Wat zijn de eisen van ISO 27001?
ISO 27001: dé internationaal geaccepteerde norm voor informatiebeveiliging. In dit artikel vertellen we je alles over de ISO 27001 eisen.
Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.
laurens.hekkink@certificeringsadvies.nlISO IEC 27001 is de internationale norm voor informatiebeveiliging en wordt steeds vaker geëist door opdrachtgevers. Om de norm te implementeren binnen je organisatie en een Information Security Management System (ISMS) volgens ISO 27001 op te zetten, is normkennis nodig. Je moet namelijk aan verschillende ISO 27001 eisen voldoen waarop je wordt getoetst tijdens de audit. In dit artikel vertellen we je de belangrijkste ISO 27001 eisen voor jouw organisatie. Let op: dit is geen letterlijke kopie van de norm. Wil je in detail willen weten wat de eisen van ISO 27001 zijn, dan kun je de norm aanschaffen bij de NEN.
Alles over informatiebeveiliging weten?
ISO 27001 eisen per hoofdstuk
De ISO 27001 is, net zoals andere ISO-normen zoals ISO 9001 en ISO 14001, opgedeeld in hoofdstukken. Daarbij zijn hoofdstuk 1 t/m 3 inleidende hoofdstukken. Vanaf hoofdstuk 4 wordt verder ingegaan op de specifieke normeisen. Deze zijn als volgt gecategoriseerd:
- Hoofdstuk 4: de context van de organisatie
- Hoofdstuk 5: leiderschap en betrokkenheid
- Hoofdstuk 6: planning
- Hoofdstuk 7: middelen, ondersteuning en communicatie
- Hoofdstuk 8: operationele uitvoering
- Hoofdstuk 9: prestaties
- Hoofdstuk 10: verbetering
Op basis van bovenstaande hoofdstukken kun je een ISMS op basis van ISO 27001 opzetten. Belangrijk om te onthouden is dat de norm je hier richtlijnen voor geeft. Er worden verder geen concrete maatregelen vereist vanuit de norm. Het is aan jou de taak om het ISMS zo goed mogelijk te integreren en aan te sluiten op de organisatie.
Hoofdstuk 4: context van de organisatie
Hoofdstuk 4 van de ISO 27001 norm gaat over de context van de organisatie. Hierbij is het belangrijk om goed je stakeholders en hun wensen en behoeften in kaart te brengen. Denk bijvoorbeeld aan stakeholders zoals medewerkers, toezichthouders, aandeelhouders, klanten of leveranciers.
De norm verlangt dat je de context en het toepassingsgebied van het ISMS duidelijk hebt beschreven in het managementsysteem. Concreet staan de eisen van hoofdstuk 4 als volgt in de norm:
- Context van de organisatie (4.1)
- Overzicht van belanghebbenden van de organisatie (4.2)
- De scope van het ISMS (4.3)
Vanuit dit hoofdstuk beoordeel je of je voldoet aan de wensen en behoeften van je stakeholders en of je dit wilt of moet verbeteren. Ook kansen en bedreigingen worden hierin vastgesteld met behulp van een risicoanalyse.
Hoofdstuk 5: leiderschap en betrokkenheid
Hoofdstuk 5 staat in het teken van leiderschap en betrokkenheid. De norm eist dat de organisatieleiding (zoals de directie) verantwoordelijkheid neemt voor het actief uitdragen van het opgestelde beleid en de maatregelen, het beschikbaar stellen van de nodige middelen en het borgen van de naleving van alle eisen. Hierin is voorbeeldgedrag essentieel. Daarnaast is het vanuit dit hoofdstuk belangrijk om verantwoordelijkheden, rollen en bevoegdheden binnen de organisatie duidelijk toe te wijzen en te beschrijven. Concreet staan de eisen van hoofdstuk 5 als volgt in de norm:
- Betrokkenheid van de leiding (5.1)
- Een beleidsdocument informatiebeveiliging (5.2)
- Rollen en verantwoordelijkheden (5.3)
De directie moet een informatiebeveiligingsbeleid vaststellen die past bij het doel van de organisatie, het juiste kader biedt voor het vaststellen van doelstellingen, gecommuniceerd wordt binnen de organisatie en beschikbaar is gesteld voor belanghebbenden.
Hoofdstuk 6: planning
Vanuit hoofdstuk 6 is het verplicht om acties vast te stellen waarmee je kansen benut en risico’s beperkt. Die kansen en risico’s heb je eerder bij hoofdstuk 4 al vastgesteld. Het is hierbij verplicht om informatiebeveiligingsdoelstellingen te formuleren en daarbij plannen op te stellen over hoe je deze doelstellingen gaat behalen. Wat moet er worden gedaan? Welke middelen zijn daarvoor nodig? Wie is ervoor verantwoordelijk? Concreet staan de eisen van hoofdstuk 6 als volgt in de norm:
- Bepalen van kansen en risico’s (6.1.1)
- Een proces voor risico-inventarisatie (6.1.2)
- Behandelen van risico’s (6.1.3).
- Het zetten van meetbare doelen (6.2)
Hoofdstuk 7: middelen, ondersteuning en communicatie
Hoofdstuk 7 gaat over de middelen die je gaat inzetten voor het inrichten en continu verbeteren van het ISMS. De organisatie moet hiervoor de middelen beschikbaar stellen. Denk bijvoorbeeld aan het:
- Aanwijzen van personen en hen beschikbaar stellen voor de implementatie van het ISMS.
- Vaststellen van de benodigde kennis en competenties van medewerkers en hen bewust te maken van de eisen die aan hen gesteld worden.
- Beschikbaar stellen van tijd voor een bewustwordingsprogramma.
- Vaststellen welke communicatie relevant is voor een goed functionerend ISMS.
De ISO 27001 norm stelt eisen aan de aanwezigheid van actuele formeel gedocumenteerde informatie. Concreet staan de eisen van hoofdstuk 7 als volgt in de norm:
- Voldoende middelen voor het ISMS (7.1)
- Voldoende training en kennis bij het informatiebeveiliging team (7.2)
- Bewustzijn bij alle medewerkers in de scope (7.3)
- Communicatieplan voor interne en externe communicatie over informatiebeveiliging (7.4)
- Documentatie van het ISMS inclusief omvang, complexiteit, kennis van mensen (7.5.1). Het moet regelmatig worden bijgewerkt (7.5.2) en ook gecontroleerd beschikbaar zijn (7.5.3).
Security Officer inhuren?
Heb je intern niet de capaciteit om iemand als Security Officer aan te wijzen? Denk dan eens aan een Security Officer as a Service. Minimaal één dag in de maand wordt alle vooruitgang op het gebied van informatiebeveiliging aangejaagd en permanente verbetering wordt geborgd!
Hoofdstuk 8: operationele uitvoering
Hoofdstuk 8 gaat over de uitvoering. Hierin ga je de opgestelde maatregelen uit hoofdstuk 6 realiseren. Operationele planning en beheersing van gedocumenteerde informatie is essentieel om ervoor te zorgen dat processen volgens plan worden uitgevoerd. Daarbij is het belangrijk dat een risicobeoordeling regelmatig wordt uitgevoerd, zeker wanneer grote wijzigingen binnen of buiten de organisatie hebben plaatsgevonden. De risico’s die uit de risicobeoordeling komen moeten vervolgens gestructureerd behandeld en gedocumenteerd worden. Concreet staan de eisen van hoofdstuk 8 als volgt in de norm:
- Plannen en controleren van operationele aspecten (8.1)
- Regelmatig en gepland uitvoeren van risicoanalyses (8.2)
- Implementatie van het risico-behandelplan (8.3)
Hoofdstuk 9: prestaties
Het is belangrijk om je prestaties op het gebied van informatiebeveiliging regelmatig te monitoren, meten, analyseren en evalueren. Dit kan worden gedaan door middel van het uitvoeren van een interne audit. Tijdens zo’n interne audit wordt getoetst of het ISMS nog voldoet aan alle eisen. Daarnaast is het verplicht om periodiek een directiebeoordeling uit te voeren. In zo’n directiebeoordeling stelt de directie kansen voor verbetering vast. Concreet staan de eisen van hoofdstuk 9 als volgt in de norm:
- Monitoren van de effectiviteit van het ISMS aan de hand van gestelde doelen (9.1)
- Plannen en uitvoeren van interne audits (9.2)
- Plannen en uitvoeren van directiebeoordelingen (9.3)
Hoofdstuk 10: verbetering
Alle ISO-normen staan in het teken van continu verbeteren. Afwijkingen moeten daarom geanalyseerd worden en er moet een oorzaak vastgesteld worden. Op die manier kan de oorzaak weggenomen worden om herhaling van de afwijking te voorkomen. Vervolgens moeten er maatregelen getroffen worden om de afwijking te beheersen. Op die manier ben je het ISMS continu aan het verbeteren volgens het Plan-Do-Check-Act (PDCA) principe. Concreet staan de eisen van hoofdstuk 10 als volgt in de norm:
- Reageren door de directie bij afwijkingen (10.1)
- Zorgen voor continu verbetering (10.2)
ISO 27001 implementatie
Je hebt nu alle ISO 27001 eisen doorgenomen. De volledige toelichting van alle eisen vind je in de volledige norm. Uiteraard vertellen onze adviseurs je hier ook graag over! Wil je meer toelichting of wil je eens sparren over het implementeren van ISO 27001 in je organisatie? Neem dan gerust contact met ons op of vraag direct een offerte op maat aan!
Transcriptie video: ISO 27001 implementatie in 6 stappen
Hai! In deze video vertel ik je graag meer over de implementatie van een ISO 27001 managementsysteem. Stap 1: je begint allereerst met een contextanalyse. In een contextanalyse ga je kijken: hoe bestaan wij als bedrijf in de markt en wat voor in- en externe invloeden zijn er op ons als organisatie? Dat kan bijvoorbeeld in de vorm van een SWOT analyse of een DESTEP analyse. Linksom of rechtsom, je gaat in kaart brengen welke in- en externe factoren van invloed zijn op jou als organisatie. Naast dat je de contextanalyse in kaart brengt, ga je ook kijken naar stakeholders. Belanghebbenden dus voor jouw organisatie. Een belangrijke voorwaarde voor de implementatie van een ISO 27001 managementsysteem, is een stukje leiderschap en betrokkenheid. Het is een managementsysteem dus het management of de directie moet betrokken zijn bij de implementatie van ISO 27001. Of überhaupt een managementsysteem. Zonder betrokkenheid of commitment vanuit de directie ga je er niet komen. Vervolgens als jij een stuk commitment hebt en je hebt de context in kaart gebracht, ga je kijken naar een risicoanalyse. In die risicoanalyse ga je kijken: wat zijn nu de risico’s die van invloed zijn op onze organisatie? Waarschijnlijk heb je ook al een aantal risico’s geïdentificeerd vanuit jouw context- en stakeholdersanalyse. Dat neem je mee en vervolgens ga je kijken: wat is van impact op onze organisatie? Vervolgens ga je kijken: dit risico, vinden wij dat acceptabel? Waarschijnlijk niet, anders had je hem niet opgenomen. Wellicht ook wel, dat is even aan jezelf. Mocht je zo’n risico niet acceptabel vinden, dan ga je waarschijnlijk over tot het behandelen van het risico. Je gaat zo’n risico implementeren, je gaat een maatregel bedenken en vervolgens zegt de norm dan vergelijk die maatregel die jij hebt genomen eens met onze bijlage A, want wij zijn ISO, wij hebben hierover nagedacht. En kijk eens of je niet nog eventuele maatregelen vergeten bent.Dan heb je natuurlijk geïdentificeerd wat je wil gaan doen, wat je doelen zijn en wat je maatregelen voor risicobehandeling zijn. Daar heb je ook geld voor nodig, tijd, mensen: middelen in het algemeen. In de breedste vorm van het woord! Je gaat zorgen dat je de maatregelen die jij hebt bedacht ten uitvoer brengt en daar ga je een stuk monitoring op loslaten zodat je ook weet: hoe staan we ervoor? Vervolgens heb je dus het stuk monitoren, waar we het eerder al heel even over hadden. Leven wij ons beleid na? Medewerker A heeft alleen toestemming om toegang te hebben tot applicatie A. Maar uit jouw controle blijkt dat hij ook toegang heeft tot applicatie B. Dat is dan weer een afwijking van je eigen beleid en dat ga je dan vervolgens behandelen in het volgende hoofdstuk. Naast de controle op naleving, ga je ook een interne audit uitvoeren. Dat is een extra stap die je neemt om een stukje naleving te toetsen. Tevens ook een verplicht onderdeel! Wil je nog meer informatie over het implementeren van een ISO 27001 managementsysteem? Bekijk dan ook eens onze andere YouTube video’s, neem contact met ons op of bekijk onze website!
Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.
laurens.hekkink@certificeringsadvies.nlAan de slag met ISO 27001?
Vraag geheel vrijblijvend een offerte op maat aan!
- Praktische tips
- Advies op maat
- Vrijblijvend en snel
- Direct inzicht