Informatiebeveiliging met ISOPlanner: bouwen op een solide fundering

Informatiebeveiliging met ISOPlanner: bouwen op een solide fundering

Informatiebeveiliging met ISOPlanner: bouwen op een solide fundering
Comments
security island

Een advies dat we wel eens horen als het gaat om ISO-certificering, is dat elke ISO-implementatie maatwerk is. Aan de ene kant is dat is natuurlijk zo. Want elke organisatie is anders. Dus elke organisatie moet zelf heel goed kijken wat precies de context van de organisatie is. En welke risico's voor hen van toepassing zijn. En hoe je bepaalde maatregelen wil implementeren om die risico's te beheersen.

Aan de andere kant is het toch zo dat in de praktijk de risico's die organisaties zien op een abstract niveau, eigenlijk heel vaak hetzelfde zijn. Denk bijvoorbeeld aan het risico dat een mobiele telefoon verloren raakt, of een laptop in de trein blijft liggen. Dat heeft eigenlijk elke organisatie wel. En zo zijn er veel meer risico's te bedenken. Ook als het gaat om de implementatie van maatregelen om risico's te beperken, zijn het vaak dezelfde maatregelen bij iedere organisatie.

Dus je kunt heel goed een zelfde basis gebruiken voor de implementatie van ISO normen in verschillende organisaties. Hoe dat eruit ziet, lichten we hier toe in de vorm van drie praktijkvoorbeelden waarbij ISOPlanner de basis vormt.

ISO 27001 certificering binnen 3 maanden

Een grote multitechnische dienstverlener op het gebied van energie en communicatie met bijna 8.000 medewerkers verspreid over 41 locaties, had al een externe audit voor ISO 27001 certificering gepland. Ze waren intern echter nog lang niet klaar voor deze audit.

Toen deze klant ons inschakelde, moesten we plots onder hoge tijdsdruk de implementatie voor elkaar krijgen. Terwijl deze organisatie uit meerdere werkmaatschappijen bestond die zich in verschillende fases van implementatie bevonden. Ze hadden dus een oplossing nodig waarmee ze binnen hun Microsoft-omgeving voor al die verschillende werkmaatschappijen de implementatiestatus konden bijhouden.

Overzicht in implementatiestatus voor meerdere werkmaatschappijen

We hebben ISOPlanner als Information Security Management System (ISMS) uitgerold. Niet alleen zorgde dit voor een snelle implementatie van de ISO 27001 norm, maar het ISMS is ook geschikt om in de toekomst meerdere werkmaatschappijen aan te haken. Waarbij per werkmaatschappij een overzicht van de status van implementatie beschikbaar is. Ook is het eenvoudig andere normensets te implementeren, of een update van een bestaande normenset snel en gemakkelijk door te voeren.

Daarnaast leverden we een standaarddocumentatieset met beleid en voorbeelddocumenten aan die ze alleen nog maar op maat hoefden te maken voor hun specifieke situaties.

Deze twee oplossingen heeft deze klant ongelofelijk veel tijd bespaard. De hele implementatie vond plaats in slechts 3 maanden, waardoor ze uiteindelijk op tijd waren voor de al geplande audit.

CCV-pentestingcertificaat behalen met ISOPlanner

Dit voorbeeld gaat over een klant die andere bedrijven helpt om kwetsbaarheden op te sporen binnen de Microsoftomgeving, door bijvoorbeeld instellingen te detecteren die oneigenlijke toegang bieden tot derden. Daarnaast voert deze organisatie ook pentesten uit.

Deze opdrachtgever had de wens om voor hun pentesten het CCV-pentestingcertificaat te behalen, dé norm in deze vorm van security dienstverlening. En met de software van ISOPlanner kun je meer dan je organisatie certificeren voor ISO normen.

Want ISOPlanner is een open framework en is dusdanig opgezet dat het vele diverse en specifieke normensets kan verwerken. Het systeem biedt ruimte voor allerlei soorten certificeringstrajecten.

Onze oplossing voor deze klant was om ISOPlanner als Information Security Management System te implementeren. Dit bood hen de mogelijkheid om de maatregelen en het beleid uit de pentestingnorm overzichtelijk en snel door te voeren binnen hun organisatie.

Documentatie, beleid en maatregelen overzichtelijk gekoppeld

Niet alleen documentatie is gekoppeld aan maatregelen en beleid, ook is het eenvoudig de planning bij te houden. Dit maakte het mogelijk voor deze klant om goed overzicht te houden in de voortgang van het doorvoeren van alle maatregelen rondom deze CCV-pentestcertificering. En te zien welke taken bij welke medewerkers uitstonden.

Doorlopende bewijslast verzamelen voor ISAE 3402 verklaring

Tot slot een ander voorbeeld van een toepassing van ISOPlanner. Dit was voor een ICT-dienstverlener die werkplekbeheer en cloudoplossingen biedt. Zij wilden een ISAE 3402 verklaring bemachtigen voor hun organisatie. Dit is een niet-verplichte norm die doorlopend bewijs vraagt dat bepaalde technische maatregelen voortdurend goed geïmplementeerd zijn.

Het vraagt heel veel werk van ICT-medewerkers binnen de organisatie om steeds dat bewijs op te halen. De uitdaging waar deze organisatie tegenaan liep, was om overzicht te houden in de zware bewijslast. Wie moest wat doen, wanneer en waar leg je dat vast?

De oplossing was om ISOPlanner als Information Security Management System te implementeren, waarbij we de set van maatregelen van de ISAE 3402 norm kozen om door te voeren binnen de organisatie. Die set van controls kun je zelf kiezen en samenstellen binnen ISOPlanner. Waarna het heel eenvoudig is om periodieke controles uit te voeren en zicht te houden op het periodiek ophalen en opslaan van bewijs.

Overzicht van verzameld bewijs en taakverdeling binnen organisatie

Het biedt een hele laagdrempelige manier voor de mensen die de controles uitvoeren om dat gevraagde bewijs aan te leveren. Zo heb je op elk moment een goed overzicht van al het aangeleverde bewijs en waar eventuele taken belegd zijn binnen de organisatie.

Door ISOPlanner in te schakelen heeft deze organisatie nu een helder overzicht van alle geïmplementeerde controles, de status ervan en de planning van het uitvoerende werk. Ook koppelt ISOPlanner naar Outlook, zodat je eenvoudig taken in agenda’s inplant en bewijsmateriaal koppelt aan de betreffende taak of actie.

Dit geeft deze klant heel veel overzicht en structuur en bespaart intern ook veel tijd. Het geeft daarbij rust om in één oogopslag te zien of een taak is uitgevoerd. Handmatig Excellijstjes bijhouden is verleden tijd!

Meer tips over ISO certificering?

Neem gerust contact met ons op. Wij denken graag met je mee!

Gerelateerde artikelen

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

Overweegt u uw organisatie te certificeren voor een ISO-norm? In dit artikel beantwoorden Maurice Pasman van Instant 27001 en Ivar van Duuren van ISOPlanner de meest gestelde vragen over ISO-certificering. 1. Wie zijn verantwoordelijk voor de implementatie van ISO...

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Hoe ziet een ISO 27001 certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van ISOPlanner Ivar van Duuren legt het uit. ISO 27001 certificering in een notendop.

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie

Kies je ervoor om de ISO 27001-normen te implementeren voor jouw organisatie? In dit artikel legt medeoprichter van ISOPlanner Ivar van Duuren alles uit over de voordelen, uitdagingen, duur en kosten van het implementeren van ISO 27001. Zo weet je wat je krijgt...

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie
Comments
security island
Overweeg je jouw organisatie te certificeren voor een ISO norm? In dit artikel geven Maurice Pasman van Instant 27001 en Ivar van Duuren van ISOPlanner antwoord op de meestgestelde vragen over ISO certificering.

1. Wie zijn verantwoordelijk voor implementatie van ISO 27001?

In de norm staat dat de directie van een organisatie primair een verantwoordelijkheid heeft bij de informatiebeveiliging van de organisatie. Dit betekent enerzijds het beschikbaar stellen van budget en het goede voorbeeld geven. Maar in principe is het ook de bedoeling dat de directie één of meerdere medewerkers binnen de organisatie aanwijst die verantwoordelijkheid krijgen bij de implementatie van de norm.

De meest gebruikte rol is die van Information Security Officer (CISO). Deze persoon krijgt vaak de hoofdverantwoordelijkheid voor de implementatie van het Information Security Management Systeem (ISMS). Dat is niet degene die alles moet doen, maar die wel de verantwoordelijkheid krijgt vanuit het management. En de mogelijkheid om ook daadwerkelijk andere mensen erbij te betrekken en beslag te leggen op hun tijd.

Daarnaast zijn er andere mensen betrokken bij de implementatie. Denk bijvoorbeeld aan iemand van HR die kijkt of de verantwoordelijkheden, rechten en plichten ook goed zijn vastgelegd in de contracten. Ook mensen van softwareontwikkeling kijken idealiter mee of best practices op het gebied van secure development al zijn geïmplementeerd.

En bijvoorbeeld een software engineer die meekijkt of de inrichting van de cloud-omgeving goed verloopt. Dus naast de rol van Security Officer zijn er ook andere mensen binnen de organisatie betrokken bij ISO implementatie.

2. Kun je ISO 27001 en NEN 7510 samen implementeren?

Veel klanten vragen ons of het handig of mogelijk is om de organisatie tegelijkertijd te certificeren voor ISO 27001 en NEN 7510. Dat is inderdaad erg handig om te doen. Al was het alleen maar omdat de overlap van het Information Security Management System (ISMS) 100% is.

Niet bekend met NEN 7510? Dit is een Nederlandstalige norm op het gebied van informatiebeveiliging, specifiek voor de toepassing binnen de zorg. En het is ook een norm die een wettelijke verplichting heeft. Dus zorgaanbieders binnen Nederland hebben vanuit de wet de verplichting om NEN 7510 te implementeren. Dit moet je overigens niet verwarren met NEN 7510 certificering, want dat is niet verplicht. Toch zie je dat veel partijen in de zorg én hun dienstverleners vaak overgaan tot certificering, omdat dat de kroon is op hun werk.

3. Kun je ISO-maatregelen vervangen of negeren?

Als je kijkt naar de lijst van beheersmaatregelen uit de Annex A van de ISO 27001 of NEN 7510 norm en je staat niet achter de maatregelen, mag je dan andere maatregelen kiezen? Bijvoorbeeld omdat je die zelf wilt bedenken of omdat je een andere set maatregelen wilt gebruiken? Het korte antwoord is: Ja, dat mag.

De ISO norm geeft de in de Annex A een aantal suggesties voor maatregelen die je kunt gebruiken als een checklist. Om ervoor te zorgen dat je niets vergeet. Echter, de maatregelen die je uiteindelijk kiest, mogen overal vandaan komen. En als jij op een gegeven moment denkt: ik heb een extra maatregel nodig, dan zou het raar zijn als je die maatregel niet zou treffen.

Zet je die lijn voort, dan kun je ook besluiten dat je de hele lijst van maatregelen uit de Annex A niet passend vindt voor jouw organisatie. En dat je een andere set van voorbeeldmaatregelen gebruikt, bijvoorbeeld uit een andere ISO norm zoals de 27017 of 27018.

De norm wil ook dat je een Verklaring van Toepasselijkheid opstelt. In die Verklaring van Toepasselijkheid geef jij aan welke maatregelen jij hebt getroffen, maar moet je dus ook aangeven wat je hebt gedaan met de maatregelen uit Annex A. En op het moment dat jij besluit om de maatregelen uit de Annex A volledig te negeren en bijvoorbeeld de maatregelen uit de SIS-controls toe te passen, dan noem je in jouw Verklaring van Toepasselijkheid welke maatregelen uit de SIS-controls je dan wel gebruikt.

4. Is ISO 27001 ook voor kleine bedrijven geschikt?

Veel mensen denken dat ISO 27001 of ISO 9001 alleen voor hele grote organisaties geschikt is. Maar de norm is zodanig opgesteld dat dat onderscheid eigenlijk niet wordt gemaakt.

Sterker nog, als je de norm goed leest, dan worden er bijvoorbeeld eisen gesteld aan de documentatie die je als organisatie moet hebben. Daarbij wordt expliciet genoemd dat de hoeveelheid en de manier waarop die documentatie wordt bijgehouden, passend moet zijn bij de organisatie.

Dat laat nadrukkelijk de mogelijkheid open om voor een hele kleine organisaties ook het managementsysteem te implementeren. Zij het zonder een enorme stapel documentatie. Maar met gewoon wat kleinere beleidsdocumenten, wat simpeler processen. Dat maakt de norm prima toepasbaar voor een kleine organisatie.

5. Hoe lang moet een organisatie bestaan voor certificering?

Hoe lang een organisatie moet bestaan voor ISO certificering is een heel interessante vraag. Dat heeft te maken met het feit dat je tijdens een audit de auditor het gevoel wil geven dat de processen die je laat zien en het beleid dat je hebt geschreven, al een bepaalde periode leeft binnen je organisatie.

Dus een organisatie die net twee weken bestaat en waarvan het managementsysteem ook twee weken geleden is opgesteld, geeft de gemiddelde auditor niet het warme gevoel dat dit een goed geworteld systeem is.

Kijk je naar wat de norm erover zegt, dan staan daar geen harde tijdlijnen in. De norm zegt alleen maar dat een managementsysteem in aanmerking komt voor certificering als aantoonbaar alle onderdelen tenminste één keer zijn uitgevoerd (hoofdstuk 4 tot en met hoofdstuk 10).

Als alle onderdelen van de Plan-Do-Check-Act-cyclus tenminste één keer aantoonbaar zijn uitgevoerd, dan kun je het managementsysteem certificeren. In de praktijk merken we dat de meeste consultants en auditbureaus daarvoor toch wel een minimumtermijn van 3 maanden aanhouden. Maar die komt dus niet uit de norm.

Praktijkmissers bij ISO certificering

In de praktijk zien we nog veel situaties waarbij processen over meerdere systemen gaan en waarbij er meerdere mensen betrokken zijn. Er is dan geen goede overdracht van het ene systeem naar het andere. En wat daarbij mis kan gaan, is dat er gewoon dingen worden vergeten.

Dus iemand voert wel een medewerker in het HR-systeem in, maar vergeet een ander persoon te informeren dat er een ticket nodig is om bepaalde rechten toe te kennen aan die nieuwe medewerker.

Dan is het resultaat niet wat het moet zijn, waardoor er achteraf herstelwerk nodig is. En de organisatie wordt opgeschud met de vraag waarom iets niet werkt en wat is er misgegaan.

Hoe ziet een ideaal compliance proces eruit?

In een ideale wereld komt een nieuwe medewerker de organisatie binnen of is er een nieuwe leverancier. Waarbij het proces begint op het moment dat die nieuwe medewerker of leverancier ingevoerd wordt in het eerste systeem.

En waarbij alle vervolgstappen die uit dat ene proces voortvloeien, automatisch van het ene systeem naar het andere lopen. Waarbij telkens de medewerkers die iets moeten doen, worden getriggerd op de plek waar ze werken. Bijvoorbeeld met een Teamsnotificatie, dat er iets voor ze klaarstaat om te doen. En wordt er een stap overgeslagen, dan krijgt de betreffende persoon automatisch een notificatie of herinnering om het werk alsnog uit te voeren.

In de ideale wereld wordt het resultaat ook op een centrale plek vastgelegd in een systeem waar iedereen al mee werkt.

In 3 stappen compliance automation workflows instellen

Wil je compliance binnen jouw organisatie automatiseren? Hoe stel je dan die compliance automation workflows in en hoe onderhoud je die processen goed? Ten eerste is het belangrijk dat je ervoor zorgt dat je één systeem hebt waar je het resultaat in vastlegt van al die geautomatiseerde processen.

Ten tweede is het natuurlijk goed om in kaart te brengen welke processen je wilt automatiseren. En als je daar een beeld bij hebt, begin dan rustig met één proces. Een proces dat nu misschien het meeste werk kost in de organisatie. Of waar misschien de meeste fouten in gemaakt worden. Of waar je als organisatie het meeste last hebt van de fouten. En dan begin je met het automatiseren van dat eerste proces. Daarna pak je het volgende proces en zo bouw je rustig verder.

Tot slot is het van belang om te kijken welke systemen de processen raken. Welke systemen zijn bij de verschillende workflows betrokken? En welke mogelijkheden bieden die systemen om te koppelen en informatie te verzamelen in een centraal systeem, waardoor je overzicht houdt op alle processen?

Meer tips over ISO certificering?
Neem gerust contact met ons op. Wij denken graag met je mee!

Over Maurice Pasman van Instant 27001

Maurice Pasman is de oprichter van Instant 27001, die organisaties helpt bij het efficiënt implementeren van ISO 27001 door gebruik te maken van voorbeelddocumentatie en templates. Sinds de lancering in 2018 hielp Instant 27001 al meer dan 1.500 organisaties (in Nederland en daarbuiten) met het optimaliseren van hun informatiebeveiliging, het voorkomen van datalekken en het verbeteren van hun concurrentiepositie.

Over Ivar van Duuren

Ivar van Duuren is co-founder van ISOPlanner. Vanuit zijn achtergrond had hij ervaring met de versnipperde ISO-certificeringaanpak met losse documenten en de druk om dat binnen een bepaalde deadline te doen.

Een eenvoudiger systeem dat overzicht en inzicht gaf in de benodigde maatregelen en planning was het antwoord op deze frustratie. Door de unieke integratie met Microsoft Outlook en Microsoft Teams, biedt ISOPlanner een eenvoudig en overzichtelijk hulpmiddel tijdens certificeringstrajecten.

Gerelateerde artikelen

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

Overweegt u uw organisatie te certificeren voor een ISO-norm? In dit artikel beantwoorden Maurice Pasman van Instant 27001 en Ivar van Duuren van ISOPlanner de meest gestelde vragen over ISO-certificering. 1. Wie zijn verantwoordelijk voor de implementatie van ISO...

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Hoe ziet een ISO 27001 certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van ISOPlanner Ivar van Duuren legt het uit. ISO 27001 certificering in een notendop.

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie

Kies je ervoor om de ISO 27001-normen te implementeren voor jouw organisatie? In dit artikel legt medeoprichter van ISOPlanner Ivar van Duuren alles uit over de voordelen, uitdagingen, duur en kosten van het implementeren van ISO 27001. Zo weet je wat je krijgt...

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo
Comments
security island
Hoe ziet een traject eruit als je gaat beginnen met je ISO 27001 certificering? Welke in- en externe mensen en hulpbronnen heb je nodig? En welke maatregelen zijn nu precies verplicht (of juist niet)? Co-founder van ISOPlanner Ivar van Duuren legt het uit.

ISO 27001 certificering in vogelvlucht

Om je kort mee te nemen in het hele proces, licht ik hier kort de belangrijkste stappen toe die je moet doorlopen. Een eerste stap om te starten met ISO certificering, is door te kijken naar de context van je organisatie. Welke partijen zijn er betrokken bij jou als organisatie? Denk bijvoorbeeld aan medewerkers, aandeelhouders, klanten, leveranciers en dat soort partijen. En wat verwachten die partijen van jou als het gaat om informatiebeveiliging?

De volgende stap is te kijken naar risico's. Welke risico's zie jij als organisatie op het gebied van informatiebeveiliging? En vervolgens ga je dan beleid je kiest de maatregelen waarmee je die risico's gaat beperken en hoe je die in je organisatie wilt implementeren. En tot slot zorg je ervoor dat je periodiek controleert of je nog voldoet aan je eigen beleid.

Welke hulp heb je nodig bij ISO 27001 certificering?

Heb je als organisatie nou hulp nodig bij het implementeren van de ISO 27001 norm of kun je dat zelf? Dat hangt van een aantal dingen af.

Het hangt ten eerste af van hoeveel ervaring heb jij binnen de organisatie al met het implementeren van ISO-normen? Heb je die niet, dan is het misschien fijn om een externe consultant in te schakelen die je helpt bij de implementatie.

Dat helpt ook bij het behoud van de voortgang. Het implementeren van ISO 27001 is misschien niet altijd de hoogste prioriteit bij de verschillende betrokken afdelingen. Er zijn altijd dingen die voorrang krijgen: klanten die hulp nodig hebben, projecten die aandacht nodig hebben. En het inschakelen van een consultant kan je helpen bij het houden van het tempo bij de implementatie.

Daarnaast hangt je hulpvraag ook af van je keuze om bijvoorbeeld een voorbeelddocumentatiepakket aan te schaffen. Een dergelijk pakket geeft al heel veel informatie en voorbeelddocumenten die je nodig hebt bij de implementatie. Feitelijk geeft zo’n pakket veel structuur die je helpt om de ISO 27001 zelfstandig in je organisatie te implementeren.

Interne betrokkenen bij ISO 27001 implementatie

Wie binnen je organisatie moet je nou betrekken bij de implementatie van ISO 27001?

Ten eerste is het heel belangrijk dat je directie  betrokken is. Dat is ook een belangrijke vereiste van de eisen die de ISO 27001 norm expliciet stelt. De directie moet een actieve rol hebben in het beheersen van informatiebeveiliging in de context van ISO 27001.

Daarnaast zijn er meer rollen binnen je organisatie die relevant zijn voor informatiebeveiliging. Heel vaak zien we dat een IT manager betrokken is, vanuit de technische aspecten van informatiebeveiliging. Daarnaast zien we ook vaak een HR manager. Die moet controleren wie er als werknemer de organisatie binnenkomt. Voor dergelijke ‘in en uit dienst' processen is die HR-manager dus belangrijk.

En tot slot zijn er vaak mensen betrokken die uitvoerend werk doen, zoals bijvoorbeeld het maken van back-ups en het inrichten daarvan. Uiteraard zijn dat ook mensen die je wil betrekken bij dit project.

Benodigde diensten bij ISO 27001 certificering

Welke externe diensten heb je nodig bij een ISO 27001 certificering? Wat je in ieder geval nodig hebt is een externe auditor. Dat is een partij die controleert of jij als organisatie uiteindelijk voldoet aan de eisen van ISO 27001.

Vanuit de ISO 27001 norm is een ander verplicht onderdeel een interne audit. ‘Intern’ klinkt wat verwarrend, want het lijkt erop te duiden dat je dit onderdeel intern kunt oppakken. In principe kan dat ook, maar dan heb je wel interne mensen nodig die de competenties hebben om interne audits uit te voeren. En die daar dus ook ervaring mee hebben.

Echter, veel organisaties die starten met ISO 27001 certificering hebben die ervaring nog niet. Dus wat veel organisaties doen, is de interne audit laten uitvoeren door een externe auditor. Dit is dan niet dezelfde partij die de echte externe audit uitvoert. Maar het is bijvoorbeeld een externe consultant die je helpt bij het implementeren van ISO 27001 en die ook de interne audit op zich neemt.

Tot slot vraagt één van de maatregelen uit de ISO 27001 normenset om een externe check op de technische beveiliging van jouw eigen ontwikkelde applicaties. Veel organisaties laten daarvoor een pen test uitvoeren. Is dat voor jou van toepassing, dan heb je daar natuurlijk ook een specialistische partij voor nodig.

Zijn alle ISO 27001 maatregelen verplicht?

Veel organisaties vragen zich af welke ISO 27001 maatregelen verplicht zijn om te implementeren. De norm bevat een bijlage, Annex A, met daarin een heel aantal maatregelen die je kunt implementeren. Die het doel hebben om daarmee je beveiligingsrisico's te verkleinen.

Toch zijn die maatregelen niet verplicht, het zijn meer suggesties. De norm zegt dat je risico's moet inventariseren en dat je maatregelen moet nemen om die risico's te beheersen. Maar je bent dus niet verplicht die gesuggereerde maatregelen te implementeren.

Wat wel verplicht is, is om voor al die maatregelen aan te geven waarom je ze implementeert. Bijvoorbeeld op basis van risico's die je ziet. En ook als je een maatregel niet implementeert, dat je aangeeft waarom je dat niet doet. Daarnaast ben je ook vrij om je eigen maatregelen te kiezen als jij die passender vindt om jouw geïdentificeerde risico's te beheersen.

Hoe verloopt een ISO 27001 certificeringsaudit?

Een externe auditor controleert of jij als organisatie voldoet aan alle eisen uit de ISO 27001 normenset. Dit is een certificerende instelling die tot doel heeft te controleren of je voldoet aan alle eisen. Dat gebeurt tijdens de certificeringsaudit, die uit twee onderdelen bestaat.

De eerste fase bestaat voor een groot deel uit het controleren van de aanwezige documentatie. Hierbij controleert de auditor of jouw organisatie alle verplichte documenten heeft die je moet hebben voor ISO 27001. En daarnaast ook of jij je verbeteringscyclus bent gestart waar dat nodig is.

In de praktijk komt het erop neer dat hij of zij beoordeelt of je een werkend proces hebt, een managementsysteem voor informatiebeveiliging (ISMS). Waarbij de volgende vragen aan bod komen:

  • Heb je een overzicht van alle betrokkenen van je organisatie?
  • Heb je alle risico's geïnventariseerd?
  • Heb je maatregelen genomen om die risico's te beheersen?
  • Heb je daar beleid voor geschreven?

In de tweede fase van de certificeringsaudit kijkt de audit niet alleen naar documentatie en het opgestelde beleid. Nu checkt de auditor ook of je het opgestelde beleid daadwerkelijk naleeft.

Lees ook: Experttips voor ISO 27001 implementatie

Over Ivar van Duuren

Ivar van Duuren is co-founder van ISOPlanner. Vanuit zijn achtergrond had hij ervaring met de versnipperde ISO-certificeringaanpak met losse documenten en de druk om dat binnen een bepaalde deadline te doen.

Een eenvoudiger systeem dat overzicht en inzicht gaf in de benodigde maatregelen en planning was het antwoord op deze frustratie. Door de unieke integratie met Microsoft Outlook en Microsoft Teams, biedt ISOPlanner een eenvoudig en overzichtelijk hulpmiddel tijdens certificeringstrajecten.

Meer tips over compliance automation?

Neem gerust contact met ons op. Wij denken graag met je mee!

Gerelateerde artikelen

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

Overweegt u uw organisatie te certificeren voor een ISO-norm? In dit artikel beantwoorden Maurice Pasman van Instant 27001 en Ivar van Duuren van ISOPlanner de meest gestelde vragen over ISO-certificering. 1. Wie zijn verantwoordelijk voor de implementatie van ISO...

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Hoe ziet een ISO 27001 certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van ISOPlanner Ivar van Duuren legt het uit. ISO 27001 certificering in een notendop.

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie

Kies je ervoor om de ISO 27001-normen te implementeren voor jouw organisatie? In dit artikel legt medeoprichter van ISOPlanner Ivar van Duuren alles uit over de voordelen, uitdagingen, duur en kosten van het implementeren van ISO 27001. Zo weet je wat je krijgt...

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie
Comments
security island

Kies jij ervoor om voor jouw organisatie de ISO 27001 normen te implementeren? In dit artikel legt co-founder van ISOPlanner Ivar van Duuren je alles uit over de voordelen, de uitdagingen, de duur en de kosten van implementatie van ISO 27001. Zodat je weet waar je aan begint en van dit project een succes kan maken!

De 3 voordelen van ISO 27001 certificering

Het belangrijkste voordeel van het halen van een ISO 27001 certificering is allereerst dat je het certificaat hebt. Want dat betekent dat je kan aantonen, ook richting bijvoorbeeld nieuwe klanten die het belangrijk vinden dat jij als leverancier goed omgaat met hun data, dat je goed omgaat met informatiebeveiliging.Daarbij kan het schelen dat je bij zo'n nieuwe klant misschien niet meer een uitgebreide informatiebeveiliging checklist hoeft in te vullen. Maar kan voldoen met het tonen van je certificaat.

Daaraan gerelateerd kan het ook het internationaal zakendoen makkelijker maken, want ISO is natuurlijk een internationale organisatie. En ISO 27001 is een internationaal erkend certificaat. Dus als je ook over de grens wilt ondernemen, kan het hebben van het certificaat dat een stuk makkelijker maken.

And, perhaps the most important benefit: implementing ISO 27001 makes you take information security much more seriously. No matter how well you are already doing as an organization, you will find that by implementing ISO 27001, the level of information security gets a whole lot better.

Lees ook: Voordelen van ISO 27001 voor cloud service bedrijven

Hoe lang duurt een ISO 27001 certificeringtraject?

Hoe lang duurt een ISO 27001 certificeringstraject? Dat kan behoorlijk verschillen. Veel organisaties doen daar zeker wel een jaar over. Andere organisaties zeggen: hier zetten we alle mensen op die we beschikbaar hebben. En die doen het dan in een half jaar.

Maak je nou gebruik van een applicatie die jou ook de documentatie aanlevert die je nodig hebt voor ISO 27001, dan kan het zo snel gaan als binnen drie maanden.

Lees ook: Stappenplan ISO 27001 certificering

Wat zijn de kosten van een ISO 27001 certificeringstraject?

Voor een ISO 27001 certificeringstraject heb je een aantal dingen nodig. Eén van de dingen die je in ieder geval nodig hebt is een certificatie-audit. Dus iemand die komt controleren of jij als organisatie voldoet aan de eisen van ISO 27001.

De kosten daarvan, die hangen natuurlijk erg af van de grootte van de organisatie. En ook van de vraag hoeveel vestigingen je als organisatie hebt. Maar voor een kleine organisatie moet je toch al snel rekenen met €15.000 over de periode van drie jaar.

Lees ook: Wat doet een auditor bij ISO certificering?

Daarnaast kun je ervoor kiezen om een consultant in te huren die jou gaat helpen bij de implementatie van ISO 27001. Ook daarvan kunnen de kosten natuurlijk behoorlijk variëren. Maar als uitgangspunt kun je rekenen met zo'n €10.000.

Tot slot wil je misschien software gebruiken die je helpt structuur aan te brengen. De kosten daarvan zijn over het algemeen beperkt. Je kunt al voor €1.500 per jaar goede managementsoftware krijgen.

En daarbinnen zou je ervoor kunnen kiezen om met die software ook een pakket aan documentatie aan te schaffen voor tussen de €2.000 - €4.000. Waarmee je heel veel documentatie krijgt die je nodig hebt. En waarmee je ook weer op een groot deel van de consultantskosten bespaart.

Lees ook: Tips bij risicobeheersing van bedrijfsmiddelen door ISO 27001

Wat is een ISMS?

ISMS staat voor Information Security Management System. En het is eigenlijk het geheel aan documentatie en taken en dingen die je vastlegt, waarmee je invulling geeft aan de eisen van ISO 27001. Dus ISMS is niet per se software, het is niet per se een bepaalde applicatie.

Het kan bijvoorbeeld een combinatie zijn van documenten en taken die verspreid zitten in je systeem. Maar dat geheel samen vormt dus eigenlijk je ISMS.

Je kunt er ook voor kiezen om software te gebruiken voor je ISMS. En dat heeft als voordeel dat je alle elementen samenbrengt. En dat je dus op één plek een overzicht hebt van je managementsysteem voor informatiebeveiliging.

Lees ook: Wat zijn de voordelen van ISMS-software?

Uitdagingen bij ISO 27001 implementatie

Waar lopen organisaties het meeste tegenaan bij het implementeren van ISO 27001? Eén is het behouden van voortgang in het project. Een project kan best wel een tijd duren, tussen de 3-12 maanden ruim genomen. Dus je moet ervoor zorgen dat je in die periode betrokken blijft en dat de voortgang behouden blijft. Dat kan heel lastig zijn.

Het tweede wat lastig kan zijn bij de implementatie van ISO 27001 is het betrekken van al je medewerkers die hier een rol in spelen. Zorgen dat ze de informatie krijgen die ze nodig hebben, dat ze doen wat ze moeten doen.

En tot slot, als je dan eenmaal het ISO 27001 certificaat gehaald hebt, dan kan het een uitdaging zijn om daarna de maatregelen bij te houden. Je moet controleren of beleid gevolgd wordt. Of technische dingen ingeregeld zijn zoals je hebt afgesproken. En om daar ook de voortgang in te houden, dat is een derde punt wat soms lastig is voor organisaties.

Moet je alle ISO 27001 maatregelen verplicht invoeren?

Zijn de maatregelen die zijn opgenomen in ISO 27001 verplicht te implementeren? Het korte antwoord is: nee.

Wat je verplicht bent te doen vanuit ISO 27001 is te bekijken welke risico's jij als organisatie ziet op het gebied van informatiebeveiliging. En vervolgens maatregelen nemen om die risico's te beperken. En daarbij is de suggestie dat je kijkt naar de lijst van maatregelen die zijn opgenomen in ISO 27001 om te beoordelen of je die kunt gebruiken.

Wat daarbij ook verplicht is, is aangeven waarom je de maatregel uit die lijst implementeert. Bijvoorbeeld omdat je een risico ziet, of omdat het een soort best practice is. En ook voor elke maatregel die je niet implementeert, ben je verplicht aan te geven waarom je die niet implementeert.

Maar in theorie kun je er dus voor kiezen om al die maatregelen niet te implementeren. En je eigen set van maatregelen samen te stellen en juist die te implementeren.

Wat zijn de voordelen van het gebruik van voorbeelddocumentatie?

Wat zijn de voordelen van het gebruik van voorbeelddocumentatie bij het implementeren van ISO 27001? Het eerste voordeel is dat je gewoon heel veel tijd bespaart. Want alle documenten die je nodig hebt voor ISO 27001 krijg je gewoon aangeleverd en die hoef je dus niet zelf te schrijven.

Dus tijd is een belangrijk voordeel. Wat je daarbij ook krijgt, is heel veel structuur. Dus die documentatie, en als je een goed pakket hebt, is dat niet gewoon een simpel lijstje met documenten. Maar is dat ook documentatie die in een structuur wordt aangeleverd. Waarbij je bijvoorbeeld weet welke voorbeeldrisico's horen bij welke maatregelen? Welk beleid hoort bij welke maatregelen? Dus alles wat bij elkaar hoort, is dan al aan elkaar gekoppeld. En dat geeft heel veel overzicht.

Het derde voordeel is dat je niet alleen tijd bespaart en dat overzicht hebt, maar ook heel veel rust. Omdat je een voorbeeld hebt waarvan je weet dat het al OK is. Dus je weet dat als we dit nou gewoon doen, dan is het voldoende. Je hoeft je dus nooit meer af te vragen: "Is dit eigenlijk wel genoeg?"

Over Ivar van Duuren

Ivar van Duuren is co-founder van ISOPlanner. Vanuit zijn achtergrond had hij ervaring met de versnipperde ISO-certificeringaanpak met losse documenten en de druk om dat binnen een bepaalde deadline te doen.

Een eenvoudiger systeem dat overzicht en inzicht gaf in de benodigde maatregelen en planning was het antwoord op deze frustratie. Door de unieke integratie met Microsoft Outlook en Microsoft Teams, biedt ISOPlanner een eenvoudig en overzichtelijk hulpmiddel tijdens certificeringstrajecten.

Meer tips over ISO 27001 certificatie?

Neem gerust contact met ons op. Wij denken graag met je mee!

Gerelateerde artikelen

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

Overweegt u uw organisatie te certificeren voor een ISO-norm? In dit artikel beantwoorden Maurice Pasman van Instant 27001 en Ivar van Duuren van ISOPlanner de meest gestelde vragen over ISO-certificering. 1. Wie zijn verantwoordelijk voor de implementatie van ISO...

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Hoe ziet een ISO 27001 certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van ISOPlanner Ivar van Duuren legt het uit. ISO 27001 certificering in een notendop.

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie

Kies je ervoor om de ISO 27001-normen te implementeren voor jouw organisatie? In dit artikel legt medeoprichter van ISOPlanner Ivar van Duuren alles uit over de voordelen, uitdagingen, duur en kosten van het implementeren van ISO 27001. Zo weet je wat je krijgt...

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten

De praktijk van compliance automation: uitdagingen, tips en KPI’s

De praktijk van compliance automation: uitdagingen, tips en KPI’s

De praktijk van compliance automation: uitdagingen, tips en KPI’s
Comments
security island

In de praktijk zien wij dat bedrijven vaak over meerdere systemen heen werken om te voldoen aan bepaalde compliance normen. Denk bijvoorbeeld aan het invoeren van een nieuwe medewerker in een HR-systeem.

Vaak begint het bij één HR-systeem, waarna de HR-medewerker per e-mail een andere collega vraagt een ticket aan te maken. Waarna die ander in het IT-ticketsysteem toegang aanvraagt voor bepaalde bedrijfsapplicaties. En veel zaken worden nog in Excel of andere werkdocumenten bijgehouden.

Foutgevoelig met herstelwerkzaamheden tot gevolg

Deze praktijksituatie is foutgevoelig, omdat processen over meerdere systemen gaan waarbij meerdere personen betrokken zijn. De kans dat iemand iets vergeet is groter, waardoor het resultaat niet altijd is wat het moet zijn.

Hierdoor is achteraf herstelwerk nodig en wordt de organisatie opgeschrikt door zaken die niet werken. Bij de invoer van een nieuwe medewerker is dat nog niet zo erg, maar als het gaat om informatiebeveiliging en kans op incidenten, is het al een heel ander verhaal.

De ideale wereld: automatische triggers en to-do’s

In een ideale wereld begint elk proces op een bepaalde vastgestelde plek. Bijvoorbeeld, die nieuwe medewerker of leverancier die de organisatie binnenkomt. Vervolgens lopen alle opeenvolgende stappen automatisch van het ene systeem naar het andere. 

Waarbij telkens als een medewerker iets moet doen, hij of zij getriggerd wordt op de plek waar hij al werkt. Bijvoorbeeld met een MS Teams notificatie. In de ideale wereld wordt het resultaat ook daar vastgelegd. En als iemand iets vergeet, wordt er een trigger gemaakt voor die persoon.

Wat levert compliance automation organisaties op?

Als organisaties zo hun processen automatiseren, besparen ze heel veel tijd. Medewerkers zijn een stuk minder tijd kwijt met heen-en-weer mailen en het controleren van dingen. In plaats daarvan is er een soepele flow, waarbij telkens de juiste persoon op het juiste moment wordt gevraagd om mee te werken aan het proces. Daardoor zie je ook dat de kwaliteit een stuk hoger is.

Bij hetzelfde voorbeeld van die nieuwe medewerker die in dienst komt, zien we dat dit proces snel is afgerond. En dat alle rechten op de juiste manier zijn ingericht op een effectieve manier. Zonder dat men dingen vergeet. Zodat medewerkers zich bezig kunnen houden met dat wat echt belangrijk is, namelijk toegang krijgen tot de juiste middelen. En dit alles vastgelegd op een plek waar je goed overzicht hebt over het resultaat.

Dit noemen we compliance automation.

Typische uitdagingen bij compliance automation

Waar organisaties mee te maken krijgen als ze van start gaan met compliance automation, is dat je natuurlijk wel een overzicht moet hebben van de processen die je wilt automatiseren. Het vraagt wat werk om dat goed in kaart te brengen. 

Wat helpt is om een systeem te hebben dat overzicht houdt over het resultaat van al die geautomatiseerde processen. Wil je bijvoorbeeld voldoen aan een norm voor informatiebeveiliging, dan heb je ook te maken met een auditor die één keer per jaar langskomt om te beoordelen of het allemaal goed gaat. En zelf wil je natuurlijk ook overzicht hebben.

En vervolgens moet je natuurlijk ook bekijken hoe je al die systemen waar je mee werkt kunt koppelen met elkaar en hoe je daar een soepele flow in maakt. Dat betekent ook dat je de in- of externe capaciteit moet hebben om die processen goed geautomatiseerd in te regelen.

Kortom, het is heel belangrijk om één systeem te hebben dat koppelt met al je andere systemen en geautomatiseerde processen.

Hoe zorg je ervoor dat je up-to-date blijft met de norm?

Het is natuurlijk één ding om een norm te implementeren. Dan heb je een traject van misschien drie maanden tot een jaar, waarbij je druk bezig bent met het vormgeven van het beleid en het implementeren van alle eisen die de norm aan je stelt.

Eigenlijk komt het echte werk daarna pas, want daarna moet je het bijhouden. Je hebt beleid opgesteld, maar hoe weet je nu dat het beleid ook daadwerkelijk wordt uitgevoerd?

Dus het is heel belangrijk dat je een systeem hebt waarbij je alle acties, ook de herhalende acties, kwijt kunt. En waarbij je ervoor zorgt dat die acties ook terechtkomen bij de juiste medewerkers op een plek waar ze al werken. Zodat ze niet hoeven in te loggen op weer een ander systeem waarvan ze het wachtwoord kwijtraken. Maar dat bijvoorbeeld in hun Microsoft Outlook taken terechtkomt zodat ze die op een snelle en handige manier kunnen afhandelen.

Op die manier zorg je dat je eenvoudiger up-to-date blijft met alles wat die norm van jouw organisatie en medewerkers vraagt.

Hoe meet je het succes van compliance automation initiatieven?

Je kunt het succes van compliance automation meten door te beoordelen hoeveel tijd een medewerker met het geautomatiseerde proces bespaart. Voordat je start met compliance automation breng je in kaart hoeveel fte bezig is met het proces. En achteraf check je: hoeveel extra tijd hebben medewerkers nu het proces automatisch en niet meer handmatig verloopt?

Of beoordeel de doorlooptijd van bepaalde processen. Bijvoorbeeld weer die nieuwe medewerker die in dienst komt. Hoe lang duurt dat hele proces nu, van het invoeren van persoonlijke gegevens tot het binnen hebben van de Verklaring Omtrent het Gedrag (VOG) en het hebben van toegang tot bepaalde bedrijfssystemen? Na de automatisering van het proces zie je hoeveel korter de doorlooptijd is geworden.  

Een derde graadmeter of Key Performance Indicator (KPI) is de kwaliteit van het proces of het foutpercentage. Hoe vaak gingen dingen in het verleden mis en hoe vaak was een herstelmaatregel nodig? Of werden dingen vergeten die eigenlijk wel nodig waren voor dat ene proces?

Meet je succes ook aan de hand van doelstellingen, bijvoorbeeld op het gebied van informatiebeveiliging. Denk dan aan het terugbrengen van het aantal incidenten als KPI.

Overzicht én voorbeelddocumentatie

ISOPlanner is in eerste instantie opgezet als applicatie om goed overzicht te houden over al het beleid en alle taken die er spelen rond het bijhouden van een ISO norm. Toch merkten we na een aantal succesvolle implementaties dat onze klanten ook behoefte hadden aan documentatie rondom een ISO norm. Bijvoorbeeld als ze starten met de ISO 27001 norm.

Daarvoor hebben we een partnership afgesloten met Instant27001, waardoor onze klanten dat hele pakket aan documentatie kunnen activeren binnen ISOPlanner. Daardoor hebben ze in één keer een gevuld managementsysteem, inclusief al het beleid en de processen die ze nodig hebben. Daarmee besparen ze ook heel veel tijd.

Praktijkvoorbeeld: gemeente en de BIO-norm

Een voorbeeld van deze samenwerking was voor een gemeente in Noord-Holland die wilde voldoen aan de BIO-norm, een informatiebeveiligingsnorm specifiek voor de overheid.

Door te werken met ISOPlanner en Instant27001 kregen zij de beschikking over heel veel templates voor beleid en processen. Deze hoefden ze zelf niet meer op te stellen. De templates werden geladen in het ISOPlanner systeem en op basis van de documentatie konden zij heel snel een start maken met invulling geven aan de compliance normen. Daarnaast kregen ze ook een heel goed overzicht in alle benodigde activiteiten en de status van uitvoering. Kortom, dit overzicht en de documentatie heeft ze heel veel werk bespaard en efficiëntie bezorgd.

Over Ivar van Duuren

Ivar van Duuren is co-founder van ISOPlanner. Vanuit zijn achtergrond had hij ervaring met de versnipperde ISO-certificeringaanpak met losse documenten en de druk om dat binnen een bepaalde deadline te doen.

Een eenvoudiger systeem dat overzicht en inzicht gaf in de benodigde maatregelen en planning was het antwoord op deze frustratie. Door de unieke integratie met Microsoft Outlook en Microsoft Teams, biedt ISOPlanner een eenvoudig en overzichtelijk hulpmiddel tijdens certificeringstrajecten.

Meer tips over compliance automation?

Neem gerust contact met ons op. Wij denken graag met je mee!

Gerelateerde artikelen

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

Overweegt u uw organisatie te certificeren voor een ISO-norm? In dit artikel beantwoorden Maurice Pasman van Instant 27001 en Ivar van Duuren van ISOPlanner de meest gestelde vragen over ISO-certificering. 1. Wie zijn verantwoordelijk voor de implementatie van ISO...

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Hoe ziet een ISO 27001 certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van ISOPlanner Ivar van Duuren legt het uit. ISO 27001 certificering in een notendop.

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie

Kies je ervoor om de ISO 27001-normen te implementeren voor jouw organisatie? In dit artikel legt medeoprichter van ISOPlanner Ivar van Duuren alles uit over de voordelen, uitdagingen, duur en kosten van het implementeren van ISO 27001. Zo weet je wat je krijgt...

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten