Hoewel ISO 27001 is gebouwd rond de implementatie van informatiebeveiligingscontroles, is geen van deze universeel verplicht voor naleving.
Dat komt omdat de standaard erkent dat elke organisatie zijn eigen vereisten zal hebben bij het ontwikkelen van een ISMS, en dat niet alle controles geschikt.
In plaats daarvan zijn organisaties verplicht om activiteiten uit te voeren die hun beslissingen informeren over welke controles ze moeten implementeren. In deze blog leggen we uit wat die processen inhouden en hoe je ze kunt doorlopen.
Verplichte certificeringseisen
De twee belangrijkste activiteiten bij het implementeren van ISO 27001 zijn:
- Scoping van uw ISMS (clausule 4.3), waarin u definieert welke informatie moet worden beschermd; en
- Het uitvoeren van een risicobeoordeling en het definiëren van een methodologie voor risicobehandeling (clausule 6.12), waarin u de bedreigingen voor uw informatie identificeert.
Organisaties zijn ook verplicht om de volgende verplichte clausules:
- Informatiebeveiligingsbeleid en doelstellingen (clausules 5.2 en 6.2)
- Behandeling van informatierisico’s (clausule 6.1.3)
- Risicobehandelplan (clausules 6.1.3 e en 6.2)
- Risicobeoordelingsrapport (clausule 8.2)
- Registraties van training, vaardigheden, ervaring en kwalificaties (clausule 7.2)
- Monitoring- en meetresultaten (clausule 9.1)
- Intern auditprogramma (clausule 9.2)
- Resultaten van interne audits (clausule 9.2)
- Resultaten van de management review (clausule 9.3)
- Resultaten van corrigerende maatregelen (clausule 10.1)
En de controles van bijlage A?
Bijlage A schetst de controles die met verschillende risico’s samenhangen. Afhankelijk van de controles die uw organisatie kiest, moet u ook het volgende documenteren:
De verklaring van toepasselijkheid
We kunnen hier niet ingaan op de ins en outs van al deze processen ( u kunt een kijkje nemen op onze website voor meer informatie), maar het is de moeite waard om de SoA (Statement of Applicability) te benadrukken, een essentieel stuk documentatie binnen het proces van informatierisico’s.
De SoA schetst welke bijlage A besturingselementen die u hebt geselecteerd of weggelaten, en legt uit waarom u die keuzes hebt gemaakt. Het moet ook aanvullende informatie bevatten over elk besturingselement en een link naar relevante documentatie over de implementatie ervan.
Het documentatieproces aanpakken
Als u aan uw nalevingsproject begint, zult u merken dat de documentatie proces is veel tijdrovender dan de implementatie van de vereisten zelf.
Elke clausule heeft zijn eigen documentatievereisten, wat betekent dat IT-managers en implementeerders te maken hebben met honderden documenten. Elk beleid en elke procedure moet worden onderzocht, ontwikkeld, goedgekeurd en geïmplementeerd, wat maanden kan duren.
Het documentatieproces gemakkelijk maken
Organisaties kunnen het nalevingsproces vereenvoudigen met onze ISO 27001 ISMS-documentatie Toolkit.
Deze set aanpasbare sjablonen is ontwikkeld door ISO 27001-experts en helpt u met zo min mogelijk gedoe te voldoen aan de documentatievereisten van de norm.
U kunt de documentatie rechtstreeks in uw organisatie, waardoor u tijd en geld bespaart, en met toegang tot ondersteuning gedurende 12 maanden, kunt u verzekerd zijn van deskundige hulp als u niet zeker weet wat met het ISO 27001-documentatieproces te maken heeft.
Lees meer over de ISO 27001 ISMS Documentation Toolkit > >
Een versie van deze blog is oorspronkelijk gepubliceerd op 24 maart 2016.
Aanbevolen literatuur:
- Hoeveel controles zijn er in de ISO 27001-norm?