Tips bij risicobeheersing van bedrijfsmiddelen door ISO 27001

juni 19, 2023

security island
ISO 27001 is een norm die gaat over informatiebeveiliging. Uitgangspunt van deze norm is dat een organisatie een managementsysteem voor informatiebeveiliging (ISMS) moet opzetten. Dat managementsysteem moet ervoor zorgen dat de veiligheid van informatie voldoende is en steeds verbetert. De norm bestaat dan ook uit een reeks eisen waar het managementsysteem aan moet voldoen.

Naast die eisen aan het managementsysteem is er ook een bijlage waarin een reeks beheersmaatregelen wordt benoemd. Die beheersmaatregelen zijn eigenlijk onderwerpen, zoals ‘cryptografie’. Er staat niet in wat je precies moet doen met cryptografie. Alleen dat je moet bedenken en beschrijven wat je doet met cryptografie.

Eén van de eisen is dat de organisatie de beheersmaatregelen uit die bijlage gebruikt om te controleren of ze geen onderwerpen zijn vergeten bij het bedenken van hun eigen maatregelen om risico’s te beheersen.

Lees ook: Wanneer heb je ISO 27001 certificering nodig?

Twee invalshoeken voor bedrijfsmiddelen

Als er informatiebeveiliging nodig is, dan volgt al snel de vraag waar die informatie staat. En dus ook hoe je als organisatie omgaat met de systemen waar die informatie op staat. Zowel de informatie als de systemen zou je bedrijfsmiddelen (of assets) kunnen noemen.

De ISO 27001 norm kent twee invalshoeken als het gaat om het benoemen van bedrijfsmiddelen.

  1. De eerste is bij de risicobeoordeling (normeis 6.1.2). Daar staat dat deze zich moet richten op het identificeren van risico’s met betrekking tot informatie. Dus het is logisch om bij elk risico dat je identificeert ook te benoemen op welke informatie het risico betrekking heeft.
  2. De tweede invalshoek komt uit een beheersmaatregel, namelijk nummer 5.9. Dit betreft de inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen (inventory of information and associated assets).

Hierin staat dat een organisatie een overzicht van bedrijfsmiddelen moet hebben en deze moet onderhouden. Waarbij elk bedrijfsmiddel een eigenaar heeft. De gedachte hierachter is dat als je niet weet welke bedrijfsmiddelen (inclusief informatie) je hebt, je ze ook niet kan beschermen.

Overzicht bedrijfsmiddelen gekoppeld aan risico’s

Als het gaat om de vraag hoe je informatie en andere bedrijfsmiddelen vast moet leggen, kun je de twee hierboven genoemde aspecten het beste los van elkaar zien. Het is prima om bij elk risico de informatie te benoemen waar het betrekking op heeft. En ergens anders één of meer lijsten van bedrijfsmiddelen bij te houden.

Met andere woorden: de informatie benoemd bij risico’s hoeft geen koppeling te hebben met het totaaloverzicht van bedrijfsmiddelen waarin ook de eigenaren benoemd worden.

Maar dit kán natuurlijk wel. Als je een overzicht van informatie en andere bedrijfsmiddelen aanlegt waar risico’s aan te koppelen zijn, dan geeft dat extra structuur en overzicht. Zo zie je dan nog beter welke risico’s er aan een bepaald bedrijfsmiddel gekoppeld zijn.

Nog mooier is het als je ook de relatie tussen bedrijfsmiddelen kunt aangeven. Bijvoorbeeld: klantdata staat in een CRM systeem dat draait op een bepaalde server. In combinatie met het classificeren van informatie kun je hieruit herleiden hoe informatiedragers beschermd moeten worden.

ISOPlanner bevat alles wat je nodig hebt om bedrijfsmiddelen goed vast te leggen. Wil je precies weten hoe? Bekijk dan deze video: https://isoplanner.app/videos/assets/

Hulp nodig bij het implementeren van ISO 27001 certificering?

Heb je hulp nodig bij het nemen van maatregelen om aan de ISO 27001 certificering te voldoen? ISOPlanner voorkomt financiële en reputatieschade door organisaties op een laagdrempelige manier te helpen om aan steeds complexere wet- en regelgeving te voldoen.

Gerelateerde artikelen

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Hoe ziet een ISO 27001 certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van ISOPlanner Ivar van Duuren legt het uit. ISO 27001 certificering in een notendop.

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie

Kies je ervoor om de ISO 27001-normen te implementeren voor jouw organisatie? In dit artikel legt medeoprichter van ISOPlanner Ivar van Duuren alles uit over de voordelen, uitdagingen, duur en kosten van het implementeren van ISO 27001. Zo weet je wat je krijgt...

De praktijk van compliance automation: uitdagingen, tips en KPI’s

De praktijk van compliance automation: uitdagingen, tips en KPI’s

In onze dagelijkse praktijk merken we dat bedrijven vaak met meerdere systemen werken om aan bepaalde compliance standaarden te voldoen. Denk bijvoorbeeld aan het invoeren van een nieuwe medewerker in een HR-systeem. Vaak begint het met één HR-systeem, waarna de HR-medewerker een ander...

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten