ISO 27001 eisenISO IEC 27001 is de internationale norm voor informatiebeveiliging en wordt steeds vaker geëist door opdrachtgevers. Om de norm te implementeren binnen je organisatie en een Information Security Management System (ISMS) volgens ISO 27001 op te zetten, is normkennis nodig. Je moet namelijk aan verschillende ISO 27001 eisen voldoen waarop je wordt getoetst tijdens de audit. In dit artikel vertellen we je de belangrijkste ISO 27001 eisen voor jouw organisatie. Let op: dit is geen letterlijke kopie van de norm. Wil je in detail willen weten wat de eisen van ISO 27001 zijn, dan kun je de norm aanschaffen bij de NEN.

ISO 27001 eisen per hoofdstuk

De ISO 27001 is, net zoals andere ISO-normen zoals ISO 9001 en ISO 14001, opgedeeld in hoofdstukken. Daarbij zijn hoofdstuk 1 t/m 3 inleidende hoofdstukken. Vanaf hoofdstuk 4 wordt verder ingegaan op de specifieke normeisen. Deze zijn als volgt gecategoriseerd:

  • Hoofdstuk 4: de context van de organisatie
  • Hoofdstuk 5: leiderschap en betrokkenheid
  • Hoofdstuk 6: planning
  • Hoofdstuk 7: middelen, ondersteuning en communicatie
  • Hoofdstuk 8: operationele uitvoering
  • Hoofdstuk 9: prestaties
  • Hoofdstuk 10: verbetering

Op basis van bovenstaande hoofdstukken kun je een ISMS op basis van ISO 27001 opzetten. Belangrijk om te onthouden is dat de norm je hier richtlijnen voor geeft. Er worden verder geen concrete maatregelen vereist vanuit de norm. Het is aan jou de taak om het ISMS zo goed mogelijk te integreren en aan te sluiten op de organisatie.

Artikeltip: ‘ISO 27001 checklist: in 15 stappen naar implementatie ISO 27001’

Meer weten over de ISO 27001 norm?

Wil je meer weten over de ISO 27001 norm? Bijvoorbeeld over het belang van informatiebeveiliging, de voordelen van de norm of de stappen die je kunt zetten om jouw informatiebeveiliging naar een hoger niveau te tillen? Download dan geheel vrijblijvend de informatiegids!

DOWNLOAD INFORMATIEGIDS

Informatiegids ISO 27001

Hoofdstuk 4: context van de organisatie

Hoofdstuk 4 van de ISO 27001 norm gaat over de context van de organisatie. Hierbij is het belangrijk om goed je stakeholders en hun wensen en behoeften in kaart te brengen. Denk bijvoorbeeld aan stakeholders zoals medewerkers, toezichthouders, aandeelhouders, klanten of leveranciers.

Lees meer over stakeholders vanuit het ISO-perspectief!

De norm verlangt dat je de context en het toepassingsgebied van het ISMS duidelijk hebt beschreven in het managementsysteem. Concreet staan de eisen van hoofdstuk 4 als volgt in de norm:

  • Context van de organisatie (4.1)
  • Overzicht van belanghebbenden van de organisatie (4.2)
  • De scope van het ISMS (4.3)

Vanuit dit hoofdstuk beoordeel je of je voldoet aan de wensen en behoeften van je stakeholders en of je dit wilt of moet verbeteren. Ook kansen en bedreigingen worden hierin vastgesteld met behulp van een risicoanalyse.

Lees ook: ‘Het uitvoeren van de contextanalyse ISO 27001: wat houdt het in?’

Hoofdstuk 5: leiderschap en betrokkenheid

Hoofdstuk 5 staat in het teken van leiderschap en betrokkenheid. De norm eist dat de organisatieleiding (zoals de directie) verantwoordelijkheid neemt voor het actief uitdragen van het opgestelde beleid en de maatregelen, het beschikbaar stellen van de nodige middelen en het borgen van de naleving van alle eisen. Hierin is voorbeeldgedrag essentieel. Daarnaast is het vanuit dit hoofdstuk belangrijk om verantwoordelijkheden, rollen en bevoegdheden binnen de organisatie duidelijk toe te wijzen en te beschrijven. Concreet staan de eisen van hoofdstuk 5 als volgt in de norm:

  • Betrokkenheid van de leiding (5.1)
  • Een beleidsdocument informatiebeveiliging (5.2)
  • Rollen en verantwoordelijkheden (5.3)

De directie moet een informatiebeveiligingsbeleid vaststellen die past bij het doel van de organisatie, het juiste kader biedt voor het vaststellen van doelstellingen, gecommuniceerd wordt binnen de organisatie en beschikbaar is gesteld voor belanghebbenden.

Hoofdstuk 6: planning

Vanuit hoofdstuk 6 is het verplicht om acties vast te stellen waarmee je kansen benut en risico’s beperkt. Die kansen en risico’s heb je eerder bij hoofdstuk 4 al vastgesteld. Het is hierbij verplicht om informatiebeveiligingsdoelstellingen te formuleren en daarbij plannen op te stellen over hoe je deze doelstellingen gaat behalen. Wat moet er worden gedaan? Welke middelen zijn daarvoor nodig? Wie is ervoor verantwoordelijk? Concreet staan de eisen van hoofdstuk 6 als volgt in de norm:

  • Bepalen van kansen en risico’s (6.1.1)
  • Een proces voor risico-inventarisatie (6.1.2)
  • Behandelen van risico’s (6.1.3).
  • Het zetten van meetbare doelen (6.2)

Starten met informatiebeveiliging

Wil je het informatiebeveiligingsniveau van je organisatie naar een hoger niveau tillen, maar weet je niet hoe of waar je moet beginnen? Dan kan een opstaptraject informatiebeveiliging een goede uitkomst bieden. Lees meer over het opstaptraject via de knop hieronder!

Meer informatie

Starten met informatiebeveiliging

Hoofdstuk 7: middelen, ondersteuning en communicatie

Hoofdstuk 7 gaat over de middelen die je gaat inzetten voor het inrichten en continu verbeteren van het ISMS. De organisatie moet hiervoor de middelen beschikbaar stellen. Denk bijvoorbeeld aan het:

  • Aanwijzen van personen en hen beschikbaar stellen voor de implementatie van het ISMS.
  • Vaststellen van de benodigde kennis en competenties van medewerkers en hen bewust te maken van de eisen die aan hen gesteld worden.
  • Beschikbaar stellen van tijd voor een bewustwordingsprogramma.
  • Vaststellen welke communicatie relevant is voor een goed functionerend ISMS.

De ISO 27001 norm stelt eisen aan de aanwezigheid van actuele formeel gedocumenteerde informatie. Concreet staan de eisen van hoofdstuk 7 als volgt in de norm:

  • Voldoende middelen voor het ISMS (7.1)
  • Voldoende training en kennis bij het informatiebeveiliging team (7.2)
  • Bewustzijn bij alle medewerkers in de scope (7.3)
  • Communicatieplan voor interne en externe communicatie over informatiebeveiliging (7.4)
  • Documentatie van het ISMS inclusief omvang, complexiteit, kennis van mensen (7.5.1). Het moet regelmatig worden bijgewerkt (7.5.2) en ook gecontroleerd beschikbaar zijn (7.5.3).

Heb je intern niet de capaciteit om iemand als Security Officer aan te wijzen? Denk dan eens aan een Security Officer as a Service. Minimaal één dag in de maand wordt alle vooruitgang op het gebied van informatiebeveiliging aangejaagd en permanente verbetering wordt geborgd!

Hoofdstuk 8: operationele uitvoering

Hoofdstuk 8 gaat over de uitvoering. Hierin ga je de opgestelde maatregelen uit hoofdstuk 6 realiseren. Operationele planning en beheersing van gedocumenteerde informatie is essentieel om ervoor te zorgen dat processen volgens plan worden uitgevoerd. Daarbij is het belangrijk dat een risicobeoordeling regelmatig wordt uitgevoerd, zeker wanneer grote wijzigingen binnen of buiten de organisatie hebben plaatsgevonden. De risico’s die uit de risicobeoordeling komen moeten vervolgens gestructureerd behandeld en gedocumenteerd worden. Concreet staan de eisen van hoofdstuk 8 als volgt in de norm:

  • Plannen en controleren van operationele aspecten (8.1)
  • Regelmatig en gepland uitvoeren van risicoanalyses (8.2)
  • Implementatie van het risico-behandelplan (8.3)

Meer weten over het uitvoeren van een risicoanalyse? Lees dan: ‘De ISO 27001 risicoanalyse uitgelicht’

Hoofdstuk 9: prestaties

Het is belangrijk om je prestaties op het gebied van informatiebeveiliging regelmatig te monitoren, meten, analyseren en evalueren. Dit kan worden gedaan door middel van het uitvoeren van een interne audit. Tijdens zo’n interne audit wordt getoetst of het ISMS nog voldoet aan alle eisen. Daarnaast is het verplicht om periodiek een directiebeoordeling uit te voeren. In zo’n directiebeoordeling stelt de directie kansen voor verbetering vast. Concreet staan de eisen van hoofdstuk 9 als volgt in de norm:

  • Monitoren van de effectiviteit van het ISMS aan de hand van gestelde doelen (9.1)
  • Plannen en uitvoeren van interne audits (9.2)
  • Plannen en uitvoeren van directiebeoordelingen (9.3)

Een interne audit kun je door iemand intern of door een onafhankelijke partij laten uitvoeren. Twijfel je eraan om de audit uit te besteden? We hebben de voor- en nadelen voor je op een rij gezet in het artikel: ‘De interne audit uitbesteden of niet? 5 factoren om bij stil te staan’

Hoofdstuk 10: verbetering

Alle ISO-normen staan in het teken van continu verbeteren. Afwijkingen moeten daarom geanalyseerd worden en er moet een oorzaak vastgesteld worden. Op die manier kan de oorzaak weggenomen worden om herhaling van de afwijking te voorkomen. Vervolgens moeten er maatregelen getroffen worden om de afwijking te beheersen. Op die manier ben je het ISMS continu aan het verbeteren volgens het Plan-Do-Check-Act (PDCA) principe. Concreet staan de eisen van hoofdstuk 10 als volgt in de norm:

  • Reageren door de directie bij afwijkingen (10.1)
  • Zorgen voor continu verbetering (10.2)

Lees ook: ‘Gratis hulpmiddel bij ISO 27001: De PDCA duidelijker en beter toepasbaar!’

ISO 27001 implementatie

Je hebt nu alle ISO 27001 eisen doorgenomen. De volledige toelichting van alle eisen vind je in de volledige norm. Uiteraard vertellen onze adviseurs je hier ook graag over! Wil je meer toelichting of wil je eens sparren over het implementeren van ISO 27001 in je organisatie? Neem dan gerust contact met ons op of vraag direct een offerte op maat aan!

New call-to-action

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl