Veel organisaties besteden in hun ‘huisregels’ al aandacht aan het veilig en vertrouwd omgaan met bedrijfs- en persoonsgegevens. Met ISO 27001-certificering wordt dit geformaliseerd en kan een organisatie aantonen dat ze volgens de regels omgaat met gevoelige informatie en dat de privacy van medewerkers wordt gewaarborgd. Dit vergroot het vertrouwen van klanten, leveranciers, medewerkers en andere stakeholders.
Stappenplan
Voor veel organisaties zijn certificeringstrajecten geen dagelijkse kost. Audits door een onafhankelijke certificeerder als Kiwa zouden veel extra werk opleveren en werken volgens een kwaliteitssysteem zou een organisatie minder flexibel maken. Om een beter beeld te geven van wat ISO 27001-certificering nu eigenlijk inhoudt, hebben we hieronder de belangrijkste onderdelen van een stappenplan voor ISO 27001-certificering op een rijtje gezet.
Zorg voor een businesscase
ISO certificering is geen doel, maar een middel. Maak dus een business case met daarin de voordelen die de organisatie hiermee wil bereiken. Dat kan uiteenlopen van voldoen aan wet- en regelgeving tot commerciële motieven.
Draagvlak bij het management
Betrokkenheid van het management is erg belangrijk voor een effectieve invoering van een managementsysteem als de ISO 27001. Dit zorgt er bovendien voor dat informatiebeveiliging in lijn is met de bedrijfsstrategie en helpt bij het toewijzen van de juiste middelen voor het project.
Inventariseer informatiemiddelen
Om een goed beeld te hebben van wát er precies beschermd moet worden en hoe groot de risico’s zijn, is het belangrijk om vooraf alle informatiemiddelen in beeld te hebben. Denk daarbij aan digitale en fysieke bronnen, applicaties, IT-hardware, etc.
Risicoanalyse
De risicoanalyse is een van de belangrijkste stappen binnen het certificeringsproces. Hierbij wordt niet alleen bepaald welke incidenten kunnen plaatsvinden, maar ook welke impact kunnen hebben op de organisatie.
Risicobehandelingsplan
Nadat de risicoanalyse is uitgevoerd, moet een risicobehandelingsplan worden opgesteld. Hierin wordt vastgelegd wie verantwoordelijk is voor de invoering van maatregelen om de vastgestelde risico's te beheersen.
Invoeren ISMS
Als duidelijk is wát er beveiligd moet worden en wie daarvoor verantwoordelijk is, kan het Information Security Management System (ISMS) worden ingevoerd. Dit bevat een raamwerk voor beleid, procedures, processen, richtlijnen beschrijven. De basis hiervoor wordt beschreven in de norm ISO 27001.
Interne audits
ISO 27001 draait om een continue ‘plan-do-check-act’-cyclus. Interne audits spelen hierbij een belangrijke rol. Hiermee kan worden vastgesteld of het ISMS voldoet aan de eisen van zowel de organisatie van de ISO 27001 norm.
Procedure voor corrigerende maatregelen
Als wordt vastgesteld dat de organisatie op een bepaald onderdeel nog niet voldoet aan de norm, moet er een procedure zijn om dit te corrigeren en de oorzaak ervan weg te nemen.
Pre-audit/nulmeting
Alvorens het daadwerkelijke certificeringsproces in te gaan, is de pre-audit of nulmeting een nuttig instrument om te beoordelen in hoeverre de organisatie voldoet aan eisen.
Certificatie
Als alle stappen zijn doorlopen en het ISMS draait, is de organisatie klaar voor de feitelijke audit door een externe auditor. Bij goed gevolg leidt dit tot verstrekking van het ISO 27001-certificaat.
Tussentijdse audits
Het ISO 27001 certificaat is drie jaar geldig. Tussentijds worden er elk tussentijdse audits uitgevoerd om te checken of nog aan alle eisen wordt voldaan.
Meer informatie
Meer weten over informatiebeveiliging en Kiwa’s services op dit gebied? Check de themapagina cybersecurity op onze website of neem contact op met Kiwa’s Expert Center Cyber Security (cybersecurity@kiwa.com of +31 (0)88 998 3020).
Om te kunnen beoordelen moet u ingelogd zijn: