Checklist ISO 27001 certificering

De NEN-EN-ISO 27001 norm omvat eisen waar een managementsysteem voor informatiebeveiliging aan moet voldoen, wil de organisatie tot certificering komen. Het is niet verplicht om u als organisatie te certificeren voor ISO 27001, maar het helpt u wel bij het opzetten van een managementsysteem voor informatiebeveiliging en het voldoen aan wet- en regelgeving omtrent bescherming persoonsgegevens.

Ook biedt het uw organisatie commerciële voordelen. Zo willen veel opdrachtgevers de garantie dat u zorgvuldig met gegevens omspringt en willen zij enkel zaken doen met ISO 27001 gecertificeerde organisaties.

De eerste stap in het behalen van uw ISO 27001 certificering is het doorgronden van de norm. Pas als u volledig begrijpt waar u aan moet voldoen en welke processen u moet inrichten, kunt u zich goed voorbereiden op certificering. U schaft de ISO 27001 norm aan op de website van NEN.

De norm is een document met alle eisen waaraan u moet voldoen voor certificering. Toch kan het lastig zijn om de eisen van de norm te vertalen naar uw organisatie. In deze checklist worden alle onderdelen van de norm uitgelegd zodat u deze doeltreffend kunt onderbrengen in uw organisatie. Vindt u het toch lastig om de norm te interpreteren? Bij het NEN worden trainingen in het verklaren van de norm gegeven.

De volgende stap in het opstellen van een managementsysteem voor informatiebeveiliging, is de risk assessment. U gaat in deze stap een methode vaststellen om risico’s op basis van criteria te wegen en beoordelen. Wanneer u dit doet, krijgt u een realistisch beeld van hoe groot de kans is dat risico’s zich zullen voordoen.

Ook krijgt u hierdoor een beeld wat de potentiële gevolgen van die risico’s mogelijk zijn. Door het toepassen van deze methode kunt u risiconiveaus vaststellen en deze ten opzichte van elkaar prioriteren. Het resultaat is een overzicht van de realistische bedreigingen als vertrekpunt om vervolgens geschikte maatregelen te kunnen treffen.

Met de behoeften, verwachtingen en eisen van uw belanghebbenden die u in de omgevingsanalyse in kaart heeft gebracht, gaat u in het risk treatment plan verder aan de slag. Als u doeltreffend risico’s wilt terugdringen en incidenten wilt voorkomen, moet u scherp hebben hoe u binnen de organisatie met risico’s omgaat.

In het risk treatment plan geeft u per risico de ernst van de situatie aan en documenteert u welke maatregelen genomen dienen te worden. Het gaat in dit geval om preventieve maatregelen: welke acties voert u uit om risico’s te voorkomen?

Door risico’s in kaart te brengen, maatregelen op te stellen en deze maatregelen te implementeren kunt u informatiebeveiligingsrisico’s sterk terugdringen.

Het statement of applicability is een verplicht onderdeel van het managementsysteem voor informatiebeveiliging. Om te voldoen aan de ISO 27001 certificeringseisen moet u een statement of applicability voor uw organisatie opstellen.

In dit document legt u vast welke punten uit annex A van de norm op uw organisatie van toepassing zijn. In annex A van de norm staan verschillende maatregelen omschreven. In het statement of applicability beargumenteert een organisatie welke maatregelen wel en welke niet op hen van toepassing zijn. Deze keuze kan onder andere worden gebaseerd op de eerder uitgevoerde risico-analyse.

Het opstellen van het statement of applicability is een tijdrovende klus, maar vormt de basis van uw managementsysteem voor informatiebeveiliging. Het is belangrijk kritisch te kijken waar voor uw organisatie de risico’s liggen en op welke vlakken u stappen moet zetten.

In de totaalanalyse brengt u uw bevindingen van het statement of applicability, de risk assessment fase en het risk treatment plan samen. Belangrijk is het hierbij kritisch te zijn: heeft u werkelijk ieder informatiebeveiligingsrisico binnen uw organisatie in kaart gebracht?

Ook is het in deze fase belangrijk uw continuity management vast te leggen. Continuity management houdt in dat u vastlegt hoe u en uw werknemers met onverwachte ontwrichtingen omgaan. Stel dat uw risicobeperkende maatregelen falen, wat doet u dan? Hoe wilt u dat uw werknemers handelen wanneer een risico zich toch voordoet?

Door vast te leggen welke acties in zo’n situatie genomen moeten worden, voorkomt u dat een risico verandert in een noodsituatie waarbij het managementsysteem voor informatiebeveiliging niet meer wordt gevolgd. In geval van paniek worden regels vaak niet meer even nauw opgevolgd, waardoor het managementsysteem voor informatiebeveiliging niet optimaal werkt en het beveiligen van persoonlijke gegevens misloopt. In deze fase benoemt u maatregelen die de beveiliging van gegevens moeten waarborgen in het geval van calamiteiten.

Op basis van alle voorgaande stappen heeft u duidelijk inzicht gekregen in aandachtspunten binnen uw organisatie op het gebied van informatiebeveiliging. De volgende stap is het opstellen van het informatiebeveiligingsbeleid.

In het beleid legt u vast hoe uw organisatie omgaat met informatiebeveiliging. Onder het informatiebeveiligingsbeleid valt het information security management system (ISMS). Hierin specificeert u welke maatregelen u neemt om informatie te beveiligen en risico’s terug te dringen. Op basis van uw vooronderzoek weet u precies op welke vlakken u maatregelen dient te nemen en processen moet inrichten.