Stappenplan ISO 27001: in 10 stappen naar certificering

Wat is jullie ISO 27001 stappenplan? Een vraag die we regelmatig horen. Wil je een ISO 27001 certificaat behalen dan dien je inderdaad een aantal ‘standaard’ stappen te doorlopen. Het stappenplan ISO 27001 dat we bij CertificeringsAdvies Nederland hanteren bestaat grofweg uit 10 verschillende stappen. Deze ISO 27001 stappen zijn onderverdeeld in twee verschillende fasen. In dit blogartikel vertellen wij je meer over het ISO 27001 stappenplan dat vanuit onze methode doorlopen dient te worden op weg naar een ISO 27001 certificering. Daarin bevinden zich uiteraard ook een aantal ‘standaard’ eisen die gesteld worden vanuit de norm en zaken waar op gelet wordt door een Certificerende Instelling (CI) bij een audit. Tot slot staan we wat uitgebreider stil bij de eerste stap en geven we daarin antwoord op de vraag: hoe kun je de ISO 27001 scope bepalen? Mochten er vragen zijn over het ISO 27001 stappenplan of daaraan gerelateerd? Neem dan gerust contact met ons op!

Meer lezen over ISO 27001? Bekijk dan: Wat is ISO 27001? Een introductie op dé norm voor informatiebeveiliging.

Stap 1: Algemene inventarisatie en ISO 27001 scope bepalen

In de eerste stap vindt er een algemene inventarisatie van de organisatie plaats. Daarin wordt de werkwijze onder de loep genomen, wordt er gekeken naar de informatie die reeds beschikbaar is en wordt de ICT-infrastructuur doorlopen. Uiteindelijk wordt in de eerste stap ook de ISO 27001 scope bepaald.

Het bepalen van de scope is sinds de wijziging van de ISO 27001 norm in 2013 één van de belangrijkste onderwerpen. Doorgaans is het bepalen van het doel en de scope daarom ook de eerste stap binnen ieder ISO 27001 traject. De ISO 27001 scope geeft aan waarvoor je het ISO-certificaat precies wilt gaan behalen. Alles wat buiten de scope valt wordt niet in de certificering meegenomen. Omdat dit een belangrijk aspect is staan we daar wat uitgebreider bij stil.

Een goed afgebakende ISO 27001 scope geeft richting

In algemene zin gezien duidt een scope de aard, grootte en kaders van een project aan. De scope maakt duidelijk wat er wel en niet binnen een project valt. Bij ISO 27001 kader je met de scope af welke informatietypen en bedrijfsonderdelen binnen het informatiebeveiligingssysteem (ISMS) vallen. Het is erg belangrijk dat je hier goed over nadenkt. Welke informatie en bedrijfsonderdelen wil je deel uit laten maken van het ISMS? Voor welke bedrijfsonderdelen is informatiebeveiliging cruciaal? De ISO 27001 scope goed afbakenen zorgt voor:

• Duidelijkheid
• Richting
• Focus

Bij het bepalen van de ISMS-scope kies je welke informatie binnen je organisatie je wilt beveiligen. Het maakt daarbij niet uit waar die informatie is opgeslagen; of dat nu op kantoor, in de cloud, op het lokale netwerk is of elders. Ook maakt het niet uit door wie en hoe de informatie toegankelijk is. Als organisatie ben je verantwoordelijk voor het beschermen van alle informatie die binnen de ISO 27001 scope valt.

Houd je ISO 27001 ISMS scope organisatie breed

In het verleden, toen de ‘oude’ generatie ISO-normen nog leidend was, werd er wel eens voor gekozen om ISO 27001 slechts voor een deel van de organisatie te implementeren. Daarmee werd de scope van het project verkleind. Ook nu krijgen we bij CertificeringsAdvies Nederland nog regelmatig de vraag of het verstandig is om met betrekking tot ISO 27001 een deel van de organisatie buiten de scope te laten? Ons advies: kies er bij informatiebeveiliging altijd voor om je hele organisatie binnen de scope te laten vallen. Op die manier verklein je organisatie breed alle risico’s en voorkom je onnodige overhead.

Een smallere ISO 27001 scope is niet goedkoper, sneller of makkelijker

Een smallere scope betekent namelijk niet dat certificeren voor ISO 27001 makkelijker wordt en/of sneller gaat. Sommige bedrijven denken de kosten te kunnen drukken door de scope te verkleinen. Dat levert echter vaak meer proberen op dan wanneer ze ervoor hadden gekozen om de scope organisatie breed te houden. Zodra je er namelijk voor kiest om bepaalde bedrijfsonderdelen buiten de scope te laten, dien je ze te behandelen als zijnde ‘een buitenstaander’. Daardoor staan ze dus op gelijke voet met een klant, leverancier of partner. Deze buitenwereld krijgt beperkte of zelfs geen toegang tot de informatiestroom die binnen de scope valt. Aan het buiten de scope laten van bepaalde bedrijfsonderdelen zitten veel meer haken en ogen dan je in eerste instantie zou denken.

In bepaalde situaties is het verkleinen van een scope zelfs niet eens mogelijk. Denk bijvoorbeeld aan een bedrijf waarbij medewerkers van de ene afdeling die binnen de scope valt in dezelfde ruimte zitten als medewerkers van de andere afdeling die buiten de scope valt. In zo’n geval is de scope niet af te bakenen. Dat geldt ook voor wanneer er gebruik wordt gemaakt van hetzelfde netwerk, zonder splitsing. In dit soort gevallen kun je de informatieflow niet controleren en is het dus veel makkelijker om het hele bedrijf binnen de ISO 27001 scope te laten vallen.

Stap 2: Uitvoeren van de ISO 27001 contextanalyse

Stap 2 bestaat uit het uitvoeren van de ISO 27001 contextanalyse. Het doel van deze analyse is inzicht verkrijgen in de organisatie en haar context. De contextanalyse is onderverdeeld in een stakeholderanalyse en een risicoanalyse. Bij de stakeholderanalyse worden de relevante stakeholders in kaart gebracht. Daarbij wordt gekeken naar welke groepen er zijn en welke eisen de stakeholders hebben op het gebied van informatiebeveiliging. Tot slot worden de relevante risico’s en kansen voor de organisatie in kaart gebracht. Dit dient ter input van de risicoanalyse.

Stap 3: Uitvoeren van de risicoanalyse

In de ISO 27001 norm staat de risicoanalyse centraal. In deze derde stap wordt dan ook niet voor niets apart ingezoomd op de risicoanalyse. Met behulp van deze analyse ga je beoordelen in hoeverre de informatiebeveiliging in de organisatie op een acceptabel niveau is. Deze wordt uitgevoerd op basis van de ISO 27001 normelementen, met behulp van de ISO 27002. Dit is een lijst met veelvoorkomende beheersmaatregelen. Belangrijke onderwerpen uit de ISO 27002 zijn bijvoorbeeld:

• Informatiebeveiligingsbeleid;
• Veilig personeel;
• Beheer van bedrijfsmiddelen;
• Autorisaties;
• Toegangsbeveiliging;
• Communicatiebeveiliging.

Lees ook het artikel: De ISO 27001 risicoanalyse uitgelicht

Stap 4: Opstellen Plan van Aanpak

In de 4e stap van het stappenplan ISO 27001 wordt het Plan van Aanpak opgesteld. Hierin staat beschreven wat de benodigde maatregelen en eisen zijn met betrekking tot het managementsysteem. Daarnaast wordt het actieplan afgestemd. Met behulp van het actieplan worden de inzichten die verkregen zijn in de contextanalyse omgezet naar concrete acties die daadwerkelijk tot verbetering leiden. Dat verbeteren is een steeds weer terugkerend proces, wat blijft draaien door gebruik te maken van het Plan-Do-Check-Act concept, ofwel de Deming cyclus.

Ook interessant: ISO 27002 wijzigingen: wat betekent dat voor jouw organisatie?

Stap 5: Aanscherpen contextanalyse

De contextanalyse met bijbehorende risicoanalyse is erg belangrijk in ISO 27001 en vaak ook erg complex. In deze stap wordt daarom de contextanalyse nog eens goed doorgelicht en aangescherpt op basis van nieuwe bevindingen en inzichten.

ISO 27001 gaat hand in hand met wet en regelgeving. Lees daarom ook eens dit artikel: Wet- en regelgeving informatiebeveiliging en ISO 27001

Stap 6: Beleidscyclus vastleggen

Bij Stap 6 wordt er in feite gestart met de tweede fase van het ISO 27001 traject. Deze stap bestaat uit het aanscherpen van de beleidscyclus. Daarin wordt het proces van het bepalen van beleid en doelstellingen vastgelegd. Vervolgens wordt in deze stap bekeken op welke wijze dit vertaald kan worden naar de organisatie en hoe de naleving hiervan wordt bewaakt.

Jan Penning (WSB Solutions): “Het hele ISO-traject heeft ons een managementsysteem opgeleverd dat bij ons past. Al met al denk ik dat de grootste winst van het hele traject is dat we onze informatiebeveiliging op een veel hoger plan gebracht hebben, dat er structuur is gebracht in de organisatie en, het belangrijkste, dat we continu kritisch kijken naar wat er beter kan en dit dan ook aanpakken!” – Benieuwd naar het hele verhaal van WSB Solutions? Lees dan de WSB Solutions klantcase.

Stap 7: Uitvoeren Plan van Aanpak

In de 7^e stap ligt de focus op het uitvoeren van het Plan van Aanpak dat in stap 4 is opgesteld. Daarbij worden alle technische, organisatorische en fysieke beheersmaatregelen uit Bijlage A van de ISO 27001 norm onderzocht, gekozen en geïmplementeerd. De implementatie vindt zoals eerdergenoemd plaats met behulp van de Deming cyclus. Een handig mechanisme om processen te beheersen en te verbeteren, zodat zaken volgens de juiste specificaties worden geleverd. Zodra je verbeteracties hebt bepaald, daar Key Performance Indicators (KPI’s) aan hebt gehangen, verantwoordelijken hebt aangewezen en een actieplanning hebt opgesteld, kan de PDCA-cirkel beginnen te draaien.

Ook interessant: Gratis hulpmiddel bij ISO 27001: De PDCA duidelijker en beter toepasbaar!

Stap 8: Borging en implementatie

In stap 8 staan borging en implementatie centraal. In deze stap worden de gemaakte afspraken en procedures vastgelegd in het Information Security Management System (ISMS). Daarbij wordt concreet vastgelegd welke beheers- en borgingsmaatregelen er zijn getroffen met betrekking tot informatiebeveiliging. Ook worden in deze stap de gemaakte afspraken en procedures geïmplementeerd binnen de organisatie.

Lees ook het artikel: Wat is een ISMS in de ISO 27001 norm?

Stap 9: Interne audit

De voorlaatste stap van het stappenplan ISO 27001 bestaat uit het uitvoeren van de interne audit. Dit is een audit ter controle van een effectieve implementatie. Daarbij wordt beoordeeld of het managementsysteem en de genomen beheersmaatregelen effectief zijn. De interne audit is tevens de voorbereiding op de certificeringsaudit (die wordt uitgevoerd door een externe, onafhankelijke partij). De interne audit dient minimaal vier weken voor de externe audit gepland te worden.

Bekijk ook het artikel: Hoe gaat een ISO 27001:2017 audit in zijn werk?

Stap 10: Certificering

Wanneer je er als organisatie voor kiest om daadwerkelijk een ISO 27001 certificaat te gaan behalen, dan komt er een moment waarop je aan dient te tonen dat je informatiebeveiliging op orde is. Je kunt dan je ISMS laten toetsen en vervolgens laten certificeren. Die toetsing wordt ook wel de certificeringsaudit genoemd en vindt plaats door een onafhankelijke, certificerende instantie. Om de toetsing succesvol te doorlopen moet je minimaal drie maanden volgens het ISMS hebben gewerkt. Na deze drie maanden kan een externe auditor namelijk beoordelen of het ISMS in de praktijk functioneert. Indien de externe audit met goed gevolg is afgelegd, wordt de organisatie voorgedragen voor certificering. Zodra het door de auditor ingediende rapport is goedgekeurd, krijg je als organisatie het ISO 27001 certificaat uitgereikt.

Wil je elke maand op de hoogte blijven van de nieuwste ISO 27001 ontwikkelingen en andere handige informatie ontvangen? Schrijf je dan in voor onze nieuwsbrief en ontvang de nieuwste updates direct in je mailbox!

Meer informatie?

Wil je na het lezen van dit stappenplan ISO 27001 aan de slag met ISO 27001 implementatie of optimalisatie? En kun je daarbij ondersteuning gebruiken? Neem dan gerust contact met ons op. Onze adviseurs vertellen je graag meer over de mogelijkheden.

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl

Dit artikel is gepubliceerd op 11 september 2018. Het artikel is van een update voorzien op 12 september 2022.