5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie
Comments

Door

security island
Overweeg je jouw organisatie te certificeren voor een ISO norm? In dit artikel geven Maurice Pasman van Instant 27001 en Ivar van Duuren van ISOPlanner antwoord op de meestgestelde vragen over ISO certificering.

1. Wie zijn verantwoordelijk voor implementatie van ISO 27001?

In de norm staat dat de directie van een organisatie primair een verantwoordelijkheid heeft bij de informatiebeveiliging van de organisatie. Dit betekent enerzijds het beschikbaar stellen van budget en het goede voorbeeld geven. Maar in principe is het ook de bedoeling dat de directie één of meerdere medewerkers binnen de organisatie aanwijst die verantwoordelijkheid krijgen bij de implementatie van de norm.

De meest gebruikte rol is die van Information Security Officer (CISO). Deze persoon krijgt vaak de hoofdverantwoordelijkheid voor de implementatie van het Information Security Management Systeem (ISMS). Dat is niet degene die alles moet doen, maar die wel de verantwoordelijkheid krijgt vanuit het management. En de mogelijkheid om ook daadwerkelijk andere mensen erbij te betrekken en beslag te leggen op hun tijd.

Daarnaast zijn er andere mensen betrokken bij de implementatie. Denk bijvoorbeeld aan iemand van HR die kijkt of de verantwoordelijkheden, rechten en plichten ook goed zijn vastgelegd in de contracten. Ook mensen van softwareontwikkeling kijken idealiter mee of best practices op het gebied van secure development al zijn geïmplementeerd.

En bijvoorbeeld een software engineer die meekijkt of de inrichting van de cloud-omgeving goed verloopt. Dus naast de rol van Security Officer zijn er ook andere mensen binnen de organisatie betrokken bij ISO implementatie.

2. Kun je ISO 27001 en NEN 7510 samen implementeren?

Veel klanten vragen ons of het handig of mogelijk is om de organisatie tegelijkertijd te certificeren voor ISO 27001 en NEN 7510. Dat is inderdaad erg handig om te doen. Al was het alleen maar omdat de overlap van het Information Security Management System (ISMS) 100% is.

Niet bekend met NEN 7510? Dit is een Nederlandstalige norm op het gebied van informatiebeveiliging, specifiek voor de toepassing binnen de zorg. En het is ook een norm die een wettelijke verplichting heeft. Dus zorgaanbieders binnen Nederland hebben vanuit de wet de verplichting om NEN 7510 te implementeren. Dit moet je overigens niet verwarren met NEN 7510 certificering, want dat is niet verplicht. Toch zie je dat veel partijen in de zorg én hun dienstverleners vaak overgaan tot certificering, omdat dat de kroon is op hun werk.

3. Kun je ISO-maatregelen vervangen of negeren?

Als je kijkt naar de lijst van beheersmaatregelen uit de Annex A van de ISO 27001 of NEN 7510 norm en je staat niet achter de maatregelen, mag je dan andere maatregelen kiezen? Bijvoorbeeld omdat je die zelf wilt bedenken of omdat je een andere set maatregelen wilt gebruiken? Het korte antwoord is: Ja, dat mag.

De ISO norm geeft de in de Annex A een aantal suggesties voor maatregelen die je kunt gebruiken als een checklist. Om ervoor te zorgen dat je niets vergeet. Echter, de maatregelen die je uiteindelijk kiest, mogen overal vandaan komen. En als jij op een gegeven moment denkt: ik heb een extra maatregel nodig, dan zou het raar zijn als je die maatregel niet zou treffen.

Zet je die lijn voort, dan kun je ook besluiten dat je de hele lijst van maatregelen uit de Annex A niet passend vindt voor jouw organisatie. En dat je een andere set van voorbeeldmaatregelen gebruikt, bijvoorbeeld uit een andere ISO norm zoals de 27017 of 27018.

De norm wil ook dat je een Verklaring van Toepasselijkheid opstelt. In die Verklaring van Toepasselijkheid geef jij aan welke maatregelen jij hebt getroffen, maar moet je dus ook aangeven wat je hebt gedaan met de maatregelen uit Annex A. En op het moment dat jij besluit om de maatregelen uit de Annex A volledig te negeren en bijvoorbeeld de maatregelen uit de SIS-controls toe te passen, dan noem je in jouw Verklaring van Toepasselijkheid welke maatregelen uit de SIS-controls je dan wel gebruikt.

4. Is ISO 27001 ook voor kleine bedrijven geschikt?

Veel mensen denken dat ISO 27001 of ISO 9001 alleen voor hele grote organisaties geschikt is. Maar de norm is zodanig opgesteld dat dat onderscheid eigenlijk niet wordt gemaakt.

Sterker nog, als je de norm goed leest, dan worden er bijvoorbeeld eisen gesteld aan de documentatie die je als organisatie moet hebben. Daarbij wordt expliciet genoemd dat de hoeveelheid en de manier waarop die documentatie wordt bijgehouden, passend moet zijn bij de organisatie.

Dat laat nadrukkelijk de mogelijkheid open om voor een hele kleine organisaties ook het managementsysteem te implementeren. Zij het zonder een enorme stapel documentatie. Maar met gewoon wat kleinere beleidsdocumenten, wat simpeler processen. Dat maakt de norm prima toepasbaar voor een kleine organisatie.

5. Hoe lang moet een organisatie bestaan voor certificering?

Hoe lang een organisatie moet bestaan voor ISO certificering is een heel interessante vraag. Dat heeft te maken met het feit dat je tijdens een audit de auditor het gevoel wil geven dat de processen die je laat zien en het beleid dat je hebt geschreven, al een bepaalde periode leeft binnen je organisatie.

Dus een organisatie die net twee weken bestaat en waarvan het managementsysteem ook twee weken geleden is opgesteld, geeft de gemiddelde auditor niet het warme gevoel dat dit een goed geworteld systeem is.

Kijk je naar wat de norm erover zegt, dan staan daar geen harde tijdlijnen in. De norm zegt alleen maar dat een managementsysteem in aanmerking komt voor certificering als aantoonbaar alle onderdelen tenminste één keer zijn uitgevoerd (hoofdstuk 4 tot en met hoofdstuk 10).

Als alle onderdelen van de Plan-Do-Check-Act-cyclus tenminste één keer aantoonbaar zijn uitgevoerd, dan kun je het managementsysteem certificeren. In de praktijk merken we dat de meeste consultants en auditbureaus daarvoor toch wel een minimumtermijn van 3 maanden aanhouden. Maar die komt dus niet uit de norm.

Praktijkmissers bij ISO certificering

In de praktijk zien we nog veel situaties waarbij processen over meerdere systemen gaan en waarbij er meerdere mensen betrokken zijn. Er is dan geen goede overdracht van het ene systeem naar het andere. En wat daarbij mis kan gaan, is dat er gewoon dingen worden vergeten.

Dus iemand voert wel een medewerker in het HR-systeem in, maar vergeet een ander persoon te informeren dat er een ticket nodig is om bepaalde rechten toe te kennen aan die nieuwe medewerker.

Dan is het resultaat niet wat het moet zijn, waardoor er achteraf herstelwerk nodig is. En de organisatie wordt opgeschud met de vraag waarom iets niet werkt en wat is er misgegaan.

Hoe ziet een ideaal compliance proces eruit?

In een ideale wereld komt een nieuwe medewerker de organisatie binnen of is er een nieuwe leverancier. Waarbij het proces begint op het moment dat die nieuwe medewerker of leverancier ingevoerd wordt in het eerste systeem.

En waarbij alle vervolgstappen die uit dat ene proces voortvloeien, automatisch van het ene systeem naar het andere lopen. Waarbij telkens de medewerkers die iets moeten doen, worden getriggerd op de plek waar ze werken. Bijvoorbeeld met een Teamsnotificatie, dat er iets voor ze klaarstaat om te doen. En wordt er een stap overgeslagen, dan krijgt de betreffende persoon automatisch een notificatie of herinnering om het werk alsnog uit te voeren.

In de ideale wereld wordt het resultaat ook op een centrale plek vastgelegd in een systeem waar iedereen al mee werkt.

In 3 stappen compliance automation workflows instellen

Wil je compliance binnen jouw organisatie automatiseren? Hoe stel je dan die compliance automation workflows in en hoe onderhoud je die processen goed? Ten eerste is het belangrijk dat je ervoor zorgt dat je één systeem hebt waar je het resultaat in vastlegt van al die geautomatiseerde processen.

Ten tweede is het natuurlijk goed om in kaart te brengen welke processen je wilt automatiseren. En als je daar een beeld bij hebt, begin dan rustig met één proces. Een proces dat nu misschien het meeste werk kost in de organisatie. Of waar misschien de meeste fouten in gemaakt worden. Of waar je als organisatie het meeste last hebt van de fouten. En dan begin je met het automatiseren van dat eerste proces. Daarna pak je het volgende proces en zo bouw je rustig verder.

Tot slot is het van belang om te kijken welke systemen de processen raken. Welke systemen zijn bij de verschillende workflows betrokken? En welke mogelijkheden bieden die systemen om te koppelen en informatie te verzamelen in een centraal systeem, waardoor je overzicht houdt op alle processen?

Meer tips over ISO certificering?
Neem gerust contact met ons op. Wij denken graag met je mee!

Over Maurice Pasman van Instant 27001

Maurice Pasman is de oprichter van Instant 27001, die organisaties helpt bij het efficiënt implementeren van ISO 27001 door gebruik te maken van voorbeelddocumentatie en templates. Sinds de lancering in 2018 hielp Instant 27001 al meer dan 1.500 organisaties (in Nederland en daarbuiten) met het optimaliseren van hun informatiebeveiliging, het voorkomen van datalekken en het verbeteren van hun concurrentiepositie.

Over Ivar van Duuren

Ivar van Duuren is co-founder van ISOPlanner. Vanuit zijn achtergrond had hij ervaring met de versnipperde ISO-certificeringaanpak met losse documenten en de druk om dat binnen een bepaalde deadline te doen.

Een eenvoudiger systeem dat overzicht en inzicht gaf in de benodigde maatregelen en planning was het antwoord op deze frustratie. Door de unieke integratie met Microsoft Outlook en Microsoft Teams, biedt ISOPlanner een eenvoudig en overzichtelijk hulpmiddel tijdens certificeringstrajecten.

Gerelateerde artikelen

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Hoe ziet een ISO 27001 certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van ISOPlanner Ivar van Duuren legt het uit. ISO 27001 certificering in een notendop.

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie

Kies je ervoor om de ISO 27001-normen te implementeren voor jouw organisatie? In dit artikel legt medeoprichter van ISOPlanner Ivar van Duuren alles uit over de voordelen, uitdagingen, duur en kosten van het implementeren van ISO 27001. Zo weet je wat je krijgt...

De praktijk van compliance automation: uitdagingen, tips en KPI’s

De praktijk van compliance automation: uitdagingen, tips en KPI’s

In onze dagelijkse praktijk merken we dat bedrijven vaak met meerdere systemen werken om aan bepaalde compliance standaarden te voldoen. Denk bijvoorbeeld aan het invoeren van een nieuwe medewerker in een HR-systeem. Vaak begint het met één HR-systeem, waarna de HR-medewerker een ander...

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo
Comments

Door

security island
Hoe ziet een traject eruit als je gaat beginnen met je ISO 27001 certificering? Welke in- en externe mensen en hulpbronnen heb je nodig? En welke maatregelen zijn nu precies verplicht (of juist niet)? Co-founder van ISOPlanner Ivar van Duuren legt het uit.

ISO 27001 certificering in vogelvlucht

Om je kort mee te nemen in het hele proces, licht ik hier kort de belangrijkste stappen toe die je moet doorlopen. Een eerste stap om te starten met ISO certificering, is door te kijken naar de context van je organisatie. Welke partijen zijn er betrokken bij jou als organisatie? Denk bijvoorbeeld aan medewerkers, aandeelhouders, klanten, leveranciers en dat soort partijen. En wat verwachten die partijen van jou als het gaat om informatiebeveiliging?

De volgende stap is te kijken naar risico's. Welke risico's zie jij als organisatie op het gebied van informatiebeveiliging? En vervolgens ga je dan beleid je kiest de maatregelen waarmee je die risico's gaat beperken en hoe je die in je organisatie wilt implementeren. En tot slot zorg je ervoor dat je periodiek controleert of je nog voldoet aan je eigen beleid.

Welke hulp heb je nodig bij ISO 27001 certificering?

Heb je als organisatie nou hulp nodig bij het implementeren van de ISO 27001 norm of kun je dat zelf? Dat hangt van een aantal dingen af.

Het hangt ten eerste af van hoeveel ervaring heb jij binnen de organisatie al met het implementeren van ISO-normen? Heb je die niet, dan is het misschien fijn om een externe consultant in te schakelen die je helpt bij de implementatie.

Dat helpt ook bij het behoud van de voortgang. Het implementeren van ISO 27001 is misschien niet altijd de hoogste prioriteit bij de verschillende betrokken afdelingen. Er zijn altijd dingen die voorrang krijgen: klanten die hulp nodig hebben, projecten die aandacht nodig hebben. En het inschakelen van een consultant kan je helpen bij het houden van het tempo bij de implementatie.

Daarnaast hangt je hulpvraag ook af van je keuze om bijvoorbeeld een voorbeelddocumentatiepakket aan te schaffen. Een dergelijk pakket geeft al heel veel informatie en voorbeelddocumenten die je nodig hebt bij de implementatie. Feitelijk geeft zo’n pakket veel structuur die je helpt om de ISO 27001 zelfstandig in je organisatie te implementeren.

Interne betrokkenen bij ISO 27001 implementatie

Wie binnen je organisatie moet je nou betrekken bij de implementatie van ISO 27001?

Ten eerste is het heel belangrijk dat je directie  betrokken is. Dat is ook een belangrijke vereiste van de eisen die de ISO 27001 norm expliciet stelt. De directie moet een actieve rol hebben in het beheersen van informatiebeveiliging in de context van ISO 27001.

Daarnaast zijn er meer rollen binnen je organisatie die relevant zijn voor informatiebeveiliging. Heel vaak zien we dat een IT manager betrokken is, vanuit de technische aspecten van informatiebeveiliging. Daarnaast zien we ook vaak een HR manager. Die moet controleren wie er als werknemer de organisatie binnenkomt. Voor dergelijke ‘in en uit dienst' processen is die HR-manager dus belangrijk.

En tot slot zijn er vaak mensen betrokken die uitvoerend werk doen, zoals bijvoorbeeld het maken van back-ups en het inrichten daarvan. Uiteraard zijn dat ook mensen die je wil betrekken bij dit project.

Benodigde diensten bij ISO 27001 certificering

Welke externe diensten heb je nodig bij een ISO 27001 certificering? Wat je in ieder geval nodig hebt is een externe auditor. Dat is een partij die controleert of jij als organisatie uiteindelijk voldoet aan de eisen van ISO 27001.

Vanuit de ISO 27001 norm is een ander verplicht onderdeel een interne audit. ‘Intern’ klinkt wat verwarrend, want het lijkt erop te duiden dat je dit onderdeel intern kunt oppakken. In principe kan dat ook, maar dan heb je wel interne mensen nodig die de competenties hebben om interne audits uit te voeren. En die daar dus ook ervaring mee hebben.

Echter, veel organisaties die starten met ISO 27001 certificering hebben die ervaring nog niet. Dus wat veel organisaties doen, is de interne audit laten uitvoeren door een externe auditor. Dit is dan niet dezelfde partij die de echte externe audit uitvoert. Maar het is bijvoorbeeld een externe consultant die je helpt bij het implementeren van ISO 27001 en die ook de interne audit op zich neemt.

Tot slot vraagt één van de maatregelen uit de ISO 27001 normenset om een externe check op de technische beveiliging van jouw eigen ontwikkelde applicaties. Veel organisaties laten daarvoor een pen test uitvoeren. Is dat voor jou van toepassing, dan heb je daar natuurlijk ook een specialistische partij voor nodig.

Zijn alle ISO 27001 maatregelen verplicht?

Veel organisaties vragen zich af welke ISO 27001 maatregelen verplicht zijn om te implementeren. De norm bevat een bijlage, Annex A, met daarin een heel aantal maatregelen die je kunt implementeren. Die het doel hebben om daarmee je beveiligingsrisico's te verkleinen.

Toch zijn die maatregelen niet verplicht, het zijn meer suggesties. De norm zegt dat je risico's moet inventariseren en dat je maatregelen moet nemen om die risico's te beheersen. Maar je bent dus niet verplicht die gesuggereerde maatregelen te implementeren.

Wat wel verplicht is, is om voor al die maatregelen aan te geven waarom je ze implementeert. Bijvoorbeeld op basis van risico's die je ziet. En ook als je een maatregel niet implementeert, dat je aangeeft waarom je dat niet doet. Daarnaast ben je ook vrij om je eigen maatregelen te kiezen als jij die passender vindt om jouw geïdentificeerde risico's te beheersen.

Hoe verloopt een ISO 27001 certificeringsaudit?

Een externe auditor controleert of jij als organisatie voldoet aan alle eisen uit de ISO 27001 normenset. Dit is een certificerende instelling die tot doel heeft te controleren of je voldoet aan alle eisen. Dat gebeurt tijdens de certificeringsaudit, die uit twee onderdelen bestaat.

De eerste fase bestaat voor een groot deel uit het controleren van de aanwezige documentatie. Hierbij controleert de auditor of jouw organisatie alle verplichte documenten heeft die je moet hebben voor ISO 27001. En daarnaast ook of jij je verbeteringscyclus bent gestart waar dat nodig is.

In de praktijk komt het erop neer dat hij of zij beoordeelt of je een werkend proces hebt, een managementsysteem voor informatiebeveiliging (ISMS). Waarbij de volgende vragen aan bod komen:

  • Heb je een overzicht van alle betrokkenen van je organisatie?
  • Heb je alle risico's geïnventariseerd?
  • Heb je maatregelen genomen om die risico's te beheersen?
  • Heb je daar beleid voor geschreven?

In de tweede fase van de certificeringsaudit kijkt de audit niet alleen naar documentatie en het opgestelde beleid. Nu checkt de auditor ook of je het opgestelde beleid daadwerkelijk naleeft.

Lees ook: Experttips voor ISO 27001 implementatie

Over Ivar van Duuren

Ivar van Duuren is co-founder van ISOPlanner. Vanuit zijn achtergrond had hij ervaring met de versnipperde ISO-certificeringaanpak met losse documenten en de druk om dat binnen een bepaalde deadline te doen.

Een eenvoudiger systeem dat overzicht en inzicht gaf in de benodigde maatregelen en planning was het antwoord op deze frustratie. Door de unieke integratie met Microsoft Outlook en Microsoft Teams, biedt ISOPlanner een eenvoudig en overzichtelijk hulpmiddel tijdens certificeringstrajecten.

Meer tips over compliance automation?

Neem gerust contact met ons op. Wij denken graag met je mee!

Gerelateerde artikelen

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Hoe ziet een ISO 27001 certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van ISOPlanner Ivar van Duuren legt het uit. ISO 27001 certificering in een notendop.

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie

Kies je ervoor om de ISO 27001-normen te implementeren voor jouw organisatie? In dit artikel legt medeoprichter van ISOPlanner Ivar van Duuren alles uit over de voordelen, uitdagingen, duur en kosten van het implementeren van ISO 27001. Zo weet je wat je krijgt...

De praktijk van compliance automation: uitdagingen, tips en KPI’s

De praktijk van compliance automation: uitdagingen, tips en KPI’s

In onze dagelijkse praktijk merken we dat bedrijven vaak met meerdere systemen werken om aan bepaalde compliance standaarden te voldoen. Denk bijvoorbeeld aan het invoeren van een nieuwe medewerker in een HR-systeem. Vaak begint het met één HR-systeem, waarna de HR-medewerker een ander...

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie
Comments

Door

security island

Kies jij ervoor om voor jouw organisatie de ISO 27001 normen te implementeren? In dit artikel legt co-founder van ISOPlanner Ivar van Duuren je alles uit over de voordelen, de uitdagingen, de duur en de kosten van implementatie van ISO 27001. Zodat je weet waar je aan begint en van dit project een succes kan maken!

De 3 voordelen van ISO 27001 certificering

Het belangrijkste voordeel van het halen van een ISO 27001 certificering is allereerst dat je het certificaat hebt. Want dat betekent dat je kan aantonen, ook richting bijvoorbeeld nieuwe klanten die het belangrijk vinden dat jij als leverancier goed omgaat met hun data, dat je goed omgaat met informatiebeveiliging.Daarbij kan het schelen dat je bij zo'n nieuwe klant misschien niet meer een uitgebreide informatiebeveiliging checklist hoeft in te vullen. Maar kan voldoen met het tonen van je certificaat.

Daaraan gerelateerd kan het ook het internationaal zakendoen makkelijker maken, want ISO is natuurlijk een internationale organisatie. En ISO 27001 is een internationaal erkend certificaat. Dus als je ook over de grens wilt ondernemen, kan het hebben van het certificaat dat een stuk makkelijker maken.

En misschien wel het meest belangrijke voordeel: het implementeren van ISO 27001 zorgt er natuurlijk voor dat je veel serieuzer omgaat met informatiebeveiliging. Hoe goed je het nu ook al doet als organisatie, je zal merken dat door ISO 27001 te implementeren, het informatiebeveiligingsniveau echt nog een heel stuk beter wordt.

Lees ook: Voordelen van ISO 27001 voor cloud service bedrijven

Hoe lang duurt een ISO 27001 certificeringtraject?

Hoe lang duurt een ISO 27001 certificeringstraject? Dat kan behoorlijk verschillen. Veel organisaties doen daar zeker wel een jaar over. Andere organisaties zeggen: hier zetten we alle mensen op die we beschikbaar hebben. En die doen het dan in een half jaar. 

Maak je nou gebruik van een applicatie die jou ook de documentatie aanlevert die je nodig hebt voor ISO 27001, dan kan het zo snel gaan als binnen drie maanden.

Lees ook: Stappenplan ISO 27001 certificering

Wat zijn de kosten van een ISO 27001 certificeringstraject?

Voor een ISO 27001 certificeringstraject heb je een aantal dingen nodig. Eén van de dingen die je in ieder geval nodig hebt is een certificatie-audit. Dus iemand die komt controleren of jij als organisatie voldoet aan de eisen van ISO 27001.

De kosten daarvan, die hangen natuurlijk erg af van de grootte van de organisatie. En ook van de vraag hoeveel vestigingen je als organisatie hebt. Maar voor een kleine organisatie moet je toch al snel rekenen met €15.000 over de periode van drie jaar.

Lees ook: Wat doet een auditor bij ISO certificering?

Daarnaast kun je ervoor kiezen om een consultant in te huren die jou gaat helpen bij de implementatie van ISO 27001. Ook daarvan kunnen de kosten natuurlijk behoorlijk variëren. Maar als uitgangspunt kun je rekenen met zo'n €10.000.

Tot slot wil je misschien software gebruiken die je helpt structuur aan te brengen. De kosten daarvan zijn over het algemeen beperkt. Je kunt al voor €1.500 per jaar goede managementsoftware krijgen.

En daarbinnen zou je ervoor kunnen kiezen om met die software ook een pakket aan documentatie aan te schaffen voor tussen de €2.000 - €4.000. Waarmee je heel veel documentatie krijgt die je nodig hebt. En waarmee je ook weer op een groot deel van de consultantskosten bespaart.

Lees ook: Tips bij risicobeheersing van bedrijfsmiddelen door ISO 27001

Wat is een ISMS?

ISMS staat voor Information Security Management System. En het is eigenlijk het geheel aan documentatie en taken en dingen die je vastlegt, waarmee je invulling geeft aan de eisen van ISO 27001. Dus ISMS is niet per se software, het is niet per se een bepaalde applicatie.

Het kan bijvoorbeeld een combinatie zijn van documenten en taken die verspreid zitten in je systeem. Maar dat geheel samen vormt dus eigenlijk je ISMS.

Je kunt er ook voor kiezen om software te gebruiken voor je ISMS. En dat heeft als voordeel dat je alle elementen samenbrengt. En dat je dus op één plek een overzicht hebt van je managementsysteem voor informatiebeveiliging.

Lees ook: Wat zijn de voordelen van ISMS-software?

Uitdagingen bij ISO 27001 implementatie

Waar lopen organisaties het meeste tegenaan bij het implementeren van ISO 27001? Eén is het behouden van voortgang in het project. Een project kan best wel een tijd duren, tussen de 3-12 maanden ruim genomen. Dus je moet ervoor zorgen dat je in die periode betrokken blijft en dat de voortgang behouden blijft. Dat kan heel lastig zijn. 

Het tweede wat lastig kan zijn bij de implementatie van ISO 27001 is het betrekken van al je medewerkers die hier een rol in spelen. Zorgen dat ze de informatie krijgen die ze nodig hebben, dat ze doen wat ze moeten doen.

En tot slot, als je dan eenmaal het ISO 27001 certificaat gehaald hebt, dan kan het een uitdaging zijn om daarna de maatregelen bij te houden. Je moet controleren of beleid gevolgd wordt. Of technische dingen ingeregeld zijn zoals je hebt afgesproken. En om daar ook de voortgang in te houden, dat is een derde punt wat soms lastig is voor organisaties. 

Moet je alle ISO 27001 maatregelen verplicht invoeren?

Zijn de maatregelen die zijn opgenomen in ISO 27001 verplicht te implementeren? Het korte antwoord is: nee.

Wat je verplicht bent te doen vanuit ISO 27001 is te bekijken welke risico's jij als organisatie ziet op het gebied van informatiebeveiliging. En vervolgens maatregelen nemen om die risico's te beperken. En daarbij is de suggestie dat je kijkt naar de lijst van maatregelen die zijn opgenomen in ISO 27001 om te beoordelen of je die kunt gebruiken.

Wat daarbij ook verplicht is, is aangeven waarom je de maatregel uit die lijst implementeert. Bijvoorbeeld omdat je een risico ziet, of omdat het een soort best practice is. En ook voor elke maatregel die je niet implementeert, ben je verplicht aan te geven waarom je die niet implementeert.

Maar in theorie kun je er dus voor kiezen om al die maatregelen niet te implementeren. En je eigen set van maatregelen samen te stellen en juist die te implementeren.

Wat zijn de voordelen van het gebruik van voorbeelddocumentatie?

Wat zijn de voordelen van het gebruik van voorbeelddocumentatie bij het implementeren van ISO 27001? Het eerste voordeel is dat je gewoon heel veel tijd bespaart. Want alle documenten die je nodig hebt voor ISO 27001 krijg je gewoon aangeleverd en die hoef je dus niet zelf te schrijven.

Dus tijd is een belangrijk voordeel. Wat je daarbij ook krijgt, is heel veel structuur. Dus die documentatie, en als je een goed pakket hebt, is dat niet gewoon een simpel lijstje met documenten. Maar is dat ook documentatie die in een structuur wordt aangeleverd. Waarbij je bijvoorbeeld weet welke voorbeeldrisico's horen bij welke maatregelen? Welk beleid hoort bij welke maatregelen? Dus alles wat bij elkaar hoort, is dan al aan elkaar gekoppeld. En dat geeft heel veel overzicht.

Het derde voordeel is dat je niet alleen tijd bespaart en dat overzicht hebt, maar ook heel veel rust. Omdat je een voorbeeld hebt waarvan je weet dat het al OK is. Dus je weet dat als we dit nou gewoon doen, dan is het voldoende. Je hoeft je dus nooit meer af te vragen: "Is dit eigenlijk wel genoeg?"

Over Ivar van Duuren

Ivar van Duuren is co-founder van ISOPlanner. Vanuit zijn achtergrond had hij ervaring met de versnipperde ISO-certificeringaanpak met losse documenten en de druk om dat binnen een bepaalde deadline te doen.

Een eenvoudiger systeem dat overzicht en inzicht gaf in de benodigde maatregelen en planning was het antwoord op deze frustratie. Door de unieke integratie met Microsoft Outlook en Microsoft Teams, biedt ISOPlanner een eenvoudig en overzichtelijk hulpmiddel tijdens certificeringstrajecten.

Meer tips over ISO 27001 certificatie?

Neem gerust contact met ons op. Wij denken graag met je mee!

Gerelateerde artikelen

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Hoe ziet een ISO 27001 certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van ISOPlanner Ivar van Duuren legt het uit. ISO 27001 certificering in een notendop.

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie

Kies je ervoor om de ISO 27001-normen te implementeren voor jouw organisatie? In dit artikel legt medeoprichter van ISOPlanner Ivar van Duuren alles uit over de voordelen, uitdagingen, duur en kosten van het implementeren van ISO 27001. Zo weet je wat je krijgt...

De praktijk van compliance automation: uitdagingen, tips en KPI’s

De praktijk van compliance automation: uitdagingen, tips en KPI’s

In onze dagelijkse praktijk merken we dat bedrijven vaak met meerdere systemen werken om aan bepaalde compliance standaarden te voldoen. Denk bijvoorbeeld aan het invoeren van een nieuwe medewerker in een HR-systeem. Vaak begint het met één HR-systeem, waarna de HR-medewerker een ander...

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten

De praktijk van compliance automation: uitdagingen, tips en KPI’s

De praktijk van compliance automation: uitdagingen, tips en KPI’s

De praktijk van compliance automation: uitdagingen, tips en KPI’s
Comments

Door

security island

In de praktijk zien wij dat bedrijven vaak over meerdere systemen heen werken om te voldoen aan bepaalde compliance normen. Denk bijvoorbeeld aan het invoeren van een nieuwe medewerker in een HR-systeem.

Vaak begint het bij één HR-systeem, waarna de HR-medewerker per e-mail een andere collega vraagt een ticket aan te maken. Waarna die ander in het IT-ticketsysteem toegang aanvraagt voor bepaalde bedrijfsapplicaties. En veel zaken worden nog in Excel of andere werkdocumenten bijgehouden.

Foutgevoelig met herstelwerkzaamheden tot gevolg

Deze praktijksituatie is foutgevoelig, omdat processen over meerdere systemen gaan waarbij meerdere personen betrokken zijn. De kans dat iemand iets vergeet is groter, waardoor het resultaat niet altijd is wat het moet zijn.

Hierdoor is achteraf herstelwerk nodig en wordt de organisatie opgeschrikt door zaken die niet werken. Bij de invoer van een nieuwe medewerker is dat nog niet zo erg, maar als het gaat om informatiebeveiliging en kans op incidenten, is het al een heel ander verhaal.

De ideale wereld: automatische triggers en to-do’s

In een ideale wereld begint elk proces op een bepaalde vastgestelde plek. Bijvoorbeeld, die nieuwe medewerker of leverancier die de organisatie binnenkomt. Vervolgens lopen alle opeenvolgende stappen automatisch van het ene systeem naar het andere. 

Waarbij telkens als een medewerker iets moet doen, hij of zij getriggerd wordt op de plek waar hij al werkt. Bijvoorbeeld met een MS Teams notificatie. In de ideale wereld wordt het resultaat ook daar vastgelegd. En als iemand iets vergeet, wordt er een trigger gemaakt voor die persoon.

Wat levert compliance automation organisaties op?

Als organisaties zo hun processen automatiseren, besparen ze heel veel tijd. Medewerkers zijn een stuk minder tijd kwijt met heen-en-weer mailen en het controleren van dingen. In plaats daarvan is er een soepele flow, waarbij telkens de juiste persoon op het juiste moment wordt gevraagd om mee te werken aan het proces. Daardoor zie je ook dat de kwaliteit een stuk hoger is.

Bij hetzelfde voorbeeld van die nieuwe medewerker die in dienst komt, zien we dat dit proces snel is afgerond. En dat alle rechten op de juiste manier zijn ingericht op een effectieve manier. Zonder dat men dingen vergeet. Zodat medewerkers zich bezig kunnen houden met dat wat echt belangrijk is, namelijk toegang krijgen tot de juiste middelen. En dit alles vastgelegd op een plek waar je goed overzicht hebt over het resultaat.

Dit noemen we compliance automation.

Typische uitdagingen bij compliance automation

Waar organisaties mee te maken krijgen als ze van start gaan met compliance automation, is dat je natuurlijk wel een overzicht moet hebben van de processen die je wilt automatiseren. Het vraagt wat werk om dat goed in kaart te brengen. 

Wat helpt is om een systeem te hebben dat overzicht houdt over het resultaat van al die geautomatiseerde processen. Wil je bijvoorbeeld voldoen aan een norm voor informatiebeveiliging, dan heb je ook te maken met een auditor die één keer per jaar langskomt om te beoordelen of het allemaal goed gaat. En zelf wil je natuurlijk ook overzicht hebben.

En vervolgens moet je natuurlijk ook bekijken hoe je al die systemen waar je mee werkt kunt koppelen met elkaar en hoe je daar een soepele flow in maakt. Dat betekent ook dat je de in- of externe capaciteit moet hebben om die processen goed geautomatiseerd in te regelen.

Kortom, het is heel belangrijk om één systeem te hebben dat koppelt met al je andere systemen en geautomatiseerde processen.

Hoe zorg je ervoor dat je up-to-date blijft met de norm?

Het is natuurlijk één ding om een norm te implementeren. Dan heb je een traject van misschien drie maanden tot een jaar, waarbij je druk bezig bent met het vormgeven van het beleid en het implementeren van alle eisen die de norm aan je stelt.

Eigenlijk komt het echte werk daarna pas, want daarna moet je het bijhouden. Je hebt beleid opgesteld, maar hoe weet je nu dat het beleid ook daadwerkelijk wordt uitgevoerd?

Dus het is heel belangrijk dat je een systeem hebt waarbij je alle acties, ook de herhalende acties, kwijt kunt. En waarbij je ervoor zorgt dat die acties ook terechtkomen bij de juiste medewerkers op een plek waar ze al werken. Zodat ze niet hoeven in te loggen op weer een ander systeem waarvan ze het wachtwoord kwijtraken. Maar dat bijvoorbeeld in hun Microsoft Outlook taken terechtkomt zodat ze die op een snelle en handige manier kunnen afhandelen.

Op die manier zorg je dat je eenvoudiger up-to-date blijft met alles wat die norm van jouw organisatie en medewerkers vraagt.

Hoe meet je het succes van compliance automation initiatieven?

Je kunt het succes van compliance automation meten door te beoordelen hoeveel tijd een medewerker met het geautomatiseerde proces bespaart. Voordat je start met compliance automation breng je in kaart hoeveel fte bezig is met het proces. En achteraf check je: hoeveel extra tijd hebben medewerkers nu het proces automatisch en niet meer handmatig verloopt?

Of beoordeel de doorlooptijd van bepaalde processen. Bijvoorbeeld weer die nieuwe medewerker die in dienst komt. Hoe lang duurt dat hele proces nu, van het invoeren van persoonlijke gegevens tot het binnen hebben van de Verklaring Omtrent het Gedrag (VOG) en het hebben van toegang tot bepaalde bedrijfssystemen? Na de automatisering van het proces zie je hoeveel korter de doorlooptijd is geworden.  

Een derde graadmeter of Key Performance Indicator (KPI) is de kwaliteit van het proces of het foutpercentage. Hoe vaak gingen dingen in het verleden mis en hoe vaak was een herstelmaatregel nodig? Of werden dingen vergeten die eigenlijk wel nodig waren voor dat ene proces?

Meet je succes ook aan de hand van doelstellingen, bijvoorbeeld op het gebied van informatiebeveiliging. Denk dan aan het terugbrengen van het aantal incidenten als KPI.

Overzicht én voorbeelddocumentatie

ISOPlanner is in eerste instantie opgezet als applicatie om goed overzicht te houden over al het beleid en alle taken die er spelen rond het bijhouden van een ISO norm. Toch merkten we na een aantal succesvolle implementaties dat onze klanten ook behoefte hadden aan documentatie rondom een ISO norm. Bijvoorbeeld als ze starten met de ISO 27001 norm.

Daarvoor hebben we een partnership afgesloten met Instant27001, waardoor onze klanten dat hele pakket aan documentatie kunnen activeren binnen ISOPlanner. Daardoor hebben ze in één keer een gevuld managementsysteem, inclusief al het beleid en de processen die ze nodig hebben. Daarmee besparen ze ook heel veel tijd.

Praktijkvoorbeeld: gemeente en de BIO-norm

Een voorbeeld van deze samenwerking was voor een gemeente in Noord-Holland die wilde voldoen aan de BIO-norm, een informatiebeveiligingsnorm specifiek voor de overheid.

Door te werken met ISOPlanner en Instant27001 kregen zij de beschikking over heel veel templates voor beleid en processen. Deze hoefden ze zelf niet meer op te stellen. De templates werden geladen in het ISOPlanner systeem en op basis van de documentatie konden zij heel snel een start maken met invulling geven aan de compliance normen. Daarnaast kregen ze ook een heel goed overzicht in alle benodigde activiteiten en de status van uitvoering. Kortom, dit overzicht en de documentatie heeft ze heel veel werk bespaard en efficiëntie bezorgd.

Over Ivar van Duuren

Ivar van Duuren is co-founder van ISOPlanner. Vanuit zijn achtergrond had hij ervaring met de versnipperde ISO-certificeringaanpak met losse documenten en de druk om dat binnen een bepaalde deadline te doen.

Een eenvoudiger systeem dat overzicht en inzicht gaf in de benodigde maatregelen en planning was het antwoord op deze frustratie. Door de unieke integratie met Microsoft Outlook en Microsoft Teams, biedt ISOPlanner een eenvoudig en overzichtelijk hulpmiddel tijdens certificeringstrajecten.

Meer tips over compliance automation?

Neem gerust contact met ons op. Wij denken graag met je mee!

Gerelateerde artikelen

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Hoe ziet een ISO 27001 certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van ISOPlanner Ivar van Duuren legt het uit. ISO 27001 certificering in een notendop.

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie

Kies je ervoor om de ISO 27001-normen te implementeren voor jouw organisatie? In dit artikel legt medeoprichter van ISOPlanner Ivar van Duuren alles uit over de voordelen, uitdagingen, duur en kosten van het implementeren van ISO 27001. Zo weet je wat je krijgt...

De praktijk van compliance automation: uitdagingen, tips en KPI’s

De praktijk van compliance automation: uitdagingen, tips en KPI’s

In onze dagelijkse praktijk merken we dat bedrijven vaak met meerdere systemen werken om aan bepaalde compliance standaarden te voldoen. Denk bijvoorbeeld aan het invoeren van een nieuwe medewerker in een HR-systeem. Vaak begint het met één HR-systeem, waarna de HR-medewerker een ander...

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten

Compliance automation: is jouw organisatie er klaar voor?

Compliance automation: is jouw organisatie er klaar voor?

Compliance automation: is jouw organisatie er klaar voor?
Comments

Door

security island

Wat is compliance automation precies? Waarom is het belangrijk voor bedrijven? En wat zijn er eigenlijk de voordelen van?

Wat is compliance automation?

Compliance betekent letterlijk naleving. Dus het gaat om het voldoen aan beleid dat je bijvoorbeeld zelf hebt opgesteld. Of misschien aan eisen die externe partijen aan je stellen. Het kan ook een framework voor informatiebeveiliging zijn waar je zelf aan wilt voldoen.

Automation betreft het automatiseren van die processen waarmee je zorgt dat dit beleid wordt nageleefd.

Het belang van compliance automation voor bedrijven

Compliance automation is belangrijk voor bedrijven omdat de gestelde eisen steeds meer toenemen. Want extern nemen de gestelde eisen toe. Maar ook bedrijven zelf vinden het steeds belangrijker dat bijvoorbeeld informatie binnen een bedrijf goed wordt beveiligd.

Daarvoor stellen bedrijven beleid op dat nageleefd moet worden. En al die steekproefcontroles om te checken of je beleid wordt nageleefd, kosten steeds meer tijd. En het wordt steeds foutgevoeliger.

Dus compliance automation is belangrijk om ervoor te zorgen dat de naleving van wet- en regelgeving beheersbaar blijft en dat de kwaliteit daarvan ook goed blijft.

De belangrijkste voordelen van compliance automation

Het belangrijkste voordeel van compliance automation is allereerst tijdbesparing.Het gaat dan om processen die je kunt automatiseren die anders door mensen worden uitgevoerd. En zeker als dat processen zijn die vaker plaatsvinden op periodieke basis. Dan kun je heel veel tijd besparen door die te automatiseren.

Een ander belangrijk voordeel van compliance automation is dat de kwaliteit van de naleving kwaliteit van de naleving toeneemt.Als je mensen checks laat doen, is de kans op fouten redelijk groot. Mensen zijn misschien afgeleid of hebben ander werk waar ze druk mee zijn. Dus er is sowieso een kans dat de controle niet wordt uitgevoerd. Maar er is ook een kans dat de controle niet volledig wordt uitgevoerd.

Dat los je op met compliance automation omdat je dan alle periodieke checks geautomatiseerd en steeds op dezelfde wijze uitvoert.

Hoe verbetert compliance automation de efficiency?

Compliance automation verbetert de efficiency doordat je processen altijd op dezelfde manier uitvoert zodat er geen fouten optreden. Zo heb je ook altijd hetzelfde resultaat.

Een andere manier waarop compliance automation de efficiency verbetert, is doordat je checks veel vaker kunt doen. Je kunt iemand bijvoorbeeld ieder kwartaal een controle laten uitvoeren omdat dat in het werkschema van die persoon past.

Maar als je zo'n proces automatiseert, dan kun je de controle net zo goed dagelijks uitvoeren. Zo kom je er ook veel sneller achter als beleid niet wordt gevolgd.

Hier vind je drie standaardsituaties die heel goed met compliance automation te verbeteren zijn.

1. Compliance automation bij nieuwe leveranciers

Een voorbeeld van een compliance proces dat je goed kunt automatiseren, is het aantrekken van nieuwe leveranciers. Want als er een nieuwe leverancier is, moeten er allerlei controles plaatsvinden. Om dat te automatiseren kun je op het moment dat een leverancier wordt toegevoegd in een ERP-systeem iets laten triggeren in onze applicatie ISOPlanner.

Waardoor iemand bijvoorbeeld checkt of de leverancier zelf een ISO-certificaat heeft, of data wel op de juiste locatie opslaat.

Zo'n taak kun je automatisch uitzetten bij zo'n persoon. Idealiter gebruik je daarbij communicatiekanalen zoals een Teams-melding voor een trigger, zodat je zeker weet dat die check wordt uitgevoerd. Want als dat niet gebeurt, dan levert dat weer een andere notificatie op bij een ander persoon.

2. Compliance automation bij het onboarden van nieuwe medewerkers

Een ander voorbeeld van een proces dat je goed kunt automatiseren, is het onboarden van nieuwe medewerkers. Voor iedere nieuwe medewerker die de organisatie binnenkomt, moet je een aantal dingen doen. Denk aan een background check, het opvragen van een Verklaring Goed Gedrag, of het aanmaken van bepaalde accounts.

Op het moment dat je een nieuwe medewerker aanmaakt in het systeem, kun je een trigger toevoegen die ervoor zorgt dat een collega een aantal controles uitvoert. Die daarna het resultaat vastlegt in een dossier om aan te tonen dat je de controle hebt uitgevoerd.

3. Compliance automation bij klanttevredenheid

Ook het opvragen van de klanttevredenheid is een proces dat je goed kunt automatiseren. Stuur je je klanten bijvoorbeeld enquêtes met de vraag hoe tevreden ze zijn met je diensten, dan sla je die informatie op in ISOPlanner. Zodat je ook over een langere periode inzicht hebt in de score die je klanten jou geven.

Daarbij is het relatief eenvoudig om een trigger in te stellen als de waarde onder een bepaald gemiddelde zakt. Zodat je actie kunt ondernemen om die tevredenheid te verhogen.

Is jouw organisatie klaar voor compliance automation?

Vraag je je wel eens af of jouw organisatie klaar is voor compliance automation? Bekijk dan eens hoeveel tijd het jullie nu kost om naleving van een bepaald beleid te waarborgen. Dus hoeveel tijd zijn medewerkers bezig met al die checks die ze periodiek moeten uitvoeren?

Ontdek je nu dat hier een behoorlijke tijdinvestering voor nodig is, dan is de conclusie dat je klaar bent om dergelijke processen te automatiseren. En daar dus tijdvoordeel mee te behalen.

Een andere indicatie is als je bemerkt dat medewerkers eigenlijk checks moeten doen, maar dat dit in de praktijk niet, te weinig of niet volledig gebeurt. Dat is ook een goede aanleiding om te starten met die procesautomatisering.

Tips bij het starten met compliance automation

Ga je aan de slag met compliance automation? Hou er dan rekening mee dat je organisatie de systemen heeft om te automatiseren.

Vaak wil je dan ook een systeem waarin je het resultaat vastlegt van al die checks die je doet. Denk bijvoorbeeld aan een systeem als dat van ISOPlanner. Daarmee haal je al die informatie op en leg je deze vast in dossiers. Het grote voordeel is dat je op deze manier ook aan een auditor kunt laten zien wat het resultaat is van al die geautomatiseerde processen.

Daarnaast heb je natuurlijk ook de mensen en capaciteit nodig om die processen te automatiseren. Het gaat dan om een ander soort werk dan het naleven zelf. Je hebt in- of externe mensen nodig die deze geautomatiseerde processen moeten inrichten.

Het is aan te raden om te starten met het inventariseren van welke processen nu handmatig plaatsvinden. Waar controleren mensen - periodiek of vaker - of iets nageleefd wordt? Denk aan het voorbeeld van onboarding van een nieuwe medewerker die een aantal fases doorloopt. Welke controles vinden handmatig plaats?

Daarnaast moet je weten welke van die stappen welke systemen raakt. En hoe je die systemen met elkaar verbindt.

Lees ook: De praktijk van compliance automation: uitdagingen, tips en KPI’s

Conclusie

Kortom, compliance automation is essentieel voor bedrijven die willen voldoen aan (veranderende) wet- en regelgeving op een efficiënte manier. Want de interne en externe informatiebeveiligingseisen worden steeds complexer. De belangrijkste voordelen van compliance automation zijn tijdbesparing en verbeterde kwaliteit van naleving.

Of jouw organisatie klaar is voor compliance automation hangt af van de hoeveelheid tijd die momenteel wordt besteed aan nalevingscontroles en of er ruimte is voor verbetering. Een goede aanpak is om te beginnen met het identificeren van processen die momenteel handmatig worden uitgevoerd en in kaart te brengen welke systemen hierbij betrokken zijn.

Over Ivar van Duuren

Ivar van Duuren is co-founder van ISOPlanner. Vanuit zijn achtergrond had hij ervaring met de versnipperde ISO-certificeringaanpak met losse documenten en de druk om dat binnen een bepaalde deadline te doen.

Een eenvoudiger systeem dat overzicht en inzicht gaf in de benodigde maatregelen en planning was het antwoord op deze frustratie. Door de unieke integratie met Microsoft Outlook en Microsoft Teams, biedt ISOPlanner een eenvoudig en overzichtelijk hulpmiddel tijdens certificeringstrajecten.

Meer tips over compliance automation?

Neem gerust contact met ons op. Wij denken graag met je mee!

Gerelateerde artikelen

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Hoe ziet een ISO 27001 certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van ISOPlanner Ivar van Duuren legt het uit. ISO 27001 certificering in een notendop.

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie

Kies je ervoor om de ISO 27001-normen te implementeren voor jouw organisatie? In dit artikel legt medeoprichter van ISOPlanner Ivar van Duuren alles uit over de voordelen, uitdagingen, duur en kosten van het implementeren van ISO 27001. Zo weet je wat je krijgt...

De praktijk van compliance automation: uitdagingen, tips en KPI’s

De praktijk van compliance automation: uitdagingen, tips en KPI’s

In onze dagelijkse praktijk merken we dat bedrijven vaak met meerdere systemen werken om aan bepaalde compliance standaarden te voldoen. Denk bijvoorbeeld aan het invoeren van een nieuwe medewerker in een HR-systeem. Vaak begint het met één HR-systeem, waarna de HR-medewerker een ander...

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten

7 Tips voor het opstellen van een autorisatiematrix

7 Tips voor het opstellen van een autorisatiematrix

7 Tips voor het opstellen van een autorisatiematrix
Comments

Door

security island
Een autorisatiematrix is een belangrijk instrument binnen organisaties om de toegangsrechten tot systemen en gegevens te beheren. Het geeft inzicht in wie welke rechten heeft en zorgt ervoor dat alleen geautoriseerde personen toegang hebben tot relevante informatie.

In dit artikel delen we tips voor het opstellen van een effectieve autorisatiematrix als onderdeel van het informatiebeveiligingsbeleid.

Wat is een autorisatiematrix?

Een autorisatiematrix is een document waarin de verschillende rollen en verantwoordelijkheden binnen een organisatie worden gekoppeld aan specifieke toegangsrechten. Het biedt een gestructureerd overzicht van wie welke handelingen mag uitvoeren en welke gegevens hij of zij kan benaderen of delen.

The importance of an authorization matrix

Het hebben van een goed doordachte autorisatiematrix brengt diverse voordelen met zich mee:

1. Informatieveiligheid

Door alleen de juiste personen toegang te geven tot specifieke informatie, minimaliseert een autorisatiematrix het risico op onbedoelde of kwaadwillige toegang tot gevoelige gegevens.

2. Compliance aan wet- en regelgeving

Een autorisatiematrix helpt je als gehele organisatie te voldoen aan wet- en regelgeving, zoals de Algemene Verordening Gegevensbescherming (AVG). Het zorgt ervoor dat alleen geautoriseerde personen toegang hebben tot persoonsgegevens.

3. Efficiëntie in werkprocessen

Door duidelijk vast te leggen wie welke taken mag uitvoeren, stroomlijn je de processen binnen je organisatie. Dit voorkomt dubbel werk en verhoogt de efficiëntie.

4. Transparantie van verantwoordelijkheden

Een autorisatiematrix zorgt voor transparantie binnen een organisatie. Iedereen weet welke rechten en verantwoordelijkheden bij elke rol horen, wat leidt tot een betere samenwerking en communicatie.

7 Tips voor het opstellen van een autorisatiematrix

Hier zijn 7 tips om een effectieve autorisatiematrix op te stellen:

1. Analyseer de rollen binnen de organisatie

Identificeer alle functies en rollen binnen de organisatie die toegangsrechten nodig hebben. Denk hierbij aan afdelingshoofden, teamleiders, medewerkers met specifieke taken en eventuele externe partijen.

2. Koppel specifieke taken aan elke rol

Bepaal welke taken en handelingen bij elke rol horen. Maak hierbij gebruik van input van de betreffende medewerkers om een zo accuraat mogelijk beeld te krijgen.

3. Definieer de benodigde toegangsrechten

Ga per rol na welke gegevens en systemen nodig zijn om de functie uit te voeren. Documenteer deze toegangsrechten nauwkeurig, inclusief eventuele beperkingen of uitzonderingen.

4. Leg verantwoordelijkheden vast

Beschrijf duidelijk wie verantwoordelijk is voor het onderhoud en actualiseren van de autorisatiematrix. Dit kan bijvoorbeeld een specifieke afdeling of persoon zijn.

5. Betrek alle stakeholders

Zorg ervoor dat alle relevante partijen betrokken zijn bij het opstellen van de autorisatiematrix. Denk aan IT-personeel, HR-medewerkers en leidinggevenden. Zo ontstaat er draagvlak en zie je belangrijke input niet over het hoofd.

6. Houd rekening met wijzigingen in rollen en functies

Organisaties zijn dynamisch en rollen kunnen veranderen. Zorg ervoor dat de autorisatiematrix flexibel genoeg is om wijzigingen snel door te voeren zonder afbreuk te doen aan veiligheid en compliance.

7. Evalueer regelmatig

Plan regelmatige evaluatiemomenten in om te controleren of de autorisatiematrix nog actueel is en aan de behoeften van jouw organisatie voldoet. Pas deze waar nodig aan.

Conclusie

Door het volgen van bovenstaande tips kun je een solide autorisatiematrix opstellen die zorgt voor een veilige, efficiënte en transparante gegevenstoegangscontrole binnen jouw organisatie.

Het hebben van een actuele autorisatiematrix is onderdeel van ISO 27001 – 2022 certificering. Deze certificering biedt een gedegen kader om aan alle wet- en regelgeving te voldoen en om gegevensbescherming naar een hoger plan te tillen.

Hulp nodig bij het implementeren van ISO 27001 certificering?

Heb je hulp nodig bij het nemen van maatregelen om aan de ISO 27001 certificering te voldoen? ISOPlanner voorkomt financiële en reputatieschade door organisaties op een laagdrempelige manier te helpen om aan steeds complexere wet- en regelgeving te voldoen.

Gerelateerde artikelen

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Hoe ziet een ISO 27001 certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van ISOPlanner Ivar van Duuren legt het uit. ISO 27001 certificering in een notendop.

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie

Kies je ervoor om de ISO 27001-normen te implementeren voor jouw organisatie? In dit artikel legt medeoprichter van ISOPlanner Ivar van Duuren alles uit over de voordelen, uitdagingen, duur en kosten van het implementeren van ISO 27001. Zo weet je wat je krijgt...

De praktijk van compliance automation: uitdagingen, tips en KPI’s

De praktijk van compliance automation: uitdagingen, tips en KPI’s

In onze dagelijkse praktijk merken we dat bedrijven vaak met meerdere systemen werken om aan bepaalde compliance standaarden te voldoen. Denk bijvoorbeeld aan het invoeren van een nieuwe medewerker in een HR-systeem. Vaak begint het met één HR-systeem, waarna de HR-medewerker een ander...

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten