ISO 27001

De ISO 27001 is een internationale norm voor een managementsysteem voor informatiebeveiliging (ISMS). De versie uit 2022 bouwt voort op eerdere versies en biedt een raamwerk voor organisaties om hun informatiebeveiliging te beheren en te verbeteren.

De norm is van toepassing op alle soorten organisaties, ongeacht hun grootte, type of aard.

Ons 10 stappenplan

Een succesvolle implementatie van ISO/IEC 27001:2022 voor een managementsysteem voor informatiebeveiliging (ISMS) kan worden bereikt door een gedegen stappenplan:

  1. Begrip van de norm.
  2. Risk Assessment (risicobeoordeling).
  3. Risk Treatment Plan (risicomanagement).
  4. Statement of Applicability.
  5. Totaalanalyse.
  6. Procedures en Protocollen.
  7. Training en Bewustzijn.
  8. Interne Audit.
  9. Externe Audit.
  10. Continue Verbetering.

1. Begrip van de norm. Een gedegen begrip van de vereisten van ISO/IEC 27001:2022. De ISO 27001 norm bevat eisen waar een managementsysteem voor informatiebeveiliging aan moet voldoen. Het is niet verplicht om u als organisatie te certificeren voor ISO 27001, maar het helpt u wel bij het opzetten van een managementsysteem voor informatiebeveiliging en het voldoen aan wet- en regelgeving omtrent bescherming persoonsgegevens.

2. Risk Assessment (risicobeoordeling). Tijdens de gap-analyse worden risico’s geïdentificeerd op basis van het wegen en beoordelen van criteria. Hiermee krijgt uw organisatie een realistisch beeld van hoe groot de kans is dat risico’s zich zullen voordoen. Classificeer risico’s op basis van waarschijnlijkheid en impact.

3. Risk Treatment Plan (risicomanagement). In het risk treatment plan geeft u voor elk geïdentificeerd risico de ernst van de situatie aan en documenteert u welke preventieve maatregelen genomen moeten worden: welke acties voert u uit om risico’s te voorkomen? Zorg voor de integratie van de beveiligingscontroles in bestaande processen en systemen.

4. Statement of Applicability. Hierin legt u vast welke zaken uit annex A van de norm op uw organisatie van toepassing zijn. In annex A van de norm staan diverse maatregelen omschreven. In het statement of applicability legt een organisatie de onderbouwing vast of maatregelen wel of niet op hen van toepassing zijn. De basis hiervoor is de uitgevoerde risicobeoordeling (risk assessment).

5. Totaalanalyse. In de totaalanalyse combineert u de conclusies van het Statement of Applicability met zowel de Risk Assessment als het Risk Treatment Plan. Een belangrijke vraag hierbij is: heeft u werkelijk ieder informatiebeveiligingsrisico binnen uw organisatie in kaart gebracht? Continuity management is tijdens deze stap eveneens belangrijk. U benoemt maatregelen die de beveiliging van gegevens moet waarborgen in het geval van calamiteiten.

6. Processen, Procedures en Werkinstructies. Ontwikkel processen en procedures om de geselecteerde beveiligingscontroles te implementeren. Documenteer alle procedures en zorg ervoor dat deze toegankelijk zijn voor alle betrokkenen (intern en extern). Focus op kritische gebieden zoals toegangsbeheer, incidentbeheer, en operationele continuïteit. Werkinstructies moeten duidelijk uitvoerbaar en toetsbaar zijn.

7. Training en Bewustzijn. Ontwikkel een training- en awareness programma dat de relevantie van ISO 27001 en het ISMS voor alle medewerkers benadrukt. Training is een belangrijk instrument om de juiste mindset van alle medewerkers voor informatiebeveiliging in uw organisatie te verkrijgen én te borgen. Methoden hiervoor zijn e-learning, workshops en nieuwsbrieven.

8. Interne Audit. Stel een auditprogramma op om de naleving van de norm te toetsen. Plan audits op een manier dat elke afdeling en elk kritisch proces dat onder de scope valt, regelmatig wordt gecontroleerd. Gebruik de bevindingen om ‘gaps’ te identificeren en corrigerende maatregelen te initiëren.

9. Externe Audit. Het ISO certificaat toont aan intern: alle medewerkers en stakeholders als extern: uw klanten dat uw producten, processen of diensten aan de eisen voldoen. Ook biedt het ISO certificaat uw organisatie commerciële voordelen. Zo willen steeds vaker klanten als opdrachtgevers de garantie dat u zorgvuldig met hun gegevens omspringt en willen zij enkel zaken doen met ISO 27001 gecertificeerde organisaties.

10. Informatiebeveiligingsbeleid en PDCA-cyclus. Op basis van de voorgaande stappen heeft u duidelijk inzicht gekregen in de aandachtspunten binnen uw organisatie op het gebied van informatiebeveiliging. De volgende stap is het opstellen van het informatiebeveiligingsbeleid. Leg vast hoe uw organisatie omgaat met informatiebeveiliging. Onder het informatiebeveiligingsbeleid valt het information security management system (ISMS). Hierin specificeert u welke maatregelen u neemt om informatie te beveiligen en risico’s terug te dringen. Pas de Plan-Do-Check-Act (PDCA)-cyclus toe om continue verbeteringen te waarborgen.

Kunnen wij u helpen met
uw ISO 27001-zaken?

Heeft u hulp nodig om u organisatie ISO 27001-compliant te maken? Wacht niet te lang en neem contact met ons op en maak een afspraak! Onze ISO 27001-experts hebben nog een aantal mogelijkheden in Q1 en Q2 2024