Hoe ziet een ISO 27001-certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van IsoPlanner Ivar van Duuren legt uit.
ISO 27001-certificering in een notendop
Om je een overzicht te geven van het hele proces leg ik hier kort de belangrijkste stappen uit die je moet nemen. De eerste stap om te beginnen met de ISO-certificering is om te kijken naar de context van je organisatie. Welke partijen zijn betrokken bij jou als organisatie? Denk aan werknemers, aandeelhouders, klanten, leveranciers en dergelijke partijen. En wat verwachten die partijen van jou als het gaat om informatiebeveiliging? De volgende stap is het bepalen van de risico's. Welke risico's ziet u als organisatie als het gaat om informatiebeveiliging? En dan begin je meestal met het formuleren van een beleid: je kiest voor de maatregelen die u gaat gebruiken om die risico's te beperken en hoe u ze in uw organisatie wilt implementeren. En tot slot zorg je ervoor dat je regelmatig controleren of u nog steeds aan dit beleid voldoet.
Welke hulp heb je nodig bij de ISO 27001-certificering?
Je vraagt je misschien af of je hulp nodig hebt bij het implementeren van de ISO 27001-norm of dat jij en je collega's dat zelf kunnen doen. Dit hangt van een paar dingen af. Ten eerste hangt het af van hoeveel ervaring je hebt binnen de organisatie al de implementatie van ISO-normen. Als je er geen hebt, dan is het misschien leuk om een externe consultant in te schakelen om je te helpen bij de implementatie. Dit helpt ook om de voortgang op peil te houden. De implementatie van ISO 27001 heeft misschien niet altijd de hoogste prioriteit voor de verschillende betrokken afdelingen. Er zijn altijd zaken die prioriteit hebben: klanten die hulp nodig hebben en projecten die aandacht nodig hebben. Het inschakelen van een consultant kan u helpen gelijke tred te houden met de implementatie. Daarnaast hangt uw behoefte aan hulp ook af van uw beslissing om een voorbeelddocumentatiepakket, bijvoorbeeld. Zo'n pakket bevat al veel informatie en voorbeelddocumenten die je nodig hebt tijdens de implementatie. Het biedt ook veel structuur die u zal helpen om ISO 27001 onafhankelijk in uw organisatie te implementeren.
Interne belanghebbenden bij de implementatie van ISO 27001
Dus wie binnen uw organisatie moet u betrekken bij de implementatie van ISO 27001? Ten eerste, jouw bestuur moet betrokken zijn. Dit is een belangrijke vereiste van de ISO 27001-norm. Het management moet een actieve rol spelen bij het beheersen van informatiebeveiliging in de context van ISO 27001.Daarnaast zijn meer rollen binnen uw organisatie relevant voor informatiebeveiliging. Heel vaak zien we een IT-manager betrokken, vanuit de technische aspecten van informatiebeveiliging. Daarnaast zien we ook vaak een HR-manager. Wie moet bepalen wie als werknemer de organisatie binnenkomt. Dus voor dergelijke „in en uit” processen is die HR-manager belangrijk. En tot slot zijn er vaak mensen betrokken die dat wel doen uitvoerend werk, zoals het maken van back-ups en het instellen ervan. Dit zijn ook mensen die je bij dit project wilt betrekken.
Vereiste diensten met ISO 27001-certificering
Welke externe diensten heb je nodig met een ISO 27001-certificering? Wat je in ieder geval nodig hebt is een externe accountant. Dit is een partij die controleert of je als organisatie uiteindelijk voldoet aan de eisen van ISO 27001.Uit de ISO 27001-norm is een ander verplicht onderdeel een interne audit. 'Internal' klinkt een beetje verwarrend, omdat het lijkt te impliceren dat je dit deel intern kunt oppakken. In principe kan dat, maar je hebt interne mensen nodig die over de competenties beschikken om interne audits uit te voeren. En die daar dus ervaring mee hebben. Veel organisaties die starten met een ISO 27001-certificering hebben die ervaring echter nog niet. Zoveel organisaties laten een interne audit uitvoeren door een externe auditor. Dit is niet dezelfde partij die de echte externe audit uitvoert. Maar in de meeste gevallen is dit een externe adviseur die u helpt bij de implementatie van ISO 27001 en die ook de interne audit op zich neemt. Tot slot vereist een van de maatregelen in de ISO 27001-norm een externe controle van de technische beveiliging van uw eigen ontwikkelde applicaties. Veel organisaties geven opdracht tot een pentest voor dit doel. Als dat voor jou geldt, heb je daar natuurlijk ook een gespecialiseerde partij voor nodig.
Zijn alle ISO 27001-maatregelen verplicht?
Veel organisaties vragen zich af welke ISO 27001-maatregelen verplicht zijn om te implementeren. De standaard bevat een bijlage, bijlage A, met veel maatregelen die u kunt implementeren. Deze maatregelen zijn bedoeld om uw veiligheidsrisico's te verminderen. Deze maatregelen zijn echter niet verplicht, het zijn slechts suggesties. De norm zegt dat je risico's moet identificeren en maatregelen moet nemen om die risico's te beheersen. Maar u bent niet verplicht om de voorgestelde maatregelen uit te voeren. Het is echter verplicht om aan te geven waarom u al deze maatregelen uitvoert. Bijvoorbeeld op basis van risico's die je ziet. Ook als u een maatregel niet uitvoert, geeft u uw redenering aan. U bent ook vrij om uw eigen maatregelen te nemen als u deze geschikter vindt om uw geïdentificeerde risico's te beheersen.
Hoe werkt een ISO 27001-certificeringsaudit?
Een externe auditor controleert of uw organisatie voldoet aan alle vereisten van de ISO 27001-normenset. Dit is een certificeringsorganisatie die tot doel heeft te verifiëren dat u aan alle vereisten voldoet. Dit gebeurt tijdens de certificeringsaudit, die uit twee delen bestaat. De eerste fase bestaat grotendeels uit de documentatie controleren op zijn plaats. De auditor controleert of uw organisatie beschikt over alle verplichte documenten die u nodig hebt voor ISO 27001. En ook of je waar nodig met je verbetercyclus bent begonnen. In de praktijk beoordeelt hij of zij een werkproces hebt, of een managementsysteem voor informatiebeveiliging (ISMS). Dat omvat de volgende vragen:
- Heb je een overzicht van alle belanghebbenden in je organisatie?
- Heb je alle risico's geïnventariseerd?
- Heb je maatregelen genomen om die risico's te beheersen?
- Heb je daarvoor een beleid uitgeschreven?
In de tweede fase van de certificeringsaudit kijkt de auditor niet alleen naar de documentatie en het beleid dat is geschreven. Nu controleert de auditor ook of u voldoen met het vastgestelde beleid. Lees ook: Tips van experts over de implementatie van ISO 27001
Over Ivar van Duuren
Ivar van Duuren is mede-oprichter van IsoPlanner. Hij heeft ervaring met de gefragmenteerde ISO-certificeringsaanpak met afzonderlijke documenten en de druk om dit binnen een bepaalde deadline te doen. Een eenvoudiger systeem dat een overzicht en inzicht gaf in de vereiste maatregelen en planning was het antwoord op deze frustratie. Met zijn unieke integratie met Microsoft Outlook en Microsoft Teams biedt IsoPlanner een eenvoudige en duidelijke tool tijdens certificeringsprocessen.
