5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

februari 22, 2024

security island
Overweeg je jouw organisatie te certificeren voor een ISO norm? In dit artikel geven Maurice Pasman van Instant 27001 en Ivar van Duuren van ISOPlanner antwoord op de meestgestelde vragen over ISO certificering.

1. Wie zijn verantwoordelijk voor implementatie van ISO 27001?

In de norm staat dat de directie van een organisatie primair een verantwoordelijkheid heeft bij de informatiebeveiliging van de organisatie. Dit betekent enerzijds het beschikbaar stellen van budget en het goede voorbeeld geven. Maar in principe is het ook de bedoeling dat de directie één of meerdere medewerkers binnen de organisatie aanwijst die verantwoordelijkheid krijgen bij de implementatie van de norm.

De meest gebruikte rol is die van Information Security Officer (CISO). Deze persoon krijgt vaak de hoofdverantwoordelijkheid voor de implementatie van het Information Security Management Systeem (ISMS). Dat is niet degene die alles moet doen, maar die wel de verantwoordelijkheid krijgt vanuit het management. En de mogelijkheid om ook daadwerkelijk andere mensen erbij te betrekken en beslag te leggen op hun tijd.

Daarnaast zijn er andere mensen betrokken bij de implementatie. Denk bijvoorbeeld aan iemand van HR die kijkt of de verantwoordelijkheden, rechten en plichten ook goed zijn vastgelegd in de contracten. Ook mensen van softwareontwikkeling kijken idealiter mee of best practices op het gebied van secure development al zijn geïmplementeerd.

En bijvoorbeeld een software engineer die meekijkt of de inrichting van de cloud-omgeving goed verloopt. Dus naast de rol van Security Officer zijn er ook andere mensen binnen de organisatie betrokken bij ISO implementatie.

2. Kun je ISO 27001 en NEN 7510 samen implementeren?

Veel klanten vragen ons of het handig of mogelijk is om de organisatie tegelijkertijd te certificeren voor ISO 27001 en NEN 7510. Dat is inderdaad erg handig om te doen. Al was het alleen maar omdat de overlap van het Information Security Management System (ISMS) 100% is.

Niet bekend met NEN 7510? Dit is een Nederlandstalige norm op het gebied van informatiebeveiliging, specifiek voor de toepassing binnen de zorg. En het is ook een norm die een wettelijke verplichting heeft. Dus zorgaanbieders binnen Nederland hebben vanuit de wet de verplichting om NEN 7510 te implementeren. Dit moet je overigens niet verwarren met NEN 7510 certificering, want dat is niet verplicht. Toch zie je dat veel partijen in de zorg én hun dienstverleners vaak overgaan tot certificering, omdat dat de kroon is op hun werk.

3. Kun je ISO-maatregelen vervangen of negeren?

Als je kijkt naar de lijst van beheersmaatregelen uit de Annex A van de ISO 27001 of NEN 7510 norm en je staat niet achter de maatregelen, mag je dan andere maatregelen kiezen? Bijvoorbeeld omdat je die zelf wilt bedenken of omdat je een andere set maatregelen wilt gebruiken? Het korte antwoord is: Ja, dat mag.

De ISO norm geeft de in de Annex A een aantal suggesties voor maatregelen die je kunt gebruiken als een checklist. Om ervoor te zorgen dat je niets vergeet. Echter, de maatregelen die je uiteindelijk kiest, mogen overal vandaan komen. En als jij op een gegeven moment denkt: ik heb een extra maatregel nodig, dan zou het raar zijn als je die maatregel niet zou treffen.

Zet je die lijn voort, dan kun je ook besluiten dat je de hele lijst van maatregelen uit de Annex A niet passend vindt voor jouw organisatie. En dat je een andere set van voorbeeldmaatregelen gebruikt, bijvoorbeeld uit een andere ISO norm zoals de 27017 of 27018.

De norm wil ook dat je een Verklaring van Toepasselijkheid opstelt. In die Verklaring van Toepasselijkheid geef jij aan welke maatregelen jij hebt getroffen, maar moet je dus ook aangeven wat je hebt gedaan met de maatregelen uit Annex A. En op het moment dat jij besluit om de maatregelen uit de Annex A volledig te negeren en bijvoorbeeld de maatregelen uit de SIS-controls toe te passen, dan noem je in jouw Verklaring van Toepasselijkheid welke maatregelen uit de SIS-controls je dan wel gebruikt.

4. Is ISO 27001 ook voor kleine bedrijven geschikt?

Veel mensen denken dat ISO 27001 of ISO 9001 alleen voor hele grote organisaties geschikt is. Maar de norm is zodanig opgesteld dat dat onderscheid eigenlijk niet wordt gemaakt.

Sterker nog, als je de norm goed leest, dan worden er bijvoorbeeld eisen gesteld aan de documentatie die je als organisatie moet hebben. Daarbij wordt expliciet genoemd dat de hoeveelheid en de manier waarop die documentatie wordt bijgehouden, passend moet zijn bij de organisatie.

Dat laat nadrukkelijk de mogelijkheid open om voor een hele kleine organisaties ook het managementsysteem te implementeren. Zij het zonder een enorme stapel documentatie. Maar met gewoon wat kleinere beleidsdocumenten, wat simpeler processen. Dat maakt de norm prima toepasbaar voor een kleine organisatie.

5. Hoe lang moet een organisatie bestaan voor certificering?

Hoe lang een organisatie moet bestaan voor ISO certificering is een heel interessante vraag. Dat heeft te maken met het feit dat je tijdens een audit de auditor het gevoel wil geven dat de processen die je laat zien en het beleid dat je hebt geschreven, al een bepaalde periode leeft binnen je organisatie.

Dus een organisatie die net twee weken bestaat en waarvan het managementsysteem ook twee weken geleden is opgesteld, geeft de gemiddelde auditor niet het warme gevoel dat dit een goed geworteld systeem is.

Kijk je naar wat de norm erover zegt, dan staan daar geen harde tijdlijnen in. De norm zegt alleen maar dat een managementsysteem in aanmerking komt voor certificering als aantoonbaar alle onderdelen tenminste één keer zijn uitgevoerd (hoofdstuk 4 tot en met hoofdstuk 10).

Als alle onderdelen van de Plan-Do-Check-Act-cyclus tenminste één keer aantoonbaar zijn uitgevoerd, dan kun je het managementsysteem certificeren. In de praktijk merken we dat de meeste consultants en auditbureaus daarvoor toch wel een minimumtermijn van 3 maanden aanhouden. Maar die komt dus niet uit de norm.

Praktijkmissers bij ISO certificering

In de praktijk zien we nog veel situaties waarbij processen over meerdere systemen gaan en waarbij er meerdere mensen betrokken zijn. Er is dan geen goede overdracht van het ene systeem naar het andere. En wat daarbij mis kan gaan, is dat er gewoon dingen worden vergeten.

Dus iemand voert wel een medewerker in het HR-systeem in, maar vergeet een ander persoon te informeren dat er een ticket nodig is om bepaalde rechten toe te kennen aan die nieuwe medewerker.

Dan is het resultaat niet wat het moet zijn, waardoor er achteraf herstelwerk nodig is. En de organisatie wordt opgeschud met de vraag waarom iets niet werkt en wat is er misgegaan.

Hoe ziet een ideaal compliance proces eruit?

In een ideale wereld komt een nieuwe medewerker de organisatie binnen of is er een nieuwe leverancier. Waarbij het proces begint op het moment dat die nieuwe medewerker of leverancier ingevoerd wordt in het eerste systeem.

En waarbij alle vervolgstappen die uit dat ene proces voortvloeien, automatisch van het ene systeem naar het andere lopen. Waarbij telkens de medewerkers die iets moeten doen, worden getriggerd op de plek waar ze werken. Bijvoorbeeld met een Teamsnotificatie, dat er iets voor ze klaarstaat om te doen. En wordt er een stap overgeslagen, dan krijgt de betreffende persoon automatisch een notificatie of herinnering om het werk alsnog uit te voeren.

In de ideale wereld wordt het resultaat ook op een centrale plek vastgelegd in een systeem waar iedereen al mee werkt.

In 3 stappen compliance automation workflows instellen

Wil je compliance binnen jouw organisatie automatiseren? Hoe stel je dan die compliance automation workflows in en hoe onderhoud je die processen goed? Ten eerste is het belangrijk dat je ervoor zorgt dat je één systeem hebt waar je het resultaat in vastlegt van al die geautomatiseerde processen.

Ten tweede is het natuurlijk goed om in kaart te brengen welke processen je wilt automatiseren. En als je daar een beeld bij hebt, begin dan rustig met één proces. Een proces dat nu misschien het meeste werk kost in de organisatie. Of waar misschien de meeste fouten in gemaakt worden. Of waar je als organisatie het meeste last hebt van de fouten. En dan begin je met het automatiseren van dat eerste proces. Daarna pak je het volgende proces en zo bouw je rustig verder.

Tot slot is het van belang om te kijken welke systemen de processen raken. Welke systemen zijn bij de verschillende workflows betrokken? En welke mogelijkheden bieden die systemen om te koppelen en informatie te verzamelen in een centraal systeem, waardoor je overzicht houdt op alle processen?

Meer tips over ISO certificering?
Neem gerust contact met ons op. Wij denken graag met je mee!

Over Maurice Pasman van Instant 27001

Maurice Pasman is de oprichter van Instant 27001, die organisaties helpt bij het efficiënt implementeren van ISO 27001 door gebruik te maken van voorbeelddocumentatie en templates. Sinds de lancering in 2018 hielp Instant 27001 al meer dan 1.500 organisaties (in Nederland en daarbuiten) met het optimaliseren van hun informatiebeveiliging, het voorkomen van datalekken en het verbeteren van hun concurrentiepositie.

Over Ivar van Duuren

Ivar van Duuren is co-founder van ISOPlanner. Vanuit zijn achtergrond had hij ervaring met de versnipperde ISO-certificeringaanpak met losse documenten en de druk om dat binnen een bepaalde deadline te doen.

Een eenvoudiger systeem dat overzicht en inzicht gaf in de benodigde maatregelen en planning was het antwoord op deze frustratie. Door de unieke integratie met Microsoft Outlook en Microsoft Teams, biedt ISOPlanner een eenvoudig en overzichtelijk hulpmiddel tijdens certificeringstrajecten.

Gerelateerde artikelen

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Hoe ziet een ISO 27001 certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van ISOPlanner Ivar van Duuren legt het uit. ISO 27001 certificering in een notendop.

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie

Kies je ervoor om de ISO 27001-normen te implementeren voor jouw organisatie? In dit artikel legt medeoprichter van ISOPlanner Ivar van Duuren alles uit over de voordelen, uitdagingen, duur en kosten van het implementeren van ISO 27001. Zo weet je wat je krijgt...

De praktijk van compliance automation: uitdagingen, tips en KPI’s

De praktijk van compliance automation: uitdagingen, tips en KPI’s

In onze dagelijkse praktijk merken we dat bedrijven vaak met meerdere systemen werken om aan bepaalde compliance standaarden te voldoen. Denk bijvoorbeeld aan het invoeren van een nieuwe medewerker in een HR-systeem. Vaak begint het met één HR-systeem, waarna de HR-medewerker een ander...

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten