ISO 27001® Implementatie

Over de ISO 27001® Standaard

De norm ISO 27001® norm is dé standaard voor informatiebeveiliging. ISO 27001® certificering toont aan dat uw systeem gecertificeerd is op het gebied van informatiebeveiliging. Het ISO 27001® certificaat is het bewijs dat uw organisatie de nodige voorzorgsmaatregelen heeft genomen om gevoelige informatie te beschermen tegen ongeautoriseerde toegang en bewerking.​ U geeft met ISO 27001® certificering richting uw opdrachtgevers aan dat u het informatieproces beheerst en gegevens van uw opdrachtgevers goed heeft beveiligd. Uw organisatie voldoet tevens aan eisen op het gebied van informatiebeveiliging bij aanbestedingen. De norm ISO 27000® / 27001® is van toepassing op iedere organisatie met uitzondering van organisaties in de zorgsector. Voor de zorgsector is de norm NEN 7510 / NEN 7511 van toepassing.

In 10 stappen naar ISO 27001® implementatie en certificering

U wilt een Informatieveiligheidssysteem conform ISO 27001® certificering en zoekt deskundige ondersteuning voor ISO 27001® Implementatie en certificering? Pink Elephant levert u die graag. Hiervoor hanteren wij een praktisch model. In 10 stappen behaalt uw organisatie het ISO 27001® certificaat.

Stap 1: Kennis over de ISO 27001® norm
Soms begint een organisatie met het invoeren van een manage­mentsysteem voor informatiebeveiliging zonder een duidelijk begrip van wat de norm eigenlijk eist. De norm wordt dan gezien als een soort checklist met eisen, die men moet aflopen om het systeem op te zetten. Bij deze aanpak is het risico dat veel tijd besteed wordt aan het schrijven van allerlei documentatie, die de ISO2700® in principe niet vereist. Tegelijkertijd worden essentiële normeisen onvoldoende ingevuld. Ook kan een verzameling losse activiteiten en documenten ontstaan, die geen systeem vormen, omdat de samenhang ontbreekt.

Stap 2 Zorg voor betrokkenheid, ondersteuning en goedkeuring van het management voor het initiëren van een Information Security Management Systeem (ISMS)-project.
Het management moet een verbintenis aangaan om de inrich­ting, implementatie, exploitatie, monitoring, toetsing, onderhoud en verbetering van het ISMS te waarborgen. De betrokkenheid moet betrekking hebben op activiteiten zoals het waarborgen dat de juiste middelen beschikbaar zijn om te werken aan het ISMS en dat alle werknemers die bij een ISMS betrokken zijn, beschikken over de juiste competenties en een goede training krijgen. Resultaten hiervan zijn onder andere:

  • Informatiebeveiligingsbeleid
  • Informatiebeveiliging doelstellingen en plannen
  • Rollen en verantwoordelijkheden die verband houden met informatiebeveiliging.

Stap 3 Bepaal het beleid voor informatiebeveiliging
Als het management zich heeft gecommitteerd, kunt u beginnen om uw ISMS vast te stellen. In deze stap moet u bepalen in hoeverre u wilt dat het ISMS van toepassing is op uw organisatie. Wat heeft u nodig:

  • Informatiebeveiligingsbeleid
  • Informatiebeveiliging doelstellingen en plannen
  • Rollen en verantwoordelijkheden die verband houden met informatiebeveiliging.

Daarnaast moet u vaststellen welke gebieden, locaties, middelen en technologieën van de organisatie onder het ISMS vallen.

Stap 4 Stel een methode voor  risicobeoordeling vast
Een risicobeoordeling is het proces van het identificeren van risico’s door het analyseren van bedreigingen voor informatie, effecten op informatie en kwetsbaarheden van informatie en in­formatiesystemen en de kans dat deze zich voordoen.

Het kiezen van een risico-evaluatiemethode is een van de belangrijkste onderdelen van de invoering van een ISMS. De norm specificeert niet de risico-evaluatiemethode die u moet gebruiken, maar er staat in dat u gebruik moet maken van een methode waarmee u de volgende taken kan uitvoeren:

  • Risico’s kunnen beoordelen op het niveau van vertrouwelijk­heid, integriteit en beschikbaarheid.
  • Doelstellingen kunnen bepalen om het risico terug te brengen tot een aanvaardbaar niveau.
  • Criteria kunnen bepalen voor het accepteren van het risico.
  • Risico’s kunnen evalueren.

Stap 5 Identificeer, analyseer en beoordeel de risico’s
Zodra u de risico’s heeft geïdentificeerd moet u deze gaan analyseren en beoordelen.

  • Beoordeel welke schade de organisatie waarschijnlijk zal onder­vinden als gevolg van een beveiligingsstoring, rekening houdend met de gevolgen als de vertrouwelijkheid, integriteit en beschik­baarheid van de bedrijfsmiddelen worden geschonden.
  • Maak een inschatting van de risiconiveaus.
  • Stel vast of de risico’s aanvaardbaar zijn of behandeling vereisen aan de hand van de criteria voor risicoaanvaarding.

Voer daarna een van de volgende acties uit:

  • Beslis om het risico te aanvaarden omdat bijvoorbeeld acties niet mogelijk zijn omdat ze buiten uw controle vallen (zoals een natuurramp of een politieke opstand) of te duur zijn.
  • Kies voor overdracht van het risico. Het risico over te dragen op bijvoorbeeld een externe leverancier of verzekeringmaatschappij.
  • Besluit het risico tot een aanvaardbaar niveau terug te brengen door het gebruik van controlemechanismen.

Stap 6 Bepaal de beheersmaatregelenen doelstellingen voor de risicobehandeling
Beheersdoelstellingen en beheersmaatregelen moeten worden gekozen en geïmplementeerd om te voldoen aan de eisen die zijn vastgesteld in de processen voor risicobeoordeling en risicobehan­deling. Bij deze keuze moet rekening worden gehouden met de criteria voor het aanvaarden van risico’s evenals eisen uit wet- en regelgeving en contractuele verplichtingen.

Stap 7 Maak het definitieve ISMS implementatieplan
Stel een plan op waarin o.a. de volgende onderdelen in staan:

  • Formuleren voor de risicobehandeling waarin de geschikte directiemaatregelen, middelen, verantwoordelijkheden en priori­teiten worden vastgelegd voor het beheer van risico’s voor infor­matiebeveiliging.
  • Het plan voor risicobehandeling implementeren om de geïden­tificeerde beheersdoelstellingen te halen, het geen financiering omvat evenals toewijzing van rollen en verantwoordelijkheden.
  • De gekozen beheersmaatregelen implementeren om aan de beheersdoelstellingen te voldoen.
  • Programma’s voor training en bewustzijn implementeren.
  • De uitvoering en middelen van het ISMS beheren.

Stap 8 Train het personeel en wijs middelen toe
Voldoende middelen (mensen, tijd, geld) moet worden toegewe­zen om de werking van het ISMS en alle veiligheid controles te waarborgen. Bovendien moet het personeel dat werkt binnen het  ISMS (het onderhoud ervan en de bijbehorende documentatie  en de uitvoering van haar controles) ondersteund worden met een passende opleiding.

Stap 9 Voer interne audits, directiebeoordelingen en verbeteringen uit
Om ervoor te zorgen dat het ISMS effectief is en blijft vereist de norm o.a.:

  • Uitvoeren van interne audits.
  • Regelmatig een directiebeoordeling van het ISMS uitvoeren, om te bewerkstelligen dat de reikwijdte ervan blijft voldoen en dat verbeteringen in het ISMS-proces worden geïdentificeerd.

Stap 10 Start het certificatietraject tijdig en overweeg een proefaudit
Soms realiseert men zich niet dat het certificatietraject ook enkele maanden kan vergen vanaf de aanvraag van offertes tot aan de uitgevoerde audit. Hierdoor kan onnodige vertraging ontstaan.

Pink Elephant ondersteunt bedrijven in alle stappen om tot een ISO 27001® Certificering te komen. De daadwerkelijke audit en certificering (stap 10) laat Pink Elephant altijd door een onafhankelijke derde partij uitvoeren. Neem contact op met een van onze Informatiebeveiligingsspecialisten voor voor meer informatie.

Deel via:
LinkedInTwitterFacebookGoogle+WhatsAppEmail
  • Nieuwsbrief
  • Je bent met verschillende projecten bezig en krijgt daarnaast frequent spoedklusjes of verzoeken of je ‘even’ ergens mee naar wil kijken. Je probeert alle ballen in de lucht te houden
  • Referenties
Scroll