Information Security

Ben je klaar voor ISO 27001?

De checklist ISO 27001 is bedoeld om inzicht te geven en een inschatting te maken in hoeverre een organisatie klaar is voor het ISO 27001 informatiebeveiligingsmanagementsysteem (het Information Security Management System (ISMS). Door middel van het beantwoorden van de vragen uit de een ISO 27001 checklist krijgt de organisatie inzicht in hoeverre er voldaan wordt aan de eisen van ISO 27001:2017. 

ISO 27001 certificering maakt aantoonbaar dat de organisatie informatiebeveiligingsrisico’s continu beheerst en dat bedrijfskritische informatie op een vertrouwelijke, integere manier wordt geborgd. 

Checklist ISO 27001 en inhoud 

In de uitgebreide checklist ISO 27001 staan de eisen van de ISO 27001 norm omschreven die van belang zijn voor het inrichten van een certificeerbaar ISMS. Aan de hand van deze checklist ISO 27001 kan worden vastgesteld in welke mate de organisatie de juiste maatregelen al heeft getroffen om aan de eisen van de norm te voldoen. 

Een indruk van de onderwerpen en voorbeeldvragen die in de checklist ISO 27001 aan bod komen: 

  • De organisatie en haar context 
    Zijn de interne en externe zaken die van belang zijn voor het ISMS en de invloed ervan op de verwachte uitkomst, vastgesteld? 
  • Behoeften en verwachtingen van de betrokken partijen   
    Heeft de organisatie bepaald welke belanghebbenden of relevante partijen er zijn in relatie tot het ISMS? 
  • Reikwijdte van het ISMS 
    Wordt het toepassingsgebied (scope) van het ISMS gedocumenteerd? 
  • Leiderschap en management commitment 
    Wordt het belang van het ISMS door het leiderschap van de organisatie getoond door communicatie over de belangrijkheid van een effectieve informatiebeveiliging? 
  • Informatiebeveiligingsbeleid 
    Is er een informatiebeveiligingsbeleid geïmplementeerd dat een richtlijn geeft voor het bepalen van de doelstellingen, dat passend is t.a.v. de eisen voor informatiebeveiliging, en het mogelijk maakt om continu te verbeteren? 
  • Rollen en verantwoordelijkheden 
    Zijn de rollen binnen het ISMS duidelijk gedefinieerd en gecommuniceerd? 
  • Risico’s en kansen rondom implementatie van het ISMS 
    Zijn activiteiten om risico’s en kansen aan te pakken, ingepland en geïntegreerd in de ISMS-processen en worden deze beoordeeld op effectiviteit? 
  • Risicoanalyse informatiebeveiliging 
    Is gedocumenteerde informatie over het proces van de risicoanalyse informatiebeveiliging beschikbaar? 
  • Beheersing informatiebeveiligingsrisico 
    Zijn er maatregelen vastgesteld waarmee de risicobeheersingsmaatregel die gekozen wordt geïmplementeerd kan worden? 
  • Informatiebeveiligingsdoelstellingen en implementatieproces 
    Heeft de organisatie bij het vaststellen van de doelstellingen bepaald wat er moet gebeuren, wanneer en door wie? 
  • ISMS-middelen en -bevoegdheden 
    Heeft het ISMS voldoende mensen en middelen tot zijn beschikking? 
  • Bewustwording en communicatie 
    Is iedereen binnen de organisatie zich bewust van het belang van het informatiebeveiligingsbeleid, hun bijdrage aan de effectiviteit van het ISMS en de gevolgen van het niet voldoen aan de informatiebeveiligingseisen? 
  • Documentatie 
    Heeft de organisatie bepaald welke documenten er nodig zijn voor het effectief werken van het ISMS? 
  • Operationele planning en control 
    Wordt gedocumenteerd bewijs bewaard om aan te tonen dat processen zijn uitgevoerd zoals gepland? 
  • Monitoring, meten en evalueren 
    Worden de uitkomsten van de informatiebeveiliging en de effectiviteit van het ISMS geëvalueerd? 
  • Interne audit 
    Zijn de audits uitgevoerd door middel van een degelijke methode en in overeenstemming met een auditprogramma, op basis van de resultaten van risicobeoordelingen en eerdere controles? 
  • Beoordeling door de directie 
    Voert het management een periodieke herziening van het ISMS uit? 
  • Corrigerende actie en continue verbetering 
    Zijn activiteiten om te beheersen, te controleren en te corrigeren en omgaan met de gevolgen van afwijkingen, op de norm geïdentificeerd? 
  • Beveiligingsmaatregelen op basis van de resultaten van de risicoanalyse informatiebeveiliging (voor zover van toepassing) 
    Worden benodigde contacten met overheden en belangengroepen onderhouden? 

Meer informatie over de ISO 27001

Persoonlijk

Innovatief

Pragmatisch

Vakkundig