Gaan voor een ISO 27001 certificering? XY Legal Solutions ondersteunt bij het opzetten van een ISMS. Lees hier meer over wat te doen!
Informatiebeveiliging: het is een ‘hot topic’. Zeker sinds inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG), zijn veel organisaties er zeer bewust mee bezig. En wilt u met uw organisatie aantonen dat u de zaken met betrekking tot informatiebeveiliging goed op orde heeft? Dan kan u kiezen om een managementsysteem voor informatiebeveiliging (Engelse afkorting die we hierna bezigen: ISMS) op te zetten, en dat ISO 27001 te laten certificeren.
XY Legal Solutions kan ondersteunen bij het opzetten van een ISMS. Ook adviseren wij en verstrekken we informatie over alles rondom de ISO 27001 en een ISMS.
Laten we in dat kader eerst eens uitleggen wat de ISO 27001 is, en daarna wat een ISMS is.
De ISO – International Organization for Standardization is een onafhankelijke, onpartijdige en deskundige instelling die de internationaal erkende certificering uitreikt. Middels het ISO/IEC 27001-certificaat kunnen organisaties aantonen dat ze serieus bezig zijn met informatiebeveiliging en professioneel omgaan met het verwerken van persoonsgegevens. Dit biedt vertrouwen en zekerheid aan opdrachtgevers, klanten, werknemers en andere belanghebbenden.
Een ISMS (Information Security Management System) is een managementsysteem voor informatiebeveiliging. Laten we die twee onderstreepte definities eens uitleggen.
Bij informatiebeveiliging (in het kader van de ISO 27001) gaat het om drie verschillende dimensies:
Zoals we eerder aangekaart hebben, heeft de AVG gezorgd voor meer ‘awareness’ rondom informatiebeveiliging. De AVG ziet toe op persoonsgegevens en niet per sé op informatiebeveiliging in het algemeen. Toch zien we wat gelijkenissen met de ISO 27001. Daarbij gaat artikel 32 AVG over het treffen van maatregelen (afgestemd op risico’s) om een bepaald beveiligingsniveau te waarborgen. Artikel 33 AVG gaat daarbij over het melden van een datalek. De Nederlandse Autoriteit Persoonsgegevens noemt daarbij drie categorieën datalekken:
Je ziet al snel dat dit overeenkomt met de dimensies van de ISO 27001.
Het is echter een misvatting dat AVG-conform werken betekent dat een organisatie eveneens ISO 27001-conform werkt. De ISO 27001 stelt veel bredere eisen.
Lees hier meer over (specifiek) AVG-implementatie.
De organisatie van toereikende informatiebeveiliging wordt steeds complexer. Een systematische aanpak van informatiebeveiliging is daarmee noodzaak geworden. Een zogeheten ‘managementsysteem’ (voor informatiebeveiliging, ISMS) is daarbij een sterke manier om dit te bewerkstelligen. Een ISMS is een systeem dat helpt bij de implementatie, controle, beoordeling, uitvoering, verbetering en het onderhoud van informatiebeveiliging voor uw organisatie. Over het algemeen wordt bij de inrichting van het managementsysteem de Plan–Do-Check-Act (PDCA)-cirkel (de kwaliteitscirkel van Deming) toegepast. Deze cirkel is, ook nog voordat er een formeel ISMS wordt geïntroduceerd, reeds in bepaalde mate aanwezig (als het gaat om informatiebeveiliging):
Met het opzetten van een ISMS, worden bovenstaande zaken geconcretiseerd en wordt er een formeel proces voor het managen van informatiebeveiligingsrisico’s geïntroduceerd.
De ISO 27001 standaard geeft een structuur voor het opzetten van een ISMS. Hierbij kunt u er uiteraard voor kiezen om de structuur (deels) te volgen, en het ISMS niet te laten certificeren. Ook op die manier zult u merken dat de werkwijze met betrekking tot informatiebeveiliging sterk wordt verbeterd. De andere keuze is uiteraard het opzetten van een ISMS dat ISO 27001 gecertificeerd wordt. Daarbij dienen alle (verplichte) onderdelen uit de ISO 27001 gevolgd te worden, waarna beoordeling plaatsvindt door een certificeringsbureau. Het is belangrijk om te benadrukken dat het niet zo is dat onderstaande lijst stapsgewijs moet worden nagelopen. Het is belangrijk om alles in samenhang te behandelen.
Het ISMS dient conform deze hoofdstukken uit de ISO 27001 te functioneren:
Bij dit onderdeel wordt onder andere nagegaan welke interne en externe factoren van invloed kunnen zijn. Veelal wordt hierbij een SWOT-Analyse (Strength, Weakness, Opportunity, Threat) toegepast. Eveneens wordt inzichtelijk gemaakt welke belanghebbenden relevant zijn voor uw ISMS en wordt er een toepassingsgebied bepaald.
Het belangrijkste onderdeel van hoofdstuk 5 is het door het management op te stellen informatiebeveiligingsbeleid. Lees hier een uitgebreid artikel over normelement 5.2 (informatiebeveiligingsbeleid) van de ISO 27001.
Hoofdstuk 6 vergt veel van organisaties die een ISO 27001-conform ISMS willen hebben. Zo is het de bedoeling om, met normelementen 4.1. en 4.2. in het achterhoofd, risico’s vast te stellen die behandeld moeten worden zodat implementatie van het managementsysteem optimaal kan verlopen. Het gaat hier aldus om ‘managementsysteemrisico’s’.
Een voorbeeld:
Een organisatie wil in ieder geval binnen een jaar een ISO/IEC 27001-certificaat hebben om aan het werk te kunnen voor de Rijksoverheid. Na het bestuderen van de analyse uit normelement 4.1. (contextanalyse) komen de volgende conclusies:
Voor deze managementsysteemrisico’s moeten maatregelen gepland worden. Het gaat bij bovenstaand voorbeeld dus om het behandelen van risico’s ten aanzien van het gehele ISMS. Bij het volgende normelement, 6.1.2., wordt ingegaan op het beoordelen van risico’s ten aanzien van behoud van beschikbaarheid, integriteit en vertrouwelijkheid.
De vastgestelde risico’s moeten vervolgens behandeld worden. Of ten minste: er moet een behandeloptie gekozen worden. Denk hierbij aan het accepteren van het risico, het verlagen van het risico, het vermijden van het risico of het overdragen van het risico. Bij het behandelen van de risico’s wordt gebruikgemaakt van een lijst met 114 beheersmaatregelen, afkomstig uit de ISO/IEC 27002, welke geïmplementeerd kunnen worden voor het behandelen van de risico’s. Hierover wordt vervolgens een Verklaring van Toepasselijkheid geschreven; een document waarin wordt uitgelegd welke maatregelen toegepast worden binnen de organisatie.
Bij hoofdstuk 7 van de ISO 27001 wordt onder andere gekeken naar de middelen die beschikbaar zijn voor het implementeren (en draaiend houden) van een ISMS. Is er voldoende budget? Zijn er voldoende mensen met kennis?
Ook wordt er gelet op het onderdeel competentie (van personen binnen de organisatie die informatiebeveiliging kunnen beïnvloeden) en wordt de documentatieplicht van het ISMS in zijn geheel besproken.
Bij hoofdstuk 8 van de ISO wordt bekeken hoe ervoor gezorgd gaat worden dat de bij 6.1. en 6.2. opgestelde plannen worden uitgevoerd. Hoe wordt ervoor gezorgd dat de noodzakelijke processen worden geïmplementeerd volgens planning? Hoe worden wijzigingen uitgevoerd? Met welke tussenpozen worden processen voor risicobeoordeling en risicobehandeling uitgevoerd?
Bij hoofdstuk 9 wordt aandacht geschonken aan onder andere de interne audit en de directiebeoordeling.
Bij hoofdstuk 10 wordt ingegaan op hoe eventuele afwijkingen behandeld worden, en op welke wijze verbetering continue wordt nagestreefd.
XY Legal Solutions ondersteunt organisaties met het behalen van een ISO/IEC 27001-certficaat. Onze kennis van gegevensbescherming en beveiligingssystemen biedt hierbij perspectief, en waarde voor onze opdrachtgevers. De voordelen van het hebben van een ISO 27001 certificaat:
Bij XY Legal Solutions werken we hierin volgens een vaste en efficiënte werkwijze.
Stap 1: 0-meting
Aan de hand van vragenlijsten en interviews wordt gekeken waar het bedrijf staat ten opzichte van de ISO 27001-norm en de implementatie van het Information Security Management System (ISMS). Daarnaast wordt hiermee de reikwijdte van het ISMS bepaald.
Stap 2: Risicoanalyse
De verkregen informatie wordt omgezet in een risicoanalyse. Hiermee bepalen we wat de risico’s zijn binnen het bedrijf op het gebied van informatiebeveiliging.
Stap 3: Opstellen informatiebeveiligingsbeleid en implementatieplan
Het informatiebeveiligingsbeleid wordt opgesteld gezamenlijk met een implementatieplan.
Stap 4: Implementatie en monitoring ISMS
Het opgestelde beleid wordt geïntegreerd in de werkwijze van het bedrijf, aan de hand van het implementatieplan. Zo wordt het ISMS stapsgewijs ‘uitgerold’. In deze periode wordt de werking van het ISMS gemonitord.
Stap 5: Evaluatie
Het ISMS wordt geëvalueerd aan de hand van de werking in de praktijk. Op basis van deze evaluatie vinden nieuwe risicoanalyses plaats en wordt een verbeterplan opgesteld. Vanaf hier begint eigenlijk het proces weer opnieuw vanaf stap 2. Dit is een continue proces, wat ook na certificering terug komt in de bedrijfsvoering.
Nu is het ISMS geïmplementeerd. Voordat de uiteindelijk certificering plaats vindt, wordt het ISMS getoetst aan alle voorwaarden van de ISO 27001-norm. Zo gaat uw bedrijf met de best mogelijke voorbereiding de certificering in. Een oriënterend gesprek plannen met een van onze ISO 27001-specialisten? Bel bijvoorbeeld naar 030 – 227 03 86 of vul ons contactformulier in.
Weten hoe wij in de praktijk werken? Lees hier een van onze business cases over de ISO 27001!
Do you want to obtain an ISO 27001 certificate for your organization? At XY Legal Solutions, we offer consultancy to prepare you completely for certification. We work according to a fixed method (custom applied), in which we describe your company as precisely as possible. With our GDPR and ISO knowledge, we can be a valuable partner in this. Everything can be delivered in English. Would you like to speak to one of our specialists? Please contact us!