ISO 27001 Checklist

Inclusief PDF

ISO 27001 Checklist

De ISO/IEC 27001norm wordt wereldwijd erkend als één van de beste normen in informatiebeveiliging. Het is de ideale certificering voor bedrijven die hun informatiebeveiliging willen verbeteren en vertrouwen willen kweken bij hun klanten en belanghebbenden. Toch kent het behalen van een ISO 27001 certificering zekere uitdagingen.

En begin je aan een certificeringstraject, dan kost dat jou en je organisatie tijd.

Om je organisatie voor te bereiden op ISO 27001 certificering en jouw taken en verantwoordelijkheden te vereenvoudigen, hebben we een complete checklist gemaakt. Deze checklist omvat zowel belangrijke als minder belangrijke taken die essentieel zijn voor het certificeringsproces.

Complete ISO 27001 Checklist

De duur van de certificering hangt af van de omvang van je bedrijf en de complexiteit van je databeheer.

Over het algemeen is een klein tot middelgroot bedrijf binnen ongeveer 4 maanden klaar voor een audit. Grotere organisaties hebben vaak 6 maanden tot een jaar nodig om de certificering te behalen.Β 

β†’ Download de checklist onderaan de pagina.

ISO 27001 Checklist

1. Zorg voor commitment vanuit management

☐ Stel een ISO 27001 team aan
☐ Stel rollen en verantwoordelijkheden vast
☐ Creëer duidelijkheid over het mandaat van het project
☐ Kies je compliance software voor ISO 27001

2. Bepaal de scope van je project

☐ Bepaal welke processen je opneemt
☐ Beoordeel de huidige staat van je organisatie met een SWOT-analyse
☐ Bepaal alle relevante belanghebbenden en de wederzijdse verwachtingen rondom informatiebeveiliging
☐ Beschrijf de omvang van het beheersysteem voor informatiebeveiliging

3. Voer een risicobeoordeling uit en selecteer controles

☐ Identificeer potentiële risico's voor informatiebeveiliging
☐ Bepaal de waarschijnlijkheid dat beveiligingsrisico's zich voordoen
☐ Evalueer de potentiële impact van geïdentificeerde risico's
☐ Rangschik risico's op basis van de organisatiedoelstellingen
☐ Selecteer passende controles om alle risico's te behandelen

4. Maak beleidsregels en pas sjablonen aan

☐ Bekijk de geselecteerde controles en bepaal welk beleid en welke procedures hierbij horen
☐ Pas sjablonen aan met beleid, processen en taal die specifiek zijn voor jouw organisatie
☐ Rond beleid af en publiceer het

5. Vul een verklaring van toepasselijkheid (VvT) in

☐ Review the 93 controls of Annex A of the ISO 27001 standard
☐ Maak een lijst van alle controles in bijlage A en motiveer de opname of uitsluiting van elke controle in de ISMS-implementatie
☐ Genereer de Verklaring van Toepasselijkheid in je compliance software voor ISO 27001

6. Integreer ISO 27001 beleid en -controles in jouw organisatie

☐ Stel een communicatieplan op om gebruikers te informeren
☐ Deel beleid en hou beoordelingen van medewerkers bij
☐ Bewaak de effectiviteit van de maatregelen voortdurend

7. Teamleden voorlichten over ISO 27001

☐ Leid medewerkers op en train hen regelmatig rondom ISO 27001 en het ISMS
☐ Geef training over hoe te reageren op de meest voorkomende risico's
☐ Leer medewerkers welke disciplinaire maatregelen er volgen als ze zich niet aan de regels houden

8. Verzamelen van documentatie en bewijs

☐ Zorg voor toegang tot alle vereiste documenten en documenten tijdens de audit
☐ Bevestig dat je bewijs hebt van controletaken die zijn uitgevoerd in je ISO 27001 compliance software

9. Interne audit

☐ Stel de scope en methodologie van een interne audit vast (artikelen 4-10 en toepasselijke controles in bijlage A)
☐ Kies een onafhankelijke en objectieve auditor om de interne audit uit te voeren
☐ Stel de resultaten van de interne audit op en leg deze vast
☐ Verhelp eventuele interne auditbevindingen

10. Managementbeoordeling

☐ Verzamel alle informatie om te bespreken in een managementbeoordeling
☐ Plan de managementbeoordeling in het jaarplan in
☐ Voer de managementbeoordeling uit en sla de notities van de vergadering op

11. Fase 1-audit

☐ Selecteer een geaccrediteerde ISO 27001-auditor
☐ Voer een fase 1-audit uit die bestaat uit een uitgebreide beoordeling van documentatie
☐ Verzamel feedback over de bereidheid om over te stappen naar een fase 2-audit

12. Fase 2-audit

☐ Voer een fase 2-audit uit
☐ Implementeer fase 2-auditadvies
☐ Pak specifieke afwijkingen die zijn vastgesteld door de ISO 27001 auditor aan en leg deze vast

13. Latere audits en beoordelingen

☐ Hou jaarlijkse of driemaandelijkse managementevaluaties
☐ Plan een eerste- en tweedejaars toezichtsaudit in
☐ Vier jaarlijkse risicobeoordelingen uit
☐ Plan een vernieuwingsaudit in het derde jaar
☐ Waarborg voortdurende de effectiviteit van je beveiligingsdoelstellingen
☐ Zorg ervoor dat het senior management op de hoogte blijft
☐ Zorg voor snelle implementatie van aanpassingen om risico's of tekortkomingen aan te pakken

14. Doorlopende verbeteringen

☐ Spoor zwakke plekken in de beveiliging of bedreigingen onmiddellijk op en verhelp deze
☐ Hou non-conformiteiten en corrigerende maatregelen bij en documenteer deze

Eenvoudig Compliance Management in Microsoft 365

Trusted by over 300 companies

Zie ISOPlanner in actie

Boek een live demo of start je gratis proefperiode.