Succesvol starten met ISO 27001 certificering doe je zo

januari 25, 2024

security island
Hoe ziet een traject eruit als je gaat beginnen met je ISO 27001 certificering? Welke in- en externe mensen en hulpbronnen heb je nodig? En welke maatregelen zijn nu precies verplicht (of juist niet)? Co-founder van ISOPlanner Ivar van Duuren legt het uit.

ISO 27001 certificering in vogelvlucht

Om je kort mee te nemen in het hele proces, licht ik hier kort de belangrijkste stappen toe die je moet doorlopen. Een eerste stap om te starten met ISO certificering, is door te kijken naar de context van je organisatie. Welke partijen zijn er betrokken bij jou als organisatie? Denk bijvoorbeeld aan medewerkers, aandeelhouders, klanten, leveranciers en dat soort partijen. En wat verwachten die partijen van jou als het gaat om informatiebeveiliging?

De volgende stap is te kijken naar risico's. Welke risico's zie jij als organisatie op het gebied van informatiebeveiliging? En vervolgens ga je dan beleid je kiest de maatregelen waarmee je die risico's gaat beperken en hoe je die in je organisatie wilt implementeren. En tot slot zorg je ervoor dat je periodiek controleert of je nog voldoet aan je eigen beleid.

Welke hulp heb je nodig bij ISO 27001 certificering?

Heb je als organisatie nou hulp nodig bij het implementeren van de ISO 27001 norm of kun je dat zelf? Dat hangt van een aantal dingen af.

Het hangt ten eerste af van hoeveel ervaring heb jij binnen de organisatie al met het implementeren van ISO-normen? Heb je die niet, dan is het misschien fijn om een externe consultant in te schakelen die je helpt bij de implementatie.

Dat helpt ook bij het behoud van de voortgang. Het implementeren van ISO 27001 is misschien niet altijd de hoogste prioriteit bij de verschillende betrokken afdelingen. Er zijn altijd dingen die voorrang krijgen: klanten die hulp nodig hebben, projecten die aandacht nodig hebben. En het inschakelen van een consultant kan je helpen bij het houden van het tempo bij de implementatie.

Daarnaast hangt je hulpvraag ook af van je keuze om bijvoorbeeld een voorbeelddocumentatiepakket aan te schaffen. Een dergelijk pakket geeft al heel veel informatie en voorbeelddocumenten die je nodig hebt bij de implementatie. Feitelijk geeft zo’n pakket veel structuur die je helpt om de ISO 27001 zelfstandig in je organisatie te implementeren.

Interne betrokkenen bij ISO 27001 implementatie

Wie binnen je organisatie moet je nou betrekken bij de implementatie van ISO 27001?

Ten eerste is het heel belangrijk dat je directie  betrokken is. Dat is ook een belangrijke vereiste van de eisen die de ISO 27001 norm expliciet stelt. De directie moet een actieve rol hebben in het beheersen van informatiebeveiliging in de context van ISO 27001.

Daarnaast zijn er meer rollen binnen je organisatie die relevant zijn voor informatiebeveiliging. Heel vaak zien we dat een IT manager betrokken is, vanuit de technische aspecten van informatiebeveiliging. Daarnaast zien we ook vaak een HR manager. Die moet controleren wie er als werknemer de organisatie binnenkomt. Voor dergelijke ‘in en uit dienst' processen is die HR-manager dus belangrijk.

En tot slot zijn er vaak mensen betrokken die uitvoerend werk doen, zoals bijvoorbeeld het maken van back-ups en het inrichten daarvan. Uiteraard zijn dat ook mensen die je wil betrekken bij dit project.

Benodigde diensten bij ISO 27001 certificering

Welke externe diensten heb je nodig bij een ISO 27001 certificering? Wat je in ieder geval nodig hebt is een externe auditor. Dat is een partij die controleert of jij als organisatie uiteindelijk voldoet aan de eisen van ISO 27001.

Vanuit de ISO 27001 norm is een ander verplicht onderdeel een interne audit. ‘Intern’ klinkt wat verwarrend, want het lijkt erop te duiden dat je dit onderdeel intern kunt oppakken. In principe kan dat ook, maar dan heb je wel interne mensen nodig die de competenties hebben om interne audits uit te voeren. En die daar dus ook ervaring mee hebben.

Echter, veel organisaties die starten met ISO 27001 certificering hebben die ervaring nog niet. Dus wat veel organisaties doen, is de interne audit laten uitvoeren door een externe auditor. Dit is dan niet dezelfde partij die de echte externe audit uitvoert. Maar het is bijvoorbeeld een externe consultant die je helpt bij het implementeren van ISO 27001 en die ook de interne audit op zich neemt.

Tot slot vraagt één van de maatregelen uit de ISO 27001 normenset om een externe check op de technische beveiliging van jouw eigen ontwikkelde applicaties. Veel organisaties laten daarvoor een pen test uitvoeren. Is dat voor jou van toepassing, dan heb je daar natuurlijk ook een specialistische partij voor nodig.

Zijn alle ISO 27001 maatregelen verplicht?

Veel organisaties vragen zich af welke ISO 27001 maatregelen verplicht zijn om te implementeren. De norm bevat een bijlage, Annex A, met daarin een heel aantal maatregelen die je kunt implementeren. Die het doel hebben om daarmee je beveiligingsrisico's te verkleinen.

Toch zijn die maatregelen niet verplicht, het zijn meer suggesties. De norm zegt dat je risico's moet inventariseren en dat je maatregelen moet nemen om die risico's te beheersen. Maar je bent dus niet verplicht die gesuggereerde maatregelen te implementeren.

Wat wel verplicht is, is om voor al die maatregelen aan te geven waarom je ze implementeert. Bijvoorbeeld op basis van risico's die je ziet. En ook als je een maatregel niet implementeert, dat je aangeeft waarom je dat niet doet. Daarnaast ben je ook vrij om je eigen maatregelen te kiezen als jij die passender vindt om jouw geïdentificeerde risico's te beheersen.

Hoe verloopt een ISO 27001 certificeringsaudit?

Een externe auditor controleert of jij als organisatie voldoet aan alle eisen uit de ISO 27001 normenset. Dit is een certificerende instelling die tot doel heeft te controleren of je voldoet aan alle eisen. Dat gebeurt tijdens de certificeringsaudit, die uit twee onderdelen bestaat.

De eerste fase bestaat voor een groot deel uit het controleren van de aanwezige documentatie. Hierbij controleert de auditor of jouw organisatie alle verplichte documenten heeft die je moet hebben voor ISO 27001. En daarnaast ook of jij je verbeteringscyclus bent gestart waar dat nodig is.

In de praktijk komt het erop neer dat hij of zij beoordeelt of je een werkend proces hebt, een managementsysteem voor informatiebeveiliging (ISMS). Waarbij de volgende vragen aan bod komen:

  • Heb je een overzicht van alle betrokkenen van je organisatie?
  • Heb je alle risico's geïnventariseerd?
  • Heb je maatregelen genomen om die risico's te beheersen?
  • Heb je daar beleid voor geschreven?

In de tweede fase van de certificeringsaudit kijkt de audit niet alleen naar documentatie en het opgestelde beleid. Nu checkt de auditor ook of je het opgestelde beleid daadwerkelijk naleeft.

Lees ook: Experttips voor ISO 27001 implementatie

Over Ivar van Duuren

Ivar van Duuren is co-founder van ISOPlanner. Vanuit zijn achtergrond had hij ervaring met de versnipperde ISO-certificeringaanpak met losse documenten en de druk om dat binnen een bepaalde deadline te doen.

Een eenvoudiger systeem dat overzicht en inzicht gaf in de benodigde maatregelen en planning was het antwoord op deze frustratie. Door de unieke integratie met Microsoft Outlook en Microsoft Teams, biedt ISOPlanner een eenvoudig en overzichtelijk hulpmiddel tijdens certificeringstrajecten.

Meer tips over compliance automation?

Neem gerust contact met ons op. Wij denken graag met je mee!

Gerelateerde artikelen

3 Experttips om ISO-normen efficiënt te implementeren

3 Experttips om ISO-normen efficiënt te implementeren

Als je een ISO-norm gaat implementeren, moet je nadenken over dingen die je moet regelen, zoals het plannen van een interne en een externe audit. Als je software ontwikkelt, moet je misschien een pentest doen om kwetsbaarheden te controleren. Daarnaast moet je...

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

Overweegt u uw organisatie te certificeren voor een ISO-norm? In dit artikel beantwoorden Maurice Pasman van Instant 27001 en Ivar van Duuren van ISOPlanner de meest gestelde vragen over ISO-certificering. 1. Wie zijn verantwoordelijk voor de implementatie van ISO...

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten