Het implementeren van de ISO 27001 norm is niet een eenmalig project. Het is de start van een proces van continu verbeteren. Gek genoeg kan dit proces steeds leuker worden. Als organisatie ontwikkel je steeds meer helderheid, schrap en vereenvoudig je zaken. Hierdoor ga je steeds meer als een geoliede machine samenwerken. In dit artikel gaan wij in op de stappen die je moet doorlopen om je organisatie ISO 27001 gecertificeerd te krijgen. En geven wij voorbeelden van randvoorwaarden die je nodig hebt voor dit proces.

Lees ook: Wanneer heb je ISO 27001 certificering nodig?

Wat is ISO 27001?

ISO 27001 is een norm voor informatiebeveiliging die organisaties helpt hun vertrouwelijke gegevens te beschermen en het vertrouwen van hun klanten en belanghebbenden te behouden. Het beschrijft de vereisten voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS).

Stappen in het ISO 27001 certificeringsproces

Het implementeren van een ISO 27001 certificering kan een complex proces zijn. Voor een succesvolle implementatie is het belangrijk om elke stap in het certificeringsproces te begrijpen. Dit zijn de belangrijkste stappen.

1. Verkrijgen van commitment van het management

De eerste stap bestaat uit het verkrijgen van commitment van het senior management voor de implementatie van ISO 27001 certificering. Dit omvat onder andere begrip van de waarde en voordelen ervan en het opzetten van een projectteam om het overgangsproces te beheren. Ook is dit de fase waarin je middelen voor de opleiding van personeel toewijst en andere activiteiten opzet die verband houden met het bereiken van de certificering.

2. Bepalen van de reikwijdte van je ISMS

In dit stadium moet je een duidelijke definitie van het toepassingsgebied van jouw ISMS vaststellen. In deze fase bepaal je welke processen je opneemt in het systeem en welke gebieden en belanghebbenden bijzondere aandacht nodig hebben. Om deze belangrijke aspecten te inventariseren stellen veel organisaties een SWOT-analyse op die ingaat op de kansen, bedreigingen, sterktes en zwaktes van de organisatie. Een voorbeeld van een zwakte is ‘kleine organisatie zodat verantwoordelijkheden niet te verdelen zijn over veel medewerkers’.

3. Beoordeling van de huidige staat

In deze fase inventariseer je risico’s en zwakke punten, waarna je maatregelen kiest om die risico’s te beperken.

Lees ook: What does an auditor do for ISO certification?

4. Ontwikkeling van beleidsdocumenten

In deze fase geef je invulling aan de maatregelen uit fase 3. Zodra je eventuele hobbels hebt genomen, begin je met het ontwikkelen van beleidsdocumenten die duidelijk definiëren hoe je van plan bent deze kwesties in de toekomst aan te pakken als onderdeel van je ISMS-strategie. Deze documenten gaan in op zaken als incident response, toegangscontrole beleid en informatiebeleid in het algemeen.

Lees ook: Tips for creating an information security policy

5. Implementeren van controles

In deze fase voer je de benodigde acties daadwerkelijk uit. Denk aan uitvoering van het informatiebeleid, het installeren van nieuwe softwareoplossingen of het bijwerken van bestaande oplossingen. Ook het opleiden van medewerkers in het gebruik van nieuwe oplossingen en het bijwerken van documentatie valt hieronder.

6. Audit en controle op naleving

In dit stadium voeren externe auditors beoordelingen uit aan de hand van specifieke criteria van ISO 27001. Deze evaluaties zorgen ervoor dat alle acties correct zijn uitgevoerd. Ook controleert een auditor in deze fase of de maatregelen effectief genoeg zijn voor de beveiliging van gevoelige gegevens binnen het ecosysteem van je organisatie. Afhankelijk van hun bevindingen, bevelen auditors waar nodig corrigerende maatregelen aan of doen zij verdere aanbevelingen.

7. Certificering

Na het succesvol afronden van de audits, wordt je voorgedragen voor officiële ISO 27001 certificering bij geaccrediteerde instanties. Je hebt dan aangetoond hoe je als organisatie aan alle eisen en normen van ISO 27001 voldoet voordat je het certificaat ontvangt.

Hoe kies je de juiste certificeringsinstantie?

De keuze van de juiste certificeringsinstantie hangt af van verschillende factoren. Waaronder de omvang van het budget en de tijdlijn van het gewenste eindresultaat. Over het algemeen bieden gerenommeerde certificeringsinstanties vergelijkbare diensten aan, maar de kosten en de tijdlijn kunnen variëren.

Het verzekeren van de handhaving op lange termijn vereist voortdurende inspanningen, zowel intern als extern. Intern moet je processen eenmalig opzetten maar op termijn moet je bestaande processen regelmatig herzien en controleren. En extern moet je nauw samenwerken met de gekozen certificeringsinstantie om op de hoogte te blijven van de nieuwste industrienormen.

Welk hulpmiddel zet je in tijdens je ISO 27001 certificering?

Stel je voor: je hebt eindelijk alle regels en aanbevelingen van ISO 27001 geïmplementeerd. Maar dan gaat de verantwoordelijke compliance collega in je bedrijf weg. Wat achterblijft, is een map met Word en Excel bestanden waarvan niemand meer weet wat de samenhang is.

Periodiek uit te voeren acties staan in een sheet waar ook niemand meer naar kijkt.

In de praktijk betekent dit dat de nieuwe security officer opnieuw moet beginnen. Wij horen vaak dat deze situatie de aanleiding is om met ISOPlanner structuur in het certificeringsproces aan te brengen.

Dat is natuurlijk zonde. Voor het gehele certificeringsproces geldt dat het handig is als je een systeem hebt waarin je makkelijk verbanden legt. Door bijvoorbeeld beleid te koppelen aan normen. En door taken voor periodieke checks en reviews toe te wijzen aan collega’s. Zo hou je overzicht op de voortgang. Idealiter is dit alles geïntegreerd in de omgeving waar je toch al mee werkt: Microsoft 365.

Hulp nodig bij het implementeren van ISO 27001 certificering?

Heb je hulp nodig bij het nemen van maatregelen om aan de ISO 27001 certificering te voldoen? ISOPlanner voorkomt financiële en reputatieschade door organisaties op een laagdrempelige manier te helpen om aan steeds complexere wet- en regelgeving te voldoen.