ISO 27001 en het opzetten van een ISMS

Informatiebeveiliging: het is een ‘hot topic’. Zeker sinds inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG), zijn veel organisaties er zeer bewust mee bezig. En wilt u met uw organisatie aantonen dat u de zaken met betrekking tot informatiebeveiliging goed op orde heeft? Dan kan u kiezen om een managementsysteem voor informatiebeveiliging (Engelse afkorting die we hierna bezigen: ISMS) op te zetten, en dat ISO 27001 te laten certificeren.

XY Legal Solutions kan ondersteunen bij het opzetten van een ISMS. Ook adviseren wij en verstrekken we informatie over alles rondom de ISO 27001 en een ISMS.

Laten we in dat kader eerst eens uitleggen wat de ISO 27001 is, en daarna wat een ISMS is.

De ISO – International Organization for Standardization is een onafhankelijke, onpartijdige en deskundige instelling die de internationaal erkende certificering uitreikt. Middels het ISO/IEC 27001-certificaat kunnen organisaties aantonen dat ze serieus bezig zijn met informatiebeveiliging en professioneel omgaan met het verwerken van persoonsgegevens. Dit biedt vertrouwen en zekerheid aan opdrachtgevers, klanten, werknemers en andere belanghebbenden.

Een ISMS (Information Security Management System) is een managementsysteem voor informatiebeveiliging. Laten we die twee onderstreepte definities eens uitleggen.

Informatiebeveiliging

Bij informatiebeveiliging (in het kader van de ISO 27001) gaat het om drie verschillende dimensies:

• Behoud van vertrouwelijkheid van informatie;
  • Bij deze dimensie gaat het erom dat informatie niet bekend (of beschikbaar) wordt gemaakt aan onbevoegde entiteiten, processen of personen. Bij vertrouwelijke informatie kan gedacht worden aan persoonsgegevens of bijvoorbeeld bedrijfsgevoelige informatie.
• Behoud van beschikbaarheid van informatie;
  • Hierbij gaat het om toegankelijkheid en bruikbaarheid van informatie voor bevoegde entiteiten / personen. Verlies van deze beschikbaarheid kan bijvoorbeeld geschieden door een storing, natuurramp of DDoS-aanval.
• Behoud van integriteit van informatie.
  • Bij het aspect integriteit gaat het om de nauwkeurigheid en volledigheid van informatie. Het verlies hiervan zou kunnen inhouden dat informatie bijvoorbeeld verkeerd wordt ingevoerd of verwerkt.

Zoals we eerder aangekaart hebben, heeft de AVG gezorgd voor meer ‘awareness’ rondom informatiebeveiliging. De AVG ziet toe op persoonsgegevens en niet per sé op informatiebeveiliging in het algemeen. Toch zien we wat gelijkenissen met de ISO 27001. Daarbij gaat artikel 32 AVG over het treffen van maatregelen (afgestemd op risico’s) om een bepaald beveiligingsniveau te waarborgen. Artikel 33 AVG gaat daarbij over het melden van een datalek. De Nederlandse Autoriteit Persoonsgegevens noemt daarbij drie categorieën datalekken:

• Inbreuk op de vertrouwelijkheid van persoonsgegevens;
• Inbreuk op de integriteit van persoonsgegevens;
• Inbreuk op de beschikbaarheid van persoonsgegevens.

Je ziet al snel dat dit overeenkomt met de dimensies van de ISO 27001.

Het is echter een misvatting dat AVG-conform werken betekent dat een organisatie eveneens ISO 27001-conform werkt. De ISO 27001 stelt veel bredere eisen.

Lees hier meer over (specifiek) AVG-implementatie.

Managementsysteem

De organisatie van toereikende informatiebeveiliging wordt steeds complexer. Een systematische aanpak van informatiebeveiliging is daarmee noodzaak geworden. Een zogeheten ‘managementsysteem’ (voor informatiebeveiliging, ISMS) is daarbij een sterke manier om dit te bewerkstelligen. Een ISMS is een systeem dat helpt bij de implementatie, controle, beoordeling, uitvoering, verbetering en het onderhoud van informatiebeveiliging voor uw organisatie. Over het algemeen wordt bij de inrichting van het managementsysteem de Plan–Do-Check-Act (PDCA)-cirkel (de kwaliteitscirkel van Deming) toegepast. Deze cirkel is, ook nog voordat er een formeel ISMS wordt geïntroduceerd, reeds in bepaalde mate aanwezig (als het gaat om informatiebeveiliging):

• Er bestaan plannen over hoe er omgegaan dient te worden met informatiebeveiliging (Plan);
• Er worden maatregelen getroffen die eventuele risico’s met betrekking tot informatiebeveiliging kunnen beheersen (Do);
• Steeds wordt nagegaan of de maatregelen het gewenste resultaat opleveren (Check);
• Wanneer dit niet zo is, wordt er actie ondernomen (Act).

Met het opzetten van een ISMS, worden bovenstaande zaken geconcretiseerd en wordt er een formeel proces voor het managen van informatiebeveiligingsrisico’s geïntroduceerd.

De ISO 27001 standaard geeft een structuur voor het opzetten van een ISMS. Hierbij kunt u er uiteraard voor kiezen om de structuur (deels) te volgen, en het ISMS niet te laten certificeren. Ook op die manier zult u merken dat de werkwijze met betrekking tot informatiebeveiliging sterk wordt verbeterd. De andere keuze is uiteraard het opzetten van een ISMS dat ISO 27001 gecertificeerd wordt. Daarbij dienen alle (verplichte) onderdelen uit de ISO 27001 gevolgd te worden, waarna beoordeling plaatsvindt door een certificeringsbureau. Het is belangrijk om te benadrukken dat het niet zo is dat onderstaande lijst stapsgewijs moet worden nagelopen. Het is belangrijk om alles in samenhang te behandelen.

Het ISMS dient conform deze hoofdstukken uit de ISO 27001 te functioneren:

4. Context van de Organisatie

Bij dit onderdeel wordt onder andere nagegaan welke interne en externe factoren van invloed kunnen zijn. Veelal wordt hierbij een SWOT-Analyse (Strength, Weakness, Opportunity, Threat) toegepast. Eveneens wordt inzichtelijk gemaakt welke belanghebbenden relevant zijn voor uw ISMS en wordt er een toepassingsgebied bepaald.

5. Leiderschap

Het belangrijkste onderdeel van hoofdstuk 5 is het door het management op te stellen informatiebeveiligingsbeleid. Lees hier een uitgebreid artikel over normelement 5.2 (informatiebeveiligingsbeleid) van de ISO 27001.

6. Planning

Hoofdstuk 6 vergt veel van organisaties die een ISO 27001-conform ISMS willen hebben. Zo is het de bedoeling om, met normelementen 4.1. en 4.2. in het achterhoofd, risico’s vast te stellen die behandeld moeten worden zodat implementatie van het managementsysteem optimaal kan verlopen. Het gaat hier aldus om ‘managementsysteemrisico’s’.

Een voorbeeld:

Een organisatie wil in ieder geval binnen een jaar een ISO/IEC 27001-certificaat hebben om aan het werk te kunnen voor de Rijksoverheid. Na het bestuderen van de analyse uit normelement 4.1. (contextanalyse) komen de volgende conclusies:

• Contextanalyse 1: Er is op dit moment te weinig kennis binnen het team van de organisatie om een ISO 27001-conform ISMS te implementeren.
  • Risico 1: Het certificaat wordt niet binnen een jaar behaald.
• Contextanalyse 2: Er is niemand binnen de organisatie geschikt voor de rol van interne auditor.
  • Risico 2: De interne audits worden onvolledig uitgevoerd en kunnen onbetrouwbare resultaten opleveren.

Voor deze managementsysteemrisico’s moeten maatregelen gepland worden. Het gaat bij bovenstaand voorbeeld dus om het behandelen van risico’s ten aanzien van het gehele ISMS. Bij het volgende normelement, 6.1.2., wordt ingegaan op het beoordelen van risico’s ten aanzien van behoud van beschikbaarheid, integriteit en vertrouwelijkheid.

De vastgestelde risico’s moeten vervolgens behandeld worden. Of ten minste: er moet een behandeloptie gekozen worden. Denk hierbij aan het accepteren van het risico, het verlagen van het risico, het vermijden van het risico of het overdragen van het risico. Bij het behandelen van de risico’s wordt gebruikgemaakt van een lijst met 114 beheersmaatregelen, afkomstig uit de ISO/IEC 27002, welke geïmplementeerd kunnen worden voor het behandelen van de risico’s. Hierover wordt vervolgens een Verklaring van Toepasselijkheid geschreven; een document waarin wordt uitgelegd welke maatregelen toegepast worden binnen de organisatie.

7. Ondersteuning

Bij hoofdstuk 7 van de ISO 27001 wordt onder andere gekeken naar de middelen die beschikbaar zijn voor het implementeren (en draaiend houden) van een ISMS. Is er voldoende budget? Zijn er voldoende mensen met kennis?

Ook wordt er gelet op het onderdeel competentie (van personen binnen de organisatie die informatiebeveiliging kunnen beïnvloeden) en wordt de documentatieplicht van het ISMS in zijn geheel besproken.

8. Uitvoering

Bij hoofdstuk 8 van de ISO wordt bekeken hoe ervoor gezorgd gaat worden dat de bij 6.1. en 6.2. opgestelde plannen worden uitgevoerd. Hoe wordt ervoor gezorgd dat de noodzakelijke processen worden geïmplementeerd volgens planning? Hoe worden wijzigingen uitgevoerd? Met welke tussenpozen worden processen voor risicobeoordeling en risicobehandeling uitgevoerd?

9. Evaluatie van de prestaties

Bij hoofdstuk 9 wordt aandacht geschonken aan onder andere de interne audit en de directiebeoordeling.

10. Verbetering

Bij hoofdstuk 10 wordt ingegaan op hoe eventuele afwijkingen behandeld worden, en op welke wijze verbetering continue wordt nagestreefd.

XY Legal Solutions ondersteunt organisaties met het behalen van een ISO/IEC 27001-certficaat. Onze kennis van gegevensbescherming en beveiligingssystemen biedt hierbij perspectief, en waarde voor onze opdrachtgevers. De voordelen van het hebben van een ISO 27001 certificaat:

• Betrouwbaarheid naar klanten toe: het kunnen tonen aan klanten, prospects en partners dat alle zaken goed op orde zijn;
• Beter zicht op interne wijze van informatiebeveiliging en managementsystemen;
• Meer begrip van gegevensbescherming en de AVG (groot onderdeel van deze ISO certificatie);
• Trots: het behalen van een ISO 27001-certificaat is een keurige prestatie.

Bij XY Legal Solutions werken we hierin volgens een vaste en efficiënte werkwijze.

Stap 1: 0-meting

Aan de hand van vragenlijsten en interviews wordt gekeken waar het bedrijf staat ten opzichte van de ISO 27001-norm en de implementatie van het Information Security Management System (ISMS). Daarnaast wordt hiermee de reikwijdte van het ISMS bepaald.

Stap 2: Risicoanalyse

De verkregen informatie wordt omgezet in een risicoanalyse. Hiermee bepalen we wat de risico’s zijn binnen het bedrijf op het gebied van informatiebeveiliging.

Stap 3: Opstellen informatiebeveiligingsbeleid en implementatieplan

Het informatiebeveiligingsbeleid wordt opgesteld gezamenlijk met een implementatieplan.

Stap 4: Implementatie en monitoring ISMS

Het opgestelde beleid wordt geïntegreerd in de werkwijze van het bedrijf, aan de hand van het implementatieplan. Zo wordt het ISMS stapsgewijs ‘uitgerold’. In deze periode wordt de werking van het ISMS gemonitord.

Stap 5: Evaluatie

Het ISMS wordt geëvalueerd aan de hand van de werking in de praktijk. Op basis van deze evaluatie vinden nieuwe risicoanalyses plaats en wordt een verbeterplan opgesteld. Vanaf hier begint eigenlijk het proces weer opnieuw vanaf stap 2. Dit is een continue proces, wat ook na certificering terug komt in de bedrijfsvoering.

Nu is het ISMS geïmplementeerd. Voordat de uiteindelijk certificering plaats vindt, wordt het ISMS getoetst aan alle voorwaarden van de ISO 27001-norm. Zo gaat uw bedrijf met de best mogelijke voorbereiding de certificering in. Een oriënterend gesprek plannen met een van onze ISO 27001-specialisten? Bel bijvoorbeeld naar 030 – 227 03 86 of vul ons contactformulier in.

Weten hoe wij in de praktijk werken? Lees hier een van onze business cases over de ISO 27001!

Do you want to obtain an ISO 27001 certificate for your organization? At XY Legal Solutions, we offer consultancy to prepare you completely for certification. We work according to a fixed method (custom applied), in which we describe your company as precisely as possible. With our GDPR and ISO knowledge, we can be a valuable partner in this. Everything can be delivered in English. Would you like to speak to one of our specialists? Please contact us!