Het behalen van je certificering lijkt vaak heel complex. Maar met een duidelijk stappenplan wordt het proces overzichtelijk en haalbaar. In deze ISO 27001 checklist beschrijven we de 10 stappen die je moet volgen om je organisatie met succes te certificeren.
Stap 1: Bestudeer de norm
Het is belangrijk dat je als organisatie een beeld hebt van wat de ISO27001-norm nu eigenlijk inhoudt. Het is niet nodig die tot in detail te kennen – daarvoor kun je vaak beter iemand voor inhuren – maar het is wel belangrijk dat je een duidelijk beeld hebt van wat de eisen van de norm zijn.
Stap 2: Zorg voor ondersteuning en goedkeuring van het management
Als je begint aan de implementatie is de betrokkenheid van het managementteam erg belangrijk. Er moet namelijk voor de juiste middelen gezorgd worden zoals tijd, geld en eventuele andere benodigde middelen voor je Information Security Management System (ISMS). Ook moeten de medewerkers die betrokken zijn bij het ISMS de juiste training en competenties hebben.
Stap 3: Denk na over een informatiebeveiligingsbeleid
Zodra je managementteam aan boord is, kun je beginnen met het opzetten van je ISMS.
Werk samen aan:
- De context van het informatiebeveiligingsbeleid. Denk aan een SWOT, eisen en wensen van belanghebbenden en de scope van je certificering.
- Doelstellingen en KPI’s bepalen rondom informatiebeveiliging.
- Bepalen welke Rollen en verantwoordelijkheden er zijn om het ISMS succesvol te implementeren en in stand te houden.
Stap 4: Risicoanalyse uitvoeren
Risicobeoordeling is een cruciaal onderdeel van het informatiebeveiligingsproces. Het stelt organisaties in staat om potentiële bedreigingen voor hun informatie en informatiesystemen te identificeren en te analyseren.
Het is belangrijk dat je daarin de volgende dingen in mee neemt:
- Je hebt de context bepaald, bepaal op basis van deze context voor jullie relevante risico’s en classificeer deze op basis van Beschikbaarheid, Integriteit en Vertrouwelijkheid.
- Bepaal per risico de Eigenaar en de waarschijnlijkheid en mogelijk impact zoals deze nu is.
- Bepaal per risico het geaccepteerde Restrisico.
- Bepaal per risico welke beheersmaatregelen je in gaat zetten om deze naar het geaccepteerde Restrisico te mitigeren en zorg voor een concreet actieplan.
Stap 5: Risicobehandelplan opstellen
Hier beoordeel je welke schade de organisatie waarschijnlijk zal ondervinden wanneer er een beveiligingslek is.
- Maak een inschatting van de risiconiveaus (hoog – medium – laag).
- Stel vast of de risico’s aanvaardbaar zijn of behandeling vereisen.
- Beslis om het risico te accepteren of mitigeren. Je heb in de vorige stap bepaald wat het gewenste Restrisico is. Als jullie (in het beleid) hebben bepaald wat het minimale risico is en je bent nog niet op dat Risiconiveau dan moet je het dus mitigeren, is het huidige Risiconiveau hoger dan dit of gelijk dan kun je het in principe accepteren.
- Eventueel kun je ook kiezen voor Risicooverdracht met bijvoorbeeld verzekeringen.
- Breng het Risico terug naar het geaccepteerde Restrisico rekening houdend met de beheersmaatregelen die je hebt gekoppeld aan de Risico’s bij de Risicoanalyse.
Stap 7: Implementeer alle acties en benodigde Risicobehandelingen
Het implementeren van de benodigde acties en borging in de dagelijkse procedures is cruciaal voor het behalen van je ISO certificering en het behouden van je ISO certificering. De aantoonbare implementatie en duidelijke SMART acties dragen bij aan het succes en kwaliteit van je ISMS.
- Documentatie van Risicobehandeling: Zorg voor een aantoonbare Risicobehandeling die de behandeling en het beheer van risico’s voor informatiebeveiliging beschrijven. Het is belangrijk dat dit gekoppeld is aan de Risico’s.
- Acceptatie Risicobehandeling en Restrisico: Beschrijf de stappen die nodig zijn van de Risicobehandeling met een concreet behandelplan. Het is vervolgens belangrijk dat de Risicoeigenaar het Risicobehandelingsplan accepteert en nadat de acties zijn uitgevoerd een controle uitvoert en het eventuele Restrisico accepteert.
- Training en Bewustwordingsprogramma’s: Zorg voor passende training en bewustwording voor en aan het personeel. Dit kan workshops, online cursussen of regelmatige trainingssessies omvatten. Vergeet ook zeker niet de competentie van de Security Officer.
- Borg de zaken en vereisten van het beleid in je Processen en Uitvoering: We adviseren om dit goed te integreren in je Operationele procedures en nog liever in de systemen die je dagelijks gebruikt. We zien vaak dat de implementatie van je ISMS vaak wel goed gaat maar het behouden van je ISO certificering soms te weinig aandacht krijgt waardoor er last-minute heel hard gewerkt moet worden.
Stap 8: Training
Er dienen voldoende middelen te zijn en worden vrijgemaakt om de werking van jullie ISMS en alle bijbehorende controles goed te laten werken. Het personeel dat werkt binnen het ISMS, moet de juiste training en ondersteuning krijgen om het systeem effectief te beheren en te onderhouden.
Ook moet er volgens ISO 27001 een aantoonbaar competente Security Officer aangesteld worden. Hebben jullie die nog niet in huis? Kijk dan ook eens naar onze training!
Stap 9 Voer interne audits uit
Om ervoor te zorgen dat het ISMS effectief is én blijft, vereist de norm het volgende:
- Het uitvoeren van interne audits.
- Regelmatige directiebeoordelingen uitvoeren van het ISMS om ervoor te zorgen dat het toepassingsgebied in overeenstemming blijft en dat verbeteringen in het ISMS-proces worden geïdentificeerd.
Stap 10 Start tijdig met je certificering!
Het certificatie proces is iets wat vaak gezien wordt als een lange reis met veel documentatie. Wij doen dit anders! We kunnen een prachtig document vol theorie over de schutting naar je gooien, maar daar leer je niks van. Je leert wel van theorie in de praktijk toepassen: in de vorm van korte workshops. Helemaal in je eigen tempo.
Per workshop bespreken we een onderwerp, en ontdek je alles over dat bepaalde onderwerp. Daarnaast gaan we samen aan de slag in de praktijk. We kijken hoe we stap voor stap alle vereisten van ISO 27001 soepeltjes integreren in je dagelijkse werkzaamheden, zodat dat elkaar niet in de weg zit.
