: De ISO 27001 scope bepalen

Meer weten over de ISO 27001 certificering?

Heb je na het lezen van dit artikel vragen over de ISO 27001 certificering of wil je graag meer informatie? Neem dan gerust contact met ons op. Of download gratis de handige gids ‘Informatiebeveiliging met ISO 27001’ op onze website. Daarin vertellen we je alles over deze norm.

DOWNLOAD INFORMATIEGIDS

Informatiegids ISO 27001

Stap 2: Uitvoeren van de contextanalyse

Stap 2 bestaat uit het uitvoeren van de contextanalyse. Het doel van deze analyse is inzicht verkrijgen in de organisatie en haar context. De contextanalyse is onderverdeeld in een stakeholderanalyse en een risicoanalyse. Bij de stakeholderanalyse worden de relevante stakeholders in kaart gebracht. Daarbij wordt gekeken naar welke groepen er zijn en welke eisen de stakeholders hebben op het gebied van informatiebeveiliging. Tot slot worden de relevante risico’s en kansen voor de organisatie in kaart gebracht. Dit dient ter input van de risicoanalyse.

Stap 3: Uitvoeren van de risicoanalyse

In de ISO 27001 norm staat de risicoanalyse centraal. In deze derde stap wordt dan ook niet voor niets apart ingezoomd op de risicoanalyse. Met behulp van deze analyse ga je beoordelen in hoeverre de informatiebeveiliging in de organisatie op een acceptabel niveau is. Deze wordt uitgevoerd op basis van de ISO 27001 normelementen, met behulp van de ISO 27002. Dit is een lijst met veelvoorkomende beheersmaatregelen. Belangrijke onderwerpen uit de ISO 27002 zijn bijvoorbeeld:

  • Informatiebeveiligingsbeleid;
  • Veilig personeel;
  • Beheer van bedrijfsmiddelen;
  • Autorisaties;
  • Toegangsbeveiliging;
  • Communicatiebeveiliging.

Lees ook het artikel: De ISO 27001 risicoanalyse uitgelicht

Stap 4: Opstellen Plan van Aanpak

Wat is een ISMS - ISO 27001In de 4e stap van het stappenplan ISO 27001 wordt het Plan van Aanpak opgesteld. Hierin staat beschreven wat de benodigde maatregelen en eisen zijn met betrekking tot het managementsysteem. Daarnaast wordt het actieplan afgestemd. Met behulp van het actieplan worden de inzichten die verkregen zijn in de contextanalyse omgezet naar concrete acties die daadwerkelijk tot verbetering leiden. Dat verbeteren is een steeds weer terugkerend proces, wat blijft draaien door gebruik te maken van het Plan-Do-Check-Act concept, ofwel de Deming cyclus.

Stap 5: Aanscherpen contextanalyse

De contextanalyse met bijbehorende risicoanalyse is erg belangrijk in ISO 27001 en vaak ook erg complex. In deze stap wordt daarom de contextanalyse nog eens goed doorgelicht en aangescherpt op basis van nieuwe bevindingen en inzichten.

Stap 6: Beleidscyclus vastleggen

Bij Stap 6 wordt er in feite gestart met de tweede fase van het ISO 27001 traject. Deze stap bestaat uit het aanscherpen van de beleidscyclus. Daarin wordt het proces van het bepalen van beleid en doelstellingen vastgelegd. Vervolgens wordt in deze stap bekeken op welke wijze dit vertaald kan worden naar de organisatie en hoe de naleving hiervan wordt bewaakt.

Jan Penning (WSB Solutions): “Het hele ISO-traject heeft ons een managementsysteem opgeleverd dat bij ons past. Al met al denk ik dat de grootste winst van het hele traject is dat we onze informatiebeveiliging op een veel hoger plan gebracht hebben, dat er structuur is gebracht in de organisatie en, het belangrijkste, dat we continu kritisch kijken naar wat er beter kan en dit dan ook aanpakken!” – Benieuwd naar het hele verhaal van WSB Solutions? Lees dan de WSB Solutions klantcase.

Stap 7: Uitvoeren Plan van Aanpak

In de 7e stap ligt de focus op het uitvoeren van het Plan van Aanpak dat in stap 4 is opgesteld. Daarbij worden alle technische, organisatorische en fysieke beheersmaatregelen uit Bijlage A van de ISO 27001 norm onderzocht, gekozen en geïmplementeerd. De implementatie vindt zoals eerdergenoemd plaats met behulp van de Deming cyclus. Een handig mechanisme om processen te beheersen en te verbeteren, zodat zaken volgens de juiste specificaties worden geleverd. Zodra je verbeteracties hebt bepaald, daar Key Performance Indicators (KPI’s) aan hebt gehangen, verantwoordelijken hebt aangewezen en een actieplanning hebt opgesteld, kan de PDCA-cirkel beginnen te draaien.

Stap 8: Borging en implementatie

In stap 8 staan borging en implementatie centraal. In deze stap worden de gemaakte afspraken en procedures vastgelegd in het Information Security Management System (ISMS). Daarbij wordt concreet vastgelegd welke beheers- en borgingsmaatregelen er zijn getroffen met betrekking tot informatiebeveiliging. Ook worden in deze stap de gemaakte afspraken en procedures geïmplementeerd binnen de organisatie.

Lees ook het artikel: Wat is een ISMS in de ISO 27001 norm?

Stap 9: Interne audit

De voorlaatste stap van het stappenplan ISO 27001 bestaat uit het uitvoeren van de interne audit. Dit is een audit ter controle van een effectieve implementatie. Daarbij wordt beoordeeld of het managementsysteem en de genomen beheersmaatregelen effectief zijn. De interne audit is tevens de voorbereiding op de certificeringsaudit (die wordt uitgevoerd door een externe, onafhankelijke partij). De interne audit dient minimaal vier weken voor de externe audit gepland te worden.

Stap 10: Certificering

Wanneer je er als organisatie voor kiest om daadwerkelijk een ISO 27001 certificaat te gaan behalen, dan komt er een moment waarop je aan dient te tonen dat je informatiebeveiliging op orde is. Je kunt dan je ISMS laten toetsen en vervolgens laten certificeren. Die toetsing wordt ook wel de certificeringsaudit genoemd en vindt plaats door een onafhankelijke, certificerende instantie. Om de toetsing succesvol te doorlopen moet je minimaal drie maanden volgens het ISMS hebben gewerkt. Na deze drie maanden kan een externe auditor namelijk beoordelen of het ISMS in de praktijk functioneert. Indien de externe audit met goed gevolg is afgelegd, wordt de organisatie voorgedragen voor certificering. Zodra het door de auditor ingediende rapport is goedgekeurd, krijg je als organisatie het ISO 27001 certificaat uitgereikt.

Meer informatie?

Wil je aan de slag met ISO 27001 implementatie? En kun je daarbij ondersteuning gebruiken? Neem dan gerust contact met ons op. Onze adviseurs vertellen je graag meer over de mogelijkheden.


Download Informatiegids ISO 27001

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl