Information Security
Ben je klaar voor ISO 27001?
De checklist ISO 27001 is bedoeld om inzicht te geven en een inschatting te maken in hoeverre een organisatie klaar is voor het ISO 27001 informatiebeveiligingsmanagementsysteem (het Information Security Management System (ISMS). Door middel van het beantwoorden van de vragen uit de een ISO 27001 checklist krijgt de organisatie inzicht in hoeverre er voldaan wordt aan de eisen van ISO 27001:2017.
ISO 27001 certificering maakt aantoonbaar dat de organisatie informatiebeveiligingsrisico’s continu beheerst en dat bedrijfskritische informatie op een vertrouwelijke, integere manier wordt geborgd.
Checklist ISO 27001 en inhoud
In de uitgebreide checklist ISO 27001 staan de eisen van de ISO 27001 norm omschreven die van belang zijn voor het inrichten van een certificeerbaar ISMS. Aan de hand van deze checklist ISO 27001 kan worden vastgesteld in welke mate de organisatie de juiste maatregelen al heeft getroffen om aan de eisen van de norm te voldoen.
Een indruk van de onderwerpen en voorbeeldvragen die in de checklist ISO 27001 aan bod komen:
- De organisatie en haar context
Zijn de interne en externe zaken die van belang zijn voor het ISMS en de invloed ervan op de verwachte uitkomst, vastgesteld?
- Behoeften en verwachtingen van de betrokken partijen
Heeft de organisatie bepaald welke belanghebbenden of relevante partijen er zijn in relatie tot het ISMS?
- Reikwijdte van het ISMS
Wordt het toepassingsgebied (scope) van het ISMS gedocumenteerd?
- Leiderschap en management commitment
Wordt het belang van het ISMS door het leiderschap van de organisatie getoond door communicatie over de belangrijkheid van een effectieve informatiebeveiliging?
- Informatiebeveiligingsbeleid
Is er een informatiebeveiligingsbeleid geïmplementeerd dat een richtlijn geeft voor het bepalen van de doelstellingen, dat passend is t.a.v. de eisen voor informatiebeveiliging, en het mogelijk maakt om continu te verbeteren?
- Rollen en verantwoordelijkheden
Zijn de rollen binnen het ISMS duidelijk gedefinieerd en gecommuniceerd?
- Risico’s en kansen rondom implementatie van het ISMS
Zijn activiteiten om risico’s en kansen aan te pakken, ingepland en geïntegreerd in de ISMS-processen en worden deze beoordeeld op effectiviteit?
- Risicoanalyse informatiebeveiliging
Is gedocumenteerde informatie over het proces van de risicoanalyse informatiebeveiliging beschikbaar?
- Beheersing informatiebeveiligingsrisico
Zijn er maatregelen vastgesteld waarmee de risicobeheersingsmaatregel die gekozen wordt geïmplementeerd kan worden?
- Informatiebeveiligingsdoelstellingen en implementatieproces
Heeft de organisatie bij het vaststellen van de doelstellingen bepaald wat er moet gebeuren, wanneer en door wie?
- ISMS-middelen en -bevoegdheden
Heeft het ISMS voldoende mensen en middelen tot zijn beschikking?
- Bewustwording en communicatie
Is iedereen binnen de organisatie zich bewust van het belang van het informatiebeveiligingsbeleid, hun bijdrage aan de effectiviteit van het ISMS en de gevolgen van het niet voldoen aan de informatiebeveiligingseisen?
- Documentatie
Heeft de organisatie bepaald welke documenten er nodig zijn voor het effectief werken van het ISMS?
- Operationele planning en control
Wordt gedocumenteerd bewijs bewaard om aan te tonen dat processen zijn uitgevoerd zoals gepland?
- Monitoring, meten en evalueren
Worden de uitkomsten van de informatiebeveiliging en de effectiviteit van het ISMS geëvalueerd?
- Interne audit
Zijn de audits uitgevoerd door middel van een degelijke methode en in overeenstemming met een auditprogramma, op basis van de resultaten van risicobeoordelingen en eerdere controles?
- Beoordeling door de directie
Voert het management een periodieke herziening van het ISMS uit?
- Corrigerende actie en continue verbetering
Zijn activiteiten om te beheersen, te controleren en te corrigeren en omgaan met de gevolgen van afwijkingen, op de norm geïdentificeerd?
- Beveiligingsmaatregelen op basis van de resultaten van de risicoanalyse informatiebeveiliging (voor zover van toepassing)
Worden benodigde contacten met overheden en belangengroepen onderhouden?