Information Security

ISO 27001 stappenplan 

Kader hanteert een ISO 27001 stappenplan en begeleidt jouw organisatie in 5 praktische stappen naar ISO 27001 certificering. Met het doorlopen van het ISO 27001 stappenplan stellen wij jouw organisatie centraal, waardoor er geen onnodige beheersmaatregelen worden geïmplementeerd. 

De beheersing van jouw bedrijfsrisico rond informatiebeveiliging is ons uitgangspunt. Wij kijken niet alleen naar technische systeem gerelateerde risico’s, maar juist ook naar de risico’s die ontstaan in het primaire bedrijfsproces rondom jouw medewerkers en fysieke informatiestromen. 

Stap 1 van het ISO 27001 stappenplan is de nulmeting. Met deze nulmeting beoordelen wij in hoeverre jouw organisatie al invulling geeft aan de ISO 27001 norm en wat exact nodig is om te komen tot certificering. Ook dient deze nulmeting om jouw medewerkers kennis te laten maken met de inhoud en de reikwijdte van de norm. Wij bespreken verschillende processen, procesbeschrijvingen, procedures en instructies en toetsen dit aan de ISO 27001 norm. 

De resultaten verwerken wij in een rapportage en Plan van Aanpak (PvA). Na de nulmeting weet je precies waar je aan toe bent en kun je besluiten of jij je door Kader wilt laten begeleiden naar ISO27001 certificering. Je hebt inzicht in de verwachte tijdsbesteding, taakverdeling en kosten van certificatie. 

Vervolgens zetten wij een praktisch hanteerbaar en efficiënt digitaal informatiebeveiligingssysteem (ISMS) op dat voldoet aan de eisen van de ISO 27001 norm én de behoefte van onze opdrachtgevers. Dit is stap 2 van het ISO 27001 stappenplan. De opzet en invoering van het informatiebeveiligingssysteem is volgens de HLS structuur en kan hierdoor eenvoudig met andere nieuwe ISO normen geïntegreerd worden. Ook is het mogelijk om branche-specifieke richtlijnen te integreren. 

Bij stap 2 van het ISO 27001 stappenplan kun je rekenen op de volgende activiteiten: 

  • Uitvoeren van een risicoanalyse en risicobeoordeling; 
  • Opzetten en invoeren van een informatiebeveiligingssysteem;
  • Maatregelselectie en informatiebeveiligingsplan;
  • Implementatie en controleprogramma;
  • Verklaring van toepasselijkheid 

De interne audit is de derde stap uit het ISO27001 stappenplan. Met de interne audit toetsen wij of jouw informatiebeveiligingssysteem goed is ingevoerd en voldoet aan de ISO 27001 norm, wetgeving, klanteisen en/of eisen van jouw organisatie. Wij stellen een auditplan op, toetsen of het ISMS voldoet aan de norm en leggen bevindingen en verbeteringen vast in een rapportage. De interne audit is een prima voorbereiding op de certificatie audit. 

Met de directiebeoordeling ondersteunt Kader de directie bij de beoordeling van de effectieve werking van het informatiebeveiligingssysteem en het in kaart brengen van verbetermogelijkheden en risico’s. Onze deskundige adviseur is jouw sparringpartner. De directiebeoordeling is een belangrijk onderdeel vanuit de norm voorafgaand aan certificering. Na certificering stelt de norm verplicht dat er een periodieke directiebeoordeling wordt uitgevoerd. De directiebeoordeling vormt stap 4 uit het ISO 27001 stappenplan. 

De laatste stap uit het ISO27001 stappenplan is de begeleiding naar certificering. Kader is approved partner van een aantal gerenommeerde certificatie instellingen. Wij hebben goede contacten met veel certificatie instellingen. Hierdoor zijn wij in staat het moment van certificatie veelal te bespoedigen en te bevorderen. Onze adviseurs werken transparant en toegankelijk bij je op locatie en zijn daardoor optimaal beschikbaar voor beantwoording van vragen over het managementsysteem en ondersteuning van het management. Kader kan de externe audit door de certificatie instelling begeleiden. Dit biedt extra zekerheid voor de opdrachtgever. 

ISO 27001 in de praktijk 

ISO 27001 draagt zorg voor de beheersing van de informatiebeveiligingsrisico’s en daarmee het borgen van de bedrijfsdoelen. Door ISO 27001 toe te passen blijft informatie die cruciaal is voor het bedrijfsproces beschikbaar en wordt ervoor gezorgd dat vertrouwelijke informatie niet naar buiten komt. 

ISO 27001, een samenspel van techniek en mensenwerk 

Het gaat hier dus over waardevolle informatie van een organisatie en alle technische en organisatorische maatregelen om deze informatie te beschermen. Dat betekent een samenspel van techniek en mensenwerk. Een organisatie kan nog zoveel technische maatregelen nemen, als de medewerkers zich niet bewust zijn van de risico’s van hun handelen en niet zorgvuldig en adequaat omgaan met informatie, dan is de informatiebeveiliging niet op orde. 

De techniek zal dus zo opgezet moeten zijn, dat informatie niet snel verloren gaat en menselijke fouten zoveel mogelijk worden uitgesloten.  Hierbij kan bijvoorbeeld gedacht worden aan het maken van back-ups en het periodiek testen daarvan of het tijdig intrekken van toegangsrechten als (externe) medewerkers vertrekken. 

Medewerkers moeten zich op hun beurt bewust zijn van de gevoeligheid van informatie en moeten begrijpen waarom er bepaalde procedures en afspraken zijn. Zo is het gedrag van medewerkers die met privacy gevoelige informatie werken enorm cruciaal. Zij moeten zich bijvoorbeeld realiseren dat deze informatie niet zomaar verstuurd of geprint kan worden. 

Een voorbeeld 

Wanneer van een database geen excel export gemaakt kan worden ter voorkoming van de verwerking of verspreiding van gevoelige persoonsgegevens, dan is dat een technische maatregel van informatiebeveiliging. Dit voorkomt echter niet dat een medewerker de gegevens overschrijft of een screenshot maakt. Medewerkers moeten zich dus bewust zijn van de reden waarom in dit geval een export functie ontbreekt en waarom op geen enkele andere wijze informatie uit het systeem gehaald mag worden. 

De valkuilen 

Naast het bewustzijn van medewerkers van de gevoeligheid van informatie, gaat het vaak mis bij het vertrouwen hebben in de techniek.  Een menselijke fout is zo gemaakt, terwijl de techniek goed geregeld is. Ook kiezen medewerkers vaak de makkelijke weg in plaats van een correcte en veilige methode. Zij zijn zich niet bewust van de consequenties van hun handelen. Medewerkers moeten dus zelf hun verantwoordelijkheid nemen en zich voldoende bewust moeten zijn van de gevolgen van hun fouten. 

‘In control’ met ISO 27001 

Een managementsysteem volgens ISO 27001 is bedoeld om als organisatie ‘in control’ te zijn. Er worden technische en organisatorische maatregelen getroffen en het bewustzijn van medewerkers bij het omgaan met bedrijfskritische informatie wordt vergroot.  Hiermee is een organisatie in staat de juiste dingen te doen om te voorkomen dat informatie verloren gaat, onjuist is of lekt en wordt alleen aandacht besteed aan zaken die écht belangrijk zijn voor ISO 27001 informatiebeveiliging. Zo wordt voorkomen dat bedrijfsdoelen onnodig geschaad worden door onverwachte situaties die een organisatie met een ISO 27001 informatiebeveiligingssysteem had kunnen voorzien. Bijkomend voordeel is dat met het voldoen aan ISO 27001 gelijk wordt voldaan aan de AVG algemene verordening gegevensbescherming die per 28 mei 2018 in werking is getreden. 

Meer informatie over ISO 27001?

Persoonlijk

Innovatief

Pragmatisch

Vakkundig