ISO 27001 stappenplan voor een betrouwbare certificering

Als u als organisatie aan de slag wilt gaan om het ISO 27001 certificaat te behalen, ontkomt u niet aan een zorgvuldige planning. Door het opstellen van een gedegen stappenplan behoudt u het overzicht en kan elke stap succesvol worden afgerond. Het onderstaande stappenplan kan daarbij als een functionele richtlijn gelden. De opzet van het stappenplan is in logische fasen onderverdeeld zodat het in nagenoeg elke situatie ingezet kan worden. Hierbij is ook de nodige aandacht voor de standaard ‘eisen’ ten aanzien van de gestelde norm en worden er een aantal belangrijke aandachtspunten benoemd.

Stap 1: Algemene inventarisatie + Scope bepalen

De eerste stap bestaat uit een algemene inventarisatie van de organisatie. Hierin wordt specifiek gekeken naar de werkwijze binnen de organisatie en de reeds beschikbare informatie wordt in kaart gebracht. In deze eerste stap op weg naar de ISO 27001 certificatie is er speciale aandacht voor de huidige ICT-infrastructuur en wordt er kritisch gekeken naar de scope. Deze scope laat zien voor welk doel het ISO 27001 certificaat van belang is.

Stap 2: Uitvoeren van de contextanalyse

In stap 2 staat het uitvoeren van de contextanalyse centraal. Door deze analyse wordt inzicht verkregen in de organisatie en vormt de basis van uw managementsysteem. Deze analyse kan worden onderverdeeld in twee onderdelen:

  • Stakeholderanalyse
  • Risicoanalyse

De stakeholderanalyse is van belang omdat hierbij wordt gekeken welke partijen betrokken zijn en in hoeverre de informatiebeveiliging voldoet aan de eisen van de relevante stakeholders. Bij de risicoanalyse worden naast de risico’s, ook de kansen voor de organisatie inzichtelijk gemaakt.

Stap 3: Uitvoeren van de risicoanalyse

De risicoanalyse staat centraal bij in de ISO 27001 norm. Dit verklaart dan ook waarom de risicoanalyse in de tweede stap staat vermeld. In de derde stap wordt hier extra aandacht aan gegeven. U ziet dan hoe de analyse wordt ingezet als tool om het niveau van informatiebeveiliging in de organisatie te beoordelen. De normelementen van ISO 27001 vormen bij deze analyse de basis in combinatie met ISO 27002. Hierin worden een aantal belangrijke beheersmaatregelen vermeld:

  • Informatiebeveiligingsbeleid;
  • Veilig personeel;
  • Beheer van bedrijfsmiddelen;
  • Autorisaties;
  • Toegangsbeveiliging;
  • Communicatiebeveiliging

Stap 4: Opstellen Plan van Aanpak

De vierde stap in het proces van de ISO 27001 certificering bestaat uit het opstellen van een Plan van Aanpak. Dit is in feite een beschrijving van de benodigde maatregelen en eisen voor het managementsysteem. De afstemming van het actieplan is daarnaast ook onderdeel van deze vierde stap. Dit actieplan heeft tot doel om de inzichten die zijn voortgekomen uit de contextanalyse uit stap twee, om te zetten in concrete acties. Dit zorgt voor een continu proces van verbeteringen. Hierbij wordt gebruik gemaakt van de Deming-cyslus, ook bekend als het Plan-Do-Check-Act concept.

Stap 5: Aanscherpen contextanalyse

De in stap twee vermelde context- en risicoanalyse neemt in ISO 27001 een belangrijke positie in. Vanwege de complexe aard wordt dit in stap zeven nogmaals doorgelicht en, waar nodig aangepast op basis van nieuwe inzichten.

Stap 6: Beleidscyclus vastleggen

De tweede fase van het stappenplan voor de ISO 27001 certificering begint bij stap zes. Hier wordt de beleidscyclus aangescherpt. Belangrijke punten in stap 6 zijn het vastleggen van de doelen en het bepalen van het juiste beleid. Ook wordt nu bekeken hoe dit op de meest effectieve wijze kan worden vertaald in de organisatie en hoe de naleving kan worden bewaakt.

Stap 7: Uitvoeren Plan van Aanpak

De uitvoering van het Plan van Aanpak uit stap vier staat in stap zeven centraal. De in Bijlage A van de ISO 27001 norm vermelde technische, organisatorische en fysieke beheersmaatregelen worden onderzocht, gekozen en geïmplementeerd. Zoals eerder is beschreven vindt de implementatie plaats op basis van de Deming cyclus. In het kort komt het erop neer dat dankzij deze methode, processen kunnen worden beheerd en verbeterd. Op deze manier worden essentiële zaken conform de gewenste specificaties geleverd. Na het bepalen van de noodzakelijke verbeteracties, het koppelen van de KPI’s (Key Performance Indicators), het bepalen van de verantwoordelijken en het opstellen van een actieplanning, is het tijd om de PDCA-cirkel te starten.

Stap 8: Borging en implementatie

De borging en implementatie staan centraal in stap acht. De gemaakte afspreken en procedures worden nu vastgelegd in het ISMS (Information Security Management System). Van belang in deze stap is het vastleggen van de beheers- en borgingsmaatregelen ten aan zien van de informatiebeveiliging. In stap acht worden ook de gemaakte afspraken en procedures in de organisatie geïmplementeerd.

Stap 9: Interne audit

Het uitvoeren van de interne audit staat centraal in de negende stap van het stappenplan ISO 27001. Deze audit is noodzakelijk voor een effectieve implementatie. Met deze stap wordt een controle uitgevoerd zodat duidelijk wordt of zowel de genomen beheersmaatregelen, als het managementsysteem, voldoende effectief zijn. Tevens geldt deze stap als voorbereiding op de uiteindelijke certificeringsaudit. Normaliter wordt een termijn van vier weken voor de datum van de externe audit aangehouden als streeftermijn.

Stap 10: Certificering

Kies je er als organisatie voor om daadwerkelijk aan de slag te gaan met de ISO 27001 certificering, dan ontkom je niet aan de verplichting om aantoonbaar te maken dat de informatiebeveiliging op orde is. De meeste logische stap is dan om de ISMS te laten toetsen om de vervolgens te laten certificeren. Dit heet in vaktermen de certificeringsaudit. Deze audit wordt uitgevoerd door een onafhankelijke certificerende instantie. Een voorwaarde is dat de organisatie minimaal drie maanden volgens dit ISMS heeft gewerkt. Deze periode is noodzakelijk om te beoordelen om het ISMS naar behoren functioneert. Is deze audit afgesloten met een positief resultaat, dan kan de organisatie worden voorgedragen voor certificering. Is het rapport wat de auditor heeft opgesteld goedgekeurd, dan volgt de uitreiking van het ISO 27001 certificaat.