Informatiebeveiliging met ISOPlanner: bouwen op een solide fundering

maart 11, 2024

security island

Een advies dat we wel eens horen als het gaat om ISO-certificering, is dat elke ISO-implementatie maatwerk is. Aan de ene kant is dat is natuurlijk zo. Want elke organisatie is anders. Dus elke organisatie moet zelf heel goed kijken wat precies de context van de organisatie is. En welke risico's voor hen van toepassing zijn. En hoe je bepaalde maatregelen wil implementeren om die risico's te beheersen.

Aan de andere kant is het toch zo dat in de praktijk de risico's die organisaties zien op een abstract niveau, eigenlijk heel vaak hetzelfde zijn. Denk bijvoorbeeld aan het risico dat een mobiele telefoon verloren raakt, of een laptop in de trein blijft liggen. Dat heeft eigenlijk elke organisatie wel. En zo zijn er veel meer risico's te bedenken. Ook als het gaat om de implementatie van maatregelen om risico's te beperken, zijn het vaak dezelfde maatregelen bij iedere organisatie.

Dus je kunt heel goed een zelfde basis gebruiken voor de implementatie van ISO normen in verschillende organisaties. Hoe dat eruit ziet, lichten we hier toe in de vorm van drie praktijkvoorbeelden waarbij ISOPlanner de basis vormt.

ISO 27001 certificering binnen 3 maanden

Een grote multitechnische dienstverlener op het gebied van energie en communicatie met bijna 8.000 medewerkers verspreid over 41 locaties, had al een externe audit voor ISO 27001 certificering gepland. Ze waren intern echter nog lang niet klaar voor deze audit.

Toen deze klant ons inschakelde, moesten we plots onder hoge tijdsdruk de implementatie voor elkaar krijgen. Terwijl deze organisatie uit meerdere werkmaatschappijen bestond die zich in verschillende fases van implementatie bevonden. Ze hadden dus een oplossing nodig waarmee ze binnen hun Microsoft-omgeving voor al die verschillende werkmaatschappijen de implementatiestatus konden bijhouden.

Overzicht in implementatiestatus voor meerdere werkmaatschappijen

We hebben ISOPlanner als Information Security Management System (ISMS) uitgerold. Niet alleen zorgde dit voor een snelle implementatie van de ISO 27001 norm, maar het ISMS is ook geschikt om in de toekomst meerdere werkmaatschappijen aan te haken. Waarbij per werkmaatschappij een overzicht van de status van implementatie beschikbaar is. Ook is het eenvoudig andere normensets te implementeren, of een update van een bestaande normenset snel en gemakkelijk door te voeren.

Daarnaast leverden we een standaarddocumentatieset met beleid en voorbeelddocumenten aan die ze alleen nog maar op maat hoefden te maken voor hun specifieke situaties.

Deze twee oplossingen heeft deze klant ongelofelijk veel tijd bespaard. De hele implementatie vond plaats in slechts 3 maanden, waardoor ze uiteindelijk op tijd waren voor de al geplande audit.

CCV-pentestingcertificaat behalen met ISOPlanner

Dit voorbeeld gaat over een klant die andere bedrijven helpt om kwetsbaarheden op te sporen binnen de Microsoftomgeving, door bijvoorbeeld instellingen te detecteren die oneigenlijke toegang bieden tot derden. Daarnaast voert deze organisatie ook pentesten uit.

Deze opdrachtgever had de wens om voor hun pentesten het CCV-pentestingcertificaat te behalen, dé norm in deze vorm van security dienstverlening. En met de software van ISOPlanner kun je meer dan je organisatie certificeren voor ISO normen.

Want ISOPlanner is een open framework en is dusdanig opgezet dat het vele diverse en specifieke normensets kan verwerken. Het systeem biedt ruimte voor allerlei soorten certificeringstrajecten.

Onze oplossing voor deze klant was om ISOPlanner als Information Security Management System te implementeren. Dit bood hen de mogelijkheid om de maatregelen en het beleid uit de pentestingnorm overzichtelijk en snel door te voeren binnen hun organisatie.

Documentatie, beleid en maatregelen overzichtelijk gekoppeld

Niet alleen documentatie is gekoppeld aan maatregelen en beleid, ook is het eenvoudig de planning bij te houden. Dit maakte het mogelijk voor deze klant om goed overzicht te houden in de voortgang van het doorvoeren van alle maatregelen rondom deze CCV-pentestcertificering. En te zien welke taken bij welke medewerkers uitstonden.

Doorlopende bewijslast verzamelen voor ISAE 3402 verklaring

Tot slot een ander voorbeeld van een toepassing van ISOPlanner. Dit was voor een ICT-dienstverlener die werkplekbeheer en cloudoplossingen biedt. Zij wilden een ISAE 3402 verklaring bemachtigen voor hun organisatie. Dit is een niet-verplichte norm die doorlopend bewijs vraagt dat bepaalde technische maatregelen voortdurend goed geïmplementeerd zijn.

Het vraagt heel veel werk van ICT-medewerkers binnen de organisatie om steeds dat bewijs op te halen. De uitdaging waar deze organisatie tegenaan liep, was om overzicht te houden in de zware bewijslast. Wie moest wat doen, wanneer en waar leg je dat vast?

De oplossing was om ISOPlanner als Information Security Management System te implementeren, waarbij we de set van maatregelen van de ISAE 3402 norm kozen om door te voeren binnen de organisatie. Die set van controls kun je zelf kiezen en samenstellen binnen ISOPlanner. Waarna het heel eenvoudig is om periodieke controles uit te voeren en zicht te houden op het periodiek ophalen en opslaan van bewijs.

Overzicht van verzameld bewijs en taakverdeling binnen organisatie

Het biedt een hele laagdrempelige manier voor de mensen die de controles uitvoeren om dat gevraagde bewijs aan te leveren. Zo heb je op elk moment een goed overzicht van al het aangeleverde bewijs en waar eventuele taken belegd zijn binnen de organisatie.

Door ISOPlanner in te schakelen heeft deze organisatie nu een helder overzicht van alle geïmplementeerde controles, de status ervan en de planning van het uitvoerende werk. Ook koppelt ISOPlanner naar Outlook, zodat je eenvoudig taken in agenda’s inplant en bewijsmateriaal koppelt aan de betreffende taak of actie.

Dit geeft deze klant heel veel overzicht en structuur en bespaart intern ook veel tijd. Het geeft daarbij rust om in één oogopslag te zien of een taak is uitgevoerd. Handmatig Excellijstjes bijhouden is verleden tijd!

Meer tips over ISO certificering?

Neem gerust contact met ons op. Wij denken graag met je mee!

Gerelateerde artikelen

Tips voor security (risk) awareness bij informatiebeveiliging

Een van de belangrijkste aspecten van effectieve informatiebeveiliging is beveiligingsbewustzijn - het bewustzijn en de kennis van werknemers over beveiligingsrisico's en hoe deze te voorkomen. In dit artikel kom je meer te weten over wat beveiligingsbewustzijn is, wie de...

Alles wat je moet weten over een ISMS

Als beveiligingsmedewerker heb je de belangrijke taak om de informatiebeveiliging op orde te houden. Als je ISO-gecertificeerd wilt worden voor informatiebeveiliging binnen je organisatie, is het opzetten van een Information Security Management System (ISMS) een verplicht onderdeel.....

Alles over de BIV-classificatie bij informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid is een cruciaal onderdeel van elke organisatie. Het beschermt de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens. Maar hoe bepaal je welke maatregelen nodig zijn voor verschillende soorten informatie? In dit artikel gaan we dieper in op...

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten