Wat zijn de eisen van ISO 27001?

*Transcriptie onderaan deze pagina

Hoofdstuk 7: middelen, ondersteuning en communicatie

Hoofdstuk 7 gaat over de middelen die je gaat inzetten voor het inrichten en continu verbeteren van het ISMS. De organisatie moet hiervoor de middelen beschikbaar stellen. Denk bijvoorbeeld aan het:

• Aanwijzen van personen en hen beschikbaar stellen voor de implementatie van het ISMS.
• Vaststellen van de benodigde kennis en competenties van medewerkers en hen bewust te maken van de eisen die aan hen gesteld worden.
• Beschikbaar stellen van tijd voor een bewustwordingsprogramma.
• Vaststellen welke communicatie relevant is voor een goed functionerend ISMS.

De ISO 27001 norm stelt eisen aan de aanwezigheid van actuele formeel gedocumenteerde informatie. Concreet staan de eisen van hoofdstuk 7 als volgt in de norm:

• Voldoende middelen voor het ISMS (7.1)
• Voldoende training en kennis bij het informatiebeveiliging team (7.2)
• Bewustzijn bij alle medewerkers in de scope (7.3)
• Communicatieplan voor interne en externe communicatie over informatiebeveiliging (7.4)
• Documentatie van het ISMS inclusief omvang, complexiteit, kennis van mensen (7.5.1). Het moet regelmatig worden bijgewerkt (7.5.2) en ook gecontroleerd beschikbaar zijn (7.5.3).

Heb je intern niet de capaciteit om iemand als Security Officer aan te wijzen? Denk dan eens aan een Security Officer as a Service. Minimaal één dag in de maand wordt alle vooruitgang op het gebied van informatiebeveiliging aangejaagd en permanente verbetering wordt geborgd!

Hoofdstuk 8: operationele uitvoering

Hoofdstuk 8 gaat over de uitvoering. Hierin ga je de opgestelde maatregelen uit hoofdstuk 6 realiseren. Operationele planning en beheersing van gedocumenteerde informatie is essentieel om ervoor te zorgen dat processen volgens plan worden uitgevoerd. Daarbij is het belangrijk dat een risicobeoordeling regelmatig wordt uitgevoerd, zeker wanneer grote wijzigingen binnen of buiten de organisatie hebben plaatsgevonden. De risico’s die uit de risicobeoordeling komen moeten vervolgens gestructureerd behandeld en gedocumenteerd worden. Concreet staan de eisen van hoofdstuk 8 als volgt in de norm:

• Plannen en controleren van operationele aspecten (8.1)
• Regelmatig en gepland uitvoeren van risicoanalyses (8.2)
• Implementatie van het risico-behandelplan (8.3)

Meer weten over het uitvoeren van een risicoanalyse? Lees dan: ‘De ISO 27001 risicoanalyse uitgelicht’

Hoofdstuk 9: prestaties

Het is belangrijk om je prestaties op het gebied van informatiebeveiliging regelmatig te monitoren, meten, analyseren en evalueren. Dit kan worden gedaan door middel van het uitvoeren van een interne audit. Tijdens zo’n interne audit wordt getoetst of het ISMS nog voldoet aan alle eisen. Daarnaast is het verplicht om periodiek een directiebeoordeling uit te voeren. In zo’n directiebeoordeling stelt de directie kansen voor verbetering vast. Concreet staan de eisen van hoofdstuk 9 als volgt in de norm:

• Monitoren van de effectiviteit van het ISMS aan de hand van gestelde doelen (9.1)
• Plannen en uitvoeren van interne audits (9.2)
• Plannen en uitvoeren van directiebeoordelingen (9.3)

Een interne audit kun je door iemand intern of door een onafhankelijke partij laten uitvoeren. Twijfel je eraan om de audit uit te besteden? We hebben de voor- en nadelen voor je op een rij gezet in het artikel: ‘De interne audit uitbesteden of niet? 5 factoren om bij stil te staan’

Hoofdstuk 10: verbetering

Alle ISO-normen staan in het teken van continu verbeteren. Afwijkingen moeten daarom geanalyseerd worden en er moet een oorzaak vastgesteld worden. Op die manier kan de oorzaak weggenomen worden om herhaling van de afwijking te voorkomen. Vervolgens moeten er maatregelen getroffen worden om de afwijking te beheersen. Op die manier ben je het ISMS continu aan het verbeteren volgens het Plan-Do-Check-Act (PDCA) principe. Concreet staan de eisen van hoofdstuk 10 als volgt in de norm:

• Reageren door de directie bij afwijkingen (10.1)
• Zorgen voor continu verbetering (10.2)

Lees ook: ‘Gratis hulpmiddel bij ISO 27001: De PDCA duidelijker en beter toepasbaar!’

ISO 27001 implementatie

Je hebt nu alle ISO 27001 eisen doorgenomen. De volledige toelichting van alle eisen vind je in de volledige norm. Uiteraard vertellen onze adviseurs je hier ook graag over! Wil je meer toelichting of wil je eens sparren over het implementeren van ISO 27001 in je organisatie? Neem dan gerust contact met ons op of vraag direct een offerte op maat aan!

Transcriptie video ‘ISO 27001 implementeren in 6 stappen’

Hai! In deze video vertel ik je graag meer over de implementatie van een ISO 27001 managementsysteem. Stap 1: je begint allereerst met een contextanalyse. In een contextanalyse ga je kijken: hoe bestaan wij als bedrijf in de markt en wat voor in- en externe invloeden zijn er op ons als organisatie? Dat kan bijvoorbeeld in de vorm van een SWOT analyse of een DESTEP analyse. Linksom of rechtsom, je gaat in kaart brengen welke in- en externe factoren van invloed zijn op jou als organisatie. Naast dat je de contextanalyse in kaart brengt, ga je ook kijken naar stakeholders. Belanghebbenden dus voor jouw organisatie. Een belangrijke voorwaarde voor de implementatie van een ISO 27001 managementsysteem, is een stukje leiderschap en betrokkenheid. Het is een managementsysteem dus het management of de directie moet betrokken zijn bij de implementatie van ISO 27001. Of überhaupt een managementsysteem. Zonder betrokkenheid of commitment vanuit de directie ga je er niet komen. Vervolgens als jij een stuk commitment hebt en je hebt de context in kaart gebracht, ga je kijken naar een risicoanalyse. In die risicoanalyse ga je kijken: wat zijn nu de risico’s die van invloed zijn op onze organisatie? Waarschijnlijk heb je ook al een aantal risico’s geïdentificeerd vanuit jouw context- en stakeholdersanalyse. Dat neem je mee en vervolgens ga je kijken: wat is van impact op onze organisatie? Vervolgens ga je kijken: dit risico, vinden wij dat acceptabel? Waarschijnlijk niet, anders had je hem niet opgenomen. Wellicht ook wel, dat is even aan jezelf. Mocht je zo’n risico niet acceptabel vinden, dan ga je waarschijnlijk over tot het behandelen van het risico. Je gaat zo’n risico implementeren, je gaat een maatregel bedenken en vervolgens zegt de norm dan vergelijk die maatregel die jij hebt genomen eens met onze bijlage A, want wij zijn ISO, wij heb hierover nagedacht. En kijk eens of je niet nog eventuele maatregelen vergeten bent. Dan heb je natuurlijk geïdentificeerd wat je wil gaan doen, wat je doelen zijn en wat je maatregelen voor risicobehandeling zijn. Daar heb je ook geld voor nodig, tijd, mensen: middelen in het algemeen. In de breedste vorm van het woord! Je gaat zorgen dat je de maatregelen die jij hebt bedacht ten uitvoer brengt en daar ga je een stuk monitoring op loslaten zodat je ook weet: hoe staan we ervoor? Vervolgens heb je dus het stuk monitoren, waar we het eerder al heel even over hadden. Leven wij ons beleid na? Medewerker A heeft alleen toestemming om toegang te hebben tot applicatie A. Maar uit jouw controle blijkt dat hij ook toegang heeft tot applicatie B. Dat is dan weer een afwijking van je eigen beleid en dat ga je dan vervolgens behandelen in het volgende hoofdstuk. Naast de controle op naleving, ga je ook een interne audit uitvoeren. Dat is een extra stap die je neemt om een stukje naleving te toetsen. Tevens ook een verplicht onderdeel! Wil je nog meer informatie over het implementeren van een ISO 27001 managementsysteem? Bekijk dan ook eens onze andere YouTube video’s, neem contact met ons op of bekijk onze website!