ISO 27001 is een norm die gaat over informatiebeveiliging. Uitgangspunt van deze norm is dat een organisatie een managementsysteem voor informatiebeveiliging (ISMS) moet opzetten. Dat managementsysteem moet ervoor zorgen dat de veiligheid van informatie voldoende is en steeds verbetert. De norm bestaat dan ook uit een reeks eisen waar het managementsysteem aan moet voldoen.

Naast die eisen aan het managementsysteem is er ook een bijlage waarin een reeks beheersmaatregelen wordt benoemd. Die beheersmaatregelen zijn eigenlijk onderwerpen, zoals ‘cryptografie’. Er staat niet in wat je precies moet doen met cryptografie. Alleen dat je moet bedenken en beschrijven wat je doet met cryptografie.

Eén van de eisen is dat de organisatie de beheersmaatregelen uit die bijlage gebruikt om te controleren of ze geen onderwerpen zijn vergeten bij het bedenken van hun eigen maatregelen om risico’s te beheersen.

Lees ook: Wanneer heb je ISO 27001 certificering nodig?

Twee invalshoeken voor bedrijfsmiddelen

Als er informatiebeveiliging nodig is, dan volgt al snel de vraag waar die informatie staat. En dus ook hoe je als organisatie omgaat met de systemen waar die informatie op staat. Zowel de informatie als de systemen zou je bedrijfsmiddelen (of assets) kunnen noemen.

De ISO 27001 norm kent twee invalshoeken als het gaat om het benoemen van bedrijfsmiddelen.

1. De eerste is bij de risicobeoordeling (normeis 6.1.2). Daar staat dat deze zich moet richten op het identificeren van risico’s met betrekking tot informatie. Dus het is logisch om bij elk risico dat je identificeert ook te benoemen op welke informatie het risico betrekking heeft.
2. De tweede invalshoek komt uit een beheersmaatregel, namelijk nummer 5.9. Dit betreft de inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen (inventory of information and associated assets).

Hierin staat dat een organisatie een overzicht van bedrijfsmiddelen moet hebben en deze moet onderhouden. Waarbij elk bedrijfsmiddel een eigenaar heeft. De gedachte hierachter is dat als je niet weet welke bedrijfsmiddelen (inclusief informatie) je hebt, je ze ook niet kan beschermen.

Overzicht bedrijfsmiddelen gekoppeld aan risico’s

Als het gaat om de vraag hoe je informatie en andere bedrijfsmiddelen vast moet leggen, kun je de twee hierboven genoemde aspecten het beste los van elkaar zien. Het is prima om bij elk risico de informatie te benoemen waar het betrekking op heeft. En ergens anders één of meer lijsten van bedrijfsmiddelen bij te houden.

Met andere woorden: de informatie benoemd bij risico’s hoeft geen koppeling te hebben met het totaaloverzicht van bedrijfsmiddelen waarin ook de eigenaren benoemd worden.

Maar dit kán natuurlijk wel. Als je een overzicht van informatie en andere bedrijfsmiddelen aanlegt waar risico’s aan te koppelen zijn, dan geeft dat extra structuur en overzicht. Zo zie je dan nog beter welke risico’s er aan een bepaald bedrijfsmiddel gekoppeld zijn.

Nog mooier is het als je ook de relatie tussen bedrijfsmiddelen kunt aangeven. Bijvoorbeeld: klantdata staat in een CRM systeem dat draait op een bepaalde server. In combinatie met het classificeren van informatie kun je hieruit herleiden hoe informatiedragers beschermd moeten worden.

ISOPlanner bevat alles wat je nodig hebt om bedrijfsmiddelen goed vast te leggen. Wil je precies weten hoe? Bekijk dan deze video: https://isoplanner.app/videos/assets/

Hulp nodig bij het implementeren van ISO 27001 certificering?

Heb je hulp nodig bij het nemen van maatregelen om aan de ISO 27001 certificering te voldoen? ISOPlanner voorkomt financiële en reputatieschade door organisaties op een laagdrempelige manier te helpen om aan steeds complexere wet- en regelgeving te voldoen.