ISO 27001 is een standaard die betrekking heeft op informatiebeveiliging. Het uitgangspunt van deze standaard is dat een organisatie een managementsysteem voor informatiebeveiliging (ISMS) moet opzetten. Dat beheersysteem moet ervoor zorgen dat de informatiebeveiliging adequaat is en voortdurend wordt verbeterd. De norm bestaat daarom uit een reeks vereisten waaraan het managementsysteem moet voldoen. Naast die vereisten voor het managementsysteem is er ook een bijlage die een reeks beheersmaatregelen identificeert. Die beheersmaatregelen zijn in feite onderwerpen, zoals „cryptografie”. Er staat niet precies wat je met cryptografie te maken hebt. Je moet gewoon nadenken over en beschrijven wat je met cryptografie doet. Een van de vereisten is dat de organisatie de beheersmaatregelen uit die bijlage gebruikt om te controleren of ze geen onderwerpen zijn vergeten bij het bedenken van hun eigen maatregelen om risico's te beheersen. Lees ook: Wanneer heb je een ISO 27001-certificering nodig?
Twee perspectieven op bedrijfsmiddelen
Als informatiebeveiliging nodig is, volgt al snel de vraag waar die informatie zich bevindt. En dus hoe je als organisatie omgaat met de systemen die die informatie bevatten. Zowel de informatie als de systemen kunnen bedrijfsmiddelen worden genoemd. De ISO 27001-norm heeft twee perspectieven als het gaat om het benoemen van activa.
- De eerste is binnen risicobeoordeling (standaardvereiste 6.1.2). Daar staat dat het zich moet concentreren op het identificeren van risico's gerelateerd aan informatie. Het is dus logisch om voor elk risico dat u identificeert ook te vermelden op welke informatie het risico betrekking heeft.
- Het tweede perspectief komt van een beheersmaatregel, nummer 5.9. Dit betreft de inventarisatie van informatie en andere gerelateerde activa.
Hierin staat dat een organisatie een inventaris van activa moet hebben en deze moet onderhouden. Waar elk activum een eigenaar heeft. Het idee hierachter is dat als je niet weet welke activa (inclusief informatie) je hebt, je ze niet kunt beschermen.
Overzicht van bedrijfsmiddelen gekoppeld aan risico's
Als het gaat om de vraag hoe informatie en andere activa moeten worden vastgelegd, is het het beste om de twee bovengenoemde aspecten afzonderlijk te beschouwen. Het is prima om de informatie te noemen waarop elk risico betrekking heeft. En bewaar ergens anders een of meer lijsten met activa.Met andere woorden, de informatie die onder risico's wordt genoemd, hoeft niet te worden gekoppeld aan het totale overzicht van activa waarin ook de eigenaren worden genoemd.Maar dit kan natuurlijk worden gedaan. Als je een overzicht maakt van informatie en andere activa waaraan risico's gekoppeld kunnen worden, zorgt dat voor extra structuur en overzicht. Je kunt dan nog beter zien welke risico's aan een bepaald activum zijn gekoppeld. Nog beter is het als je ook de relatie tussen activa kunt aangeven. Bijvoorbeeld: klantgegevens bevinden zich in een CRM-systeem dat op een bepaalde server draait. In combinatie met de classificatie van informatie kunt u afleiden hoe informatieactiva moeten worden beschermd. Isoplanner bevat alles wat u nodig hebt om bedrijfsmiddelen goed vast te leggen.
