ISO 27001 checklist

De ISO 27001 checklist: goed voorbereid op de certificering. Het opzetten van een goed functionerend managementsysteem voor informatiebeveiliging is de eerste stap op weg naar de ISO 27001 certificering. De complexiteit van de ISO 27001 norm zorgt er echter voor dat het in veel gevallen een hele uitdaging is om te bepalen of uw organisatie al klaar is voor de uiteindelijke certificering door een externe auditor. Met behulp van onderstaande checklist kunt nagaan wat de actuele status is van uw organisatie ten aanzien van de gewenste certificering. Hierbij is ruime aandacht voor de volgende punten:

  • De essentiële onderdelen van een managementsysteem voor informatiebeveiliging
  • De stappen die nodig zijn voor de uiteindelijke certificering
  • Hoe u bepaalt of u klaar bent voor certificering

1. Het doorgronden van de norm

De NEN-en-ISO 27001 norm vormt de basis van de certificering. Het verwoord de eisen die worden gesteld aan een goed functionerend managementsysteem voor informatiebeveiliging. Dit is dan ook essentieel voor het behalen van het ISO 27001 certificaat. Uiteraard is de certificering geen verplichting, maar ISO 27001 biedt wel duidelijke richtlijnen voor de inrichting van een managementsysteem voor informatiebeveiliging wat voldoet aan de geldende wet- en regelgeving voor de bescherming van persoonsgegevens.

Een ander voordeel van een ISO 27001 certificering is dat u naar uw relatie laat zien dat u oog heeft voor een correcte beveiliging en verwerking van persoonsgegevens. Niet zelden hebben uw relaties een sterke voorkeur voor partijen die ISO 27001 gecertificeerd zijn.
Het doorgronden van de ISO 27001 norm is dan ook de eerste stap. Zodra het voor uw organisatie duidelijk is waar het aan moet voldoen en welke processen hierbij betrokken zijn, kunt u spreken van een goede voorbereiding op de certificering. De volledige ISO 27001 norm kunt verkrijgen op de NEN website.

De ISO 27001 norm is in feite niks meer dan een document waarin alle eisen zijn vastgelegd voor de certificering. De uitdaging die dan voor u ligt, is om deze norm te vertalen naar een werkbaar concept voor uw organisatie. Aan de hand van de onderstaande checklist krijgt u inzicht in alle onderdelen van de norm zodat deze op een efficiënte manier in de organisatie geïmplementeerd kunnen worden. Vanuit de NEN kunt u, indien wenselijk, trainingen krijgen om de norm op de juiste manier te vertalen in uw organisatie.

2. Risk Assessment

Risk assessment is de tweede stap in het opstellen van een managementsysteem voor informatiebeveiliging. Hierbij gaat het om het opstellen van een methode om de risico’s in kaart te brengen en deze te beoordelen. Op die manier ontstaat een duidelijk beeld van de risico’s en kans dat een dergelijk ongewenste situatie zich zal voordoen.

Door het gebruik van een risk assessment methode kunnen risiconiveaus worden vastgesteld en prioriteiten worden bepaald. Is dat eenmaal in beeld gebracht, dan kunnen maatregelen worden getroffen om de risico’s en bedreigingen te minimaliseren.

3. Risk treatment plan

Zodra de behoeften, verwachtingen en eisen door middel van de omgevingsanalyse bekend zijn, kan er met een ‘risk treatment plan’ worden gewerkt. Met behulp van dit plan worden de geïdentificeerde risico’s beperkt en wordt de kans op het ontstaan van (nieuwe) incidenten geminimaliseerd.

Het risk treatment plan is een goede manier om per risicofactor de bedreiging te documenteren en aan te geven welke maatregelen wenselijk zijn. Er is dus sprake van een preventieve actiebereidheid met als doel om de mogelijke risico’s te beperken en waar mogelijk te voorkomen.
Het in kaart brengen van de risico’s betekent in de praktijk dat uw organisatie voorbereid is op mogelijke incidenten en maatregelen kan implementeren om de bedreigingen vanuit die risico’s te elimineren of te minimaliseren.

4. Opstellen van het statement of applicability

Een verplicht onderdeel voor elk managementsysteem voor informatiebeveiliging is het statement of applicability. Wilt u dat uw organisatie voldoet aan de eisen voor de ISO 27001 certificering, dan is het opstellen hiervan verplicht.

Het statement of applicability is een document waarin u vastlegt welke zaken uit de annex A van toepassing zijn op uw organisatie. In deze annex A staat een heel scala aan maatregelen vermeld. Aan de hand van de statement of applicability beargumenteert u welke maatregelen op uw organisatie van toepassing zijn. De eerder uitgevoerde risicoanalyse is hierbij de leidraad.

Het opstellen van een goed statement of applicability kost tijd. Desondanks vormt het wel de basis voor het managementsysteem voor informatiebeveiliging in uw organisatie. Denk hier dus niet te licht over en zorg voor voldoende aandacht voor de risico’s en welke stappen wenselijk zijn.

5. Totaalanalyse

De vijfde stap is de totaalanalyse. In deze stap komen de resultaten uit de eerder doorlopen stappen samen. De bedoeling is om in deze fase kritisch te kijken naar de organisatie en de eerder geïdentificeerde beveiligingsrisico’s.

Een ander belangrijk punt in stap vijf is het vastleggen van het continuity management. Hiermee geeft u aan hoe er wordt omgegaan met incidenten. Zo weet elke medewerker wat zijn of haar taak is in een dergelijke situatie. U kunt bijvoorbeeld denken aan een situatie waarin de eerder voorgestelde maatregelen toch blijken te falen. De vraag die u zich dient te stellen is hoe er wordt omgegaan met een situatie die niet was ingecalculeerd en hoe de betrokken werknemers dienen te anticiperen.

Het doel van het bepalen van een continuity management is te voorkomen dat een incident wijzigt in een noodsituatie. In veel gevallen blijkt dat een noodsituatie leidt tot paniek waardoor de richtlijnen vanuit het managementsysteem voor informatiebeveiliging niet meer worden opgevolgd. Het bijkomende risico is dat de beveiliging van persoonsgegevens niet langer een prioriteit is. In deze fase gaat u dus bepalen welke maatregelen van toepassing zijn voor het beveiligen van persoonlijke gegevens in het geval van een calamiteit.

6. Het opstellen van een informatiebeveiligingsbeleid

Na het succesvol doorlopen van de voorgaande vijf stappen heeft u een situatie bereik waarin duidelijk is geworden wat de aandachtspunten binnen uw organisatie zijn. De volgende stap in het optimaliseren van de informatiebeveiliging is het opstellen van een functioneel beleid voor die informatiebeveiliging.

Bij het vaststellen van dit beleid is het van belang hoe er in uw organisatie om wordt gegaan met heet vraagstuk van de informatiebeveiliging. Een belangrijk aandachtspunt in deze stap is het ISMS (information security management system). Door middel van dit ISMS kunnen de maatregelen worden gespecificeerd om de risico’s te minimaliseren en de informatie te beveiligen. Dankzij het vooronderzoek uit stap 1 is duidelijk geworden op welke vlakken de maatregelen betrekking moeten hebben en welke processen relevant zijn.

Bent u goed voorbereid op certificering voor ISO 27001?

De bovenstaande checklist voor de ISO 27001 certificering is een handige tool om de avtuele status van uw organisatie in kaart te brengen ten aanzien van de mogelijke ISO 27001 certificering. De checklist geeft uw organisatie de nodige handvatten om een functioneel managementsysteem voor informatiebeveiliging op te zetten en de implementatie van ISO 27001 ter hand te nemen.