De weg naar ISO 27001 certificering
Er zijn meerdere wegen die naar certificering voor ISO 27001 leiden. Compliance Agency kiest voor een methode die waarde toevoegt. Die bijdraagt aan de doelstellingen van de organisatie. In de basis volgen we een aanpak in vijf fases:
1) Inventarisatie
2) Kick-off
3) Implementatie
4) Evaluatie
5) Certificering
Inventarisatie
De onderdelen voor de inventarisatie worden door Compliance Agency vrijblijvend en kosteloos uitgevoerd. De inventarisatie bestaat uit de volgende onderdelen:
Globale doelstellingen
GAP analyse
Offerte
De globale doelstellingen van de organisatie om ISO 27001 te implementeren worden vastgesteld. Deze doelstellingen zijn leidend voor de manier waarop het Information Security Management System (ISMS) wordt geïmplementeerd. Daarnaast moet worden vastgesteld waar de organisatie op dit moment staat op het gebied van informatiebeveiliging. Met behulp van een zogenaamde GAP analyse wordt bepaald in welke mate de verschillende onderdelen nog geïmplementeerd moeten worden.
Op basis van de doelstellingen en de resultaten uit de GAP analyse kan Compliance Agency een goed onderbouwde offerte opstellen. Deze offerte bevat niet alleen de investering voor ondersteuning vanuit Compliance Agency, maar ook de investeringen die de organisatie zelf moet doen (arbeid en technologie) en een indicatie van de kosten voor de certificeringsaudits. Het geeft dus een goed beeld van de benodigde investering voor het gehele traject tot en met ISO 27001 certificering.
Kick-off
Tijdens de kick-off, met het samengestelde ISO 27001 team, worden de volgende belangrijke onderwerpen besproken die essentieel zijn voor de implementatie van het ISMS:
Context
Scope
Leiderschap
Risicoanalyse
Specifieke doelstellingen
Een uitgebreide context- en risicoanalyse moet onder andere leiden tot een duidelijke scope en doelstellingen. De contextanalyse zorgt ervoor dat er een ISMS komt die past bij de organisatie. Een systeem dat niet te omvangrijk is, maar ook niet te licht. Het moet ook gebaseerd zijn op de (contractuele) eisen van klanten en andere belanghebbenden.
Daarnaast zorgt een goede risicoanalyse ervoor dat de organisatie niet lukraak beveiligingsmaatregelen implementeert. Het forceert dat dingen in de juiste volgorde gebeuren. Eerst worden de maatregelen gerealiseerd die de belangrijkste risico's van de organisatie naar een acceptabel niveau brengen.
Leiderschap gaat onder andere over het verdelen van rollen en bijbehorende verantwoordelijkheden. Op basis van deze informatie kan de basis van het ISMS opgezet worden.
Implementatie
Met de resultaten uit de kick-off kan het een en ander geïmplementeerd worden. De implementatie bestaat uit de volgende onderdelen:
ISMS
ISMS meetings
Beleid
Beheersmaatregelen
Allereerst wordt de basis van het Information Security Management System (ISMS) opgezet. Hoe deze wordt geïmplementeerd is volledig afhankelijk van de organisatie. Compliance Agency kiest altijd voor een opzet die het beste past bij de organisatie. Dat vergroot het draagvlak onder medewerkers én de effectiviteit van het systeem. Met het ISMS team worden in verschillende sessies alle onderwerpen uit de ISO 27001 norm besproken. Dat gaat over onderwerpen als toegangsbeveiliging, encryptie en back-up. Maar ook over niet-technische onderwerpen zoals het bewustzijn van medewerkers m.b.t. informatiebeveiliging en relaties met leveranciers.
In deze ISMS sessies worden beleid, eisen en procedures bepaald voor de verschillende onderwerpen. Daarbij zijn de resultaten uit de context- en risicoanalyse uit de voorgaande kick-off leidend. Het is belangrijk dat het beleid past bij de organisatie en voornamelijk de belangrijkste risico's naar acceptabel niveau brengt. Op basis van de risicoanalyse en het vastgestelde beleid worden beveiligingsmaatregelen volgens een vastgestelde planning geïmplementeerd.
Evaluatie
De evaluatie van het ISMS bestaat globaal uit de volgende onderdelen:
Monitoren & meten
Interne audit
Directiebeoordeling
Nadat het een en ander is geïmplementeerd moet periodiek beoordeeld worden of alles nog goed functioneert. Hebben gebruikers nog de juiste toegangsrechten? Worden de noodzakelijk back-ups daadwerkelijk op de juiste tijdstippen gemaakt? Deze operationele checks zorgen ervoor dat de organisatie niet voor verrassingen komt te staan.
Daarnaast worden regelmatig interne audits uitgevoerd. Tijdens deze interne audits worden alle facetten van het ISMS door een onafhankelijk medewerker (iemand buiten het ISMS team) of instantie beoordeeld. Hier komen aandachtspunten, verbeterpunten en mogelijk tekortkoming uit voort waar de organisatie mee aan de slag moet.
Ten slotte is het belangrijk dat de directie tevreden is over de effectiviteit van het ISMS. In een formele directiebeoordeling wordt de werking van het ISMS geëvalueerd. Hier komen belangrijke overwegingen uit voort, waarmee de organisatie het ISMS nog verder kan verbeteren.
Certificatie
Na een succesvolle evaluatie van het ISMS is de organisatie klaar voor ISO 27001 certificering. Hiervoor voert een onafhankelijke instantie, die voor de Raad van Accreditatie is geaccrediteerd is om certificaten uit te geven, een zogenaamde externe audit uit. Deze externe audit bestaat uit twee fases en omvat altijd meerdere dagen.
In de eerste fase wordt gecontroleerd of het ISMS alle noodzakelijk elementen bevat en of de benodigde documenten beschikbaar zijn. Er wordt globaal vastgesteld of het systeem naar behoren functioneert. Als dat het geval is, kan de tweede fase definitief worden ingepland.
Tijdens de tweede fase audit ligt de nadruk meer op de concrete implementatie van beheersmaatregelen. Aan de hand van interviews met verschillende medewerkers wordt vastgesteld of de geïmplementeerde maatregelen overeenkomen met de ISO 27001 norm en of deze passend zijn voor de organisatie. De context- en risicoanalyse zijn hierbij weer essentieel. De externe auditor beslist uiteindelijk of de organisatie wordt voorgedragen voor certificering.
ISMS cyclus
Het proces van informatiebeveiliging is nooit af. De essentie van ISO 27001 is dat de organisatie altijd blijft verbeteren. Na het behalen van het certificaat blijft de organisatie informatiebeveiliging de juiste aandacht geven. Daarom vinden er, in een cyclus van drie jaar, terugkerende externe audits plaats om te controleren of de organisatie nog voldoet aan de ISO 27001 norm. Een gangbare auditcyclus ziet er als volgt uit:
Jaar 1: Initiële audit voor certificering
Jaar 2: Surveillance audit 1 (tussentijdse audit)
Jaar 3: Surveillance audit 2 (tussentijdse audit)
Jaar 4: Audit voor hercertificering
In het vierde jaar vindt dus weer een externe audit plaats die vergelijkbaar is met de initiële audit uit het eerste jaar. Daarna volgen wederom twee surveillance audits.
Compliance Agency
Compliance Agency begeleidt organisaties in het volledige traject van inventarisatie tot certificering. In de rol van projectleider, en meewerkend voorman, zorgen we dat organisaties een ISO 27001 certificaat behalen. Uitgangspunt daarbij is altijd dat álle beveiligingsrisico's naar een acceptabel niveau worden teruggebracht. Behalve een waardevol certificaat wordt informatiebeveiliging naar een beduidend hoger niveau getild.
Comments