Stappenplan ISO 27001: in 10 stappen naar certificering

Wat is jullie ISO 27001 stappenplan? Een vraag die we regelmatig horen. Wil je een ISO 27001 certificaat behalen dan dien je inderdaad een aantal ‘standaard’ stappen te doorlopen. Het stappenplan ISO 27001 dat we bij CertificeringsAdvies Nederland hanteren bestaat grofweg uit 10 verschillende stappen. Deze ISO 27001 stappen zijn onderverdeeld in twee verschillende fasen. In dit blogartikel vertellen wij je meer over het ISO 27001 stappenplan dat vanuit onze methode doorlopen dient te worden op weg naar een ISO 27001 certificering. Daarin bevinden zich uiteraard ook een aantal ‘standaard’ eisen die gesteld worden vanuit de norm en zaken waar op gelet wordt door een Certificerende Instelling (CI) bij een audit. Tot slot staan we wat uitgebreider stil bij de eerste stap en geven we daarin antwoord op de vraag: hoe kun je de ISO 27001 scope bepalen? Mochten er vragen zijn over het ISO 27001 stappenplan of daaraan gerelateerd? Neem dan gerust contact met ons op!

In dit artikel geven we je een ISO 27001 stappenplan. Hieronder een opsomming van de 10 stappen die doorlopen dienen te worden:

In de paragrafen hieronder wordt per stap verder uitgelegd wat dit precies inhoudt.

In de eerste stap vindt er een algemene inventarisatie van de organisatie plaats. Daarin wordt de werkwijze onder de loep genomen, wordt er gekeken naar de informatie die reeds beschikbaar is en wordt de ICT-infrastructuur doorlopen. Uiteindelijk wordt in de eerste stap ook de ISO 27001 scope bepaald.

Het bepalen van de scope is sinds de wijziging van de ISO 27001 norm in 2013 één van de belangrijkste onderwerpen. Doorgaans is het bepalen van het doel en de scope daarom ook de eerste stap binnen ieder ISO 27001 traject. De ISO 27001 scope geeft aan waarvoor je het ISO-certificaat precies wilt gaan behalen. Alles wat buiten de scope valt wordt niet in de certificering meegenomen. Omdat dit een belangrijk aspect is staan we daar wat uitgebreider bij stil.

In algemene zin gezien duidt een scope de aard, grootte en kaders van een project aan. De scope maakt duidelijk wat er wel en niet binnen een project valt. Bij ISO 27001 kader je met de scope af welke informatietypen en bedrijfsonderdelen binnen het informatiebeveiligingssysteem (ISMS) vallen. Het is erg belangrijk dat je hier goed over nadenkt. Welke informatie en bedrijfsonderdelen wil je deel uit laten maken van het ISMS? Voor welke bedrijfsonderdelen is informatiebeveiliging cruciaal? De ISO 27001 scope goed afbakenen zorgt voor:

Bij het bepalen van de ISMS-scope kies je welke informatie binnen je organisatie je wilt beveiligen. Het maakt daarbij niet uit waar die informatie is opgeslagen; of dat nu op kantoor, in de cloud, op het lokale netwerk is of elders. Ook maakt het niet uit door wie en hoe de informatie toegankelijk is. Als organisatie ben je verantwoordelijk voor het beschermen van alle informatie die binnen de ISO 27001 scope valt.

In het verleden, toen de ‘oude’ generatie ISO-normen nog leidend was, werd er wel eens voor gekozen om ISO 27001 slechts voor een deel van de organisatie te implementeren. Daarmee werd de scope van het project verkleind. Ook nu krijgen we bij CertificeringsAdvies Nederland nog regelmatig de vraag of het verstandig is om met betrekking tot ISO 27001 een deel van de organisatie buiten de scope te laten? Ons advies: kies er bij informatiebeveiliging altijd voor om je hele organisatie binnen de scope te laten vallen. Op die manier verklein je organisatie breed alle risico’s en voorkom je onnodige overhead.

Een smallere scope betekent namelijk niet dat certificeren voor ISO 27001 makkelijker wordt en/of sneller gaat. Sommige bedrijven denken de kosten te kunnen drukken door de scope te verkleinen. Dat levert echter vaak meer proberen op dan wanneer ze ervoor hadden gekozen om de scope organisatie breed te houden. Zodra je er namelijk voor kiest om bepaalde bedrijfsonderdelen buiten de scope te laten, dien je ze te behandelen als zijnde ‘een buitenstaander’. Daardoor staan ze dus op gelijke voet met een klant, leverancier of partner. Deze buitenwereld krijgt beperkte of zelfs geen toegang tot de informatiestroom die binnen de scope valt. Aan het buiten de scope laten van bepaalde bedrijfsonderdelen zitten veel meer haken en ogen dan je in eerste instantie zou denken.

In bepaalde situaties is het verkleinen van een scope zelfs niet eens mogelijk. Denk bijvoorbeeld aan een bedrijf waarbij medewerkers van de ene afdeling die binnen de scope valt in dezelfde ruimte zitten als medewerkers van de andere afdeling die buiten de scope valt. In zo’n geval is de scope niet af te bakenen. Dat geldt ook voor wanneer er gebruik wordt gemaakt van hetzelfde netwerk, zonder splitsing. In dit soort gevallen kun je de informatieflow niet controleren en is het dus veel makkelijker om het hele bedrijf binnen de ISO 27001 scope te laten vallen.

Stap 2 bestaat uit het uitvoeren van de ISO 27001 contextanalyse. Het doel van deze analyse is inzicht verkrijgen in de organisatie en haar context. De contextanalyse is onderverdeeld in een stakeholderanalyse en een risicoanalyse. Bij de stakeholderanalyse worden de relevante stakeholders in kaart gebracht. Daarbij wordt gekeken naar welke groepen er zijn en welke eisen de stakeholders hebben op het gebied van informatiebeveiliging. Tot slot worden de relevante risico’s en kansen voor de organisatie in kaart gebracht. Dit dient ter input van de risicoanalyse.

In de ISO 27001 norm staat de risicoanalyse centraal. In deze derde stap wordt dan ook niet voor niets apart ingezoomd op de risicoanalyse. Met behulp van deze analyse ga je beoordelen in hoeverre de informatiebeveiliging in de organisatie op een acceptabel niveau is. Deze wordt uitgevoerd op basis van de ISO 27001 normelementen, met behulp van de ISO 27002. Dit is een lijst met veelvoorkomende beheersmaatregelen. Belangrijke onderwerpen uit de ISO 27002 zijn bijvoorbeeld:

In de 4e stap van het stappenplan ISO 27001 wordt het Plan van Aanpak opgesteld. Hierin staat beschreven wat de benodigde maatregelen en eisen zijn met betrekking tot het managementsysteem. Daarnaast wordt het actieplan afgestemd. Met behulp van het actieplan worden de inzichten die verkregen zijn in de contextanalyse omgezet naar concrete acties die daadwerkelijk tot verbetering leiden. Dat verbeteren is een steeds weer terugkerend proces, wat blijft draaien door gebruik te maken van het Plan-Do-Check-Act concept, ofwel de Deming cyclus.

De contextanalyse met bijbehorende risicoanalyse is erg belangrijk in ISO 27001 en vaak ook erg complex. In deze stap wordt daarom de contextanalyse nog eens goed doorgelicht en aangescherpt op basis van nieuwe bevindingen en inzichten.

Bij Stap 6 wordt er in feite gestart met de tweede fase van het ISO 27001 traject. Deze stap bestaat uit het aanscherpen van de beleidscyclus. Daarin wordt het proces van het bepalen van beleid en doelstellingen vastgelegd. Vervolgens wordt in deze stap bekeken op welke wijze dit vertaald kan worden naar de organisatie en hoe de naleving hiervan wordt bewaakt.

In de 7^e stap ligt de focus op het uitvoeren van het Plan van Aanpak dat in stap 4 is opgesteld. Daarbij worden alle technische, organisatorische en fysieke beheersmaatregelen uit Bijlage A van de ISO 27001 norm onderzocht, gekozen en geïmplementeerd. De implementatie vindt zoals eerdergenoemd plaats met behulp van de Deming cyclus. Een handig mechanisme om processen te beheersen en te verbeteren, zodat zaken volgens de juiste specificaties worden geleverd. Zodra je verbeteracties hebt bepaald, daar Key Performance Indicators (KPI’s) aan hebt gehangen, verantwoordelijken hebt aangewezen en een actieplanning hebt opgesteld, kan de PDCA-cirkel beginnen te draaien.

In stap 8 staan borging en implementatie centraal. In deze stap worden de gemaakte afspraken en procedures vastgelegd in het Information Security Management System (ISMS). Daarbij wordt concreet vastgelegd welke beheers- en borgingsmaatregelen er zijn getroffen met betrekking tot informatiebeveiliging. Ook worden in deze stap de gemaakte afspraken en procedures geïmplementeerd binnen de organisatie.

De voorlaatste stap van het stappenplan ISO 27001 bestaat uit het uitvoeren van de interne audit. Dit is een audit ter controle van een effectieve implementatie. Daarbij wordt beoordeeld of het managementsysteem en de genomen beheersmaatregelen effectief zijn. De interne audit is tevens de voorbereiding op de certificeringsaudit (die wordt uitgevoerd door een externe, onafhankelijke partij). De interne audit dient minimaal vier weken voor de externe audit gepland te worden.

Wanneer je er als organisatie voor kiest om daadwerkelijk een ISO 27001 certificaat te gaan behalen, dan komt er een moment waarop je aan dient te tonen dat je informatiebeveiliging op orde is. Je kunt dan je ISMS laten toetsen en vervolgens laten certificeren. Die toetsing wordt ook wel de certificeringsaudit genoemd en vindt plaats door een onafhankelijke, certificerende instantie. Om de toetsing succesvol te doorlopen moet je minimaal drie maanden volgens het ISMS hebben gewerkt. Na deze drie maanden kan een externe auditor namelijk beoordelen of het ISMS in de praktijk functioneert. Indien de externe audit met goed gevolg is afgelegd, wordt de organisatie voorgedragen voor certificering. Zodra het door de auditor ingediende rapport is goedgekeurd, krijg je als organisatie het ISO 27001 certificaat uitgereikt.

Wil je na het lezen van dit stappenplan ISO 27001 aan de slag met ISO 27001 implementatie of optimalisatie? En kun je daarbij ondersteuning gebruiken? Neem dan gerust contact met ons op. Onze adviseurs vertellen je graag meer over de mogelijkheden.

Dit artikel is gepubliceerd op 11 september 2018. Het artikel is van een update voorzien op 12 september 2022.

Transcriptie video ‘ISO 27001 implementeren in 6 stappen’

Hai! In deze video vertel ik je graag meer over de implementatie van een ISO 27001 managementsysteem. Stap 1: je begint allereerst met een contextanalyse. In een contextanalyse ga je kijken: hoe bestaan wij als bedrijf in de markt en wat voor in- en externe invloeden zijn er op ons als organisatie? Dat kan bijvoorbeeld in de vorm van een SWOT analyse of een DESTEP analyse. Linksom of rechtsom, je gaat in kaart brengen welke in- en externe factoren van invloed zijn op jou als organisatie. Naast dat je de contextanalyse in kaart brengt, ga je ook kijken naar stakeholders. Belanghebbenden dus voor jouw organisatie. Een belangrijke voorwaarde voor de implementatie van een ISO 27001 managementsysteem, is een stukje leiderschap en betrokkenheid. Het is een managementsysteem dus het management of de directie moet betrokken zijn bij de implementatie van ISO 27001. Of überhaupt een managementsysteem. Zonder betrokkenheid of commitment vanuit de directie ga je er niet komen. Vervolgens als jij een stuk commitment hebt en je hebt de context in kaart gebracht, ga je kijken naar een risicoanalyse. In die risicoanalyse ga je kijken: wat zijn nu de risico’s die van invloed zijn op onze organisatie? Waarschijnlijk heb je ook al een aantal risico’s geïdentificeerd vanuit jouw context- en stakeholdersanalyse. Dat neem je mee en vervolgens ga je kijken: wat is van impact op onze organisatie? Vervolgens ga je kijken: dit risico, vinden wij dat acceptabel? Waarschijnlijk niet, anders had je hem niet opgenomen. Wellicht ook wel, dat is even aan jezelf. Mocht je zo’n risico niet acceptabel vinden, dan ga je waarschijnlijk over tot het behandelen van het risico. Je gaat zo’n risico implementeren, je gaat een maatregel bedenken en vervolgens zegt de norm dan vergelijk die maatregel die jij hebt genomen eens met onze bijlage A, want wij zijn ISO, wij heb hierover nagedacht. En kijk eens of je niet nog eventuele maatregelen vergeten bent. Dan heb je natuurlijk geïdentificeerd wat je wil gaan doen, wat je doelen zijn en wat je maatregelen voor risicobehandeling zijn. Daar heb je ook geld voor nodig, tijd, mensen: middelen in het algemeen. In de breedste vorm van het woord! Je gaat zorgen dat je de maatregelen die jij hebt bedacht ten uitvoer brengt en daar ga je een stuk monitoring op loslaten zodat je ook weet: hoe staan we ervoor? Vervolgens heb je dus het stuk monitoren, waar we het eerder al heel even over hadden. Leven wij ons beleid na? Medewerker A heeft alleen toestemming om toegang te hebben tot applicatie A. Maar uit jouw controle blijkt dat hij ook toegang heeft tot applicatie B. Dat is dan weer een afwijking van je eigen beleid en dat ga je dan vervolgens behandelen in het volgende hoofdstuk. Naast de controle op naleving, ga je ook een interne audit uitvoeren. Dat is een extra stap die je neemt om een stukje naleving te toetsen. Tevens ook een verplicht onderdeel! Wil je nog meer informatie over het implementeren van een ISO 27001 managementsysteem? Bekijk dan ook eens onze andere YouTube video’s, neem contact met ons op of bekijk onze website!