ISO 27001 Eis 9.1 – Prestatie-evaluatie

Wat houdt artikel 9.1 in?

Als de organisatie certificering voor ISO 27001 nastreeft, zal de onafhankelijke auditor die werkt bij een certificeringsinstantie die is aangesloten bij UKAS (of een vergelijkbare internationaal geaccrediteerde instantie voor ISO-certificering) de volgende gebieden nauwlettend in de gaten houden:

• wat zij heeft besloten te monitoren en te meten, niet alleen de doelstellingen maar ook de processen en controles
• hoe het valide resultaten zal garanderen bij het meten, monitoren, analyseren en evalueren
• wanneer die meting, monitoring, evaluatie en analyse plaatsvindt en wie dat doet
• hoe de resultaten worden gebruikt

Net als al het andere bij de internationale ISO IEC-normen, waaronder ISO 27001, is de gedocumenteerde informatie van groot belang – dus het beschrijven ervan en vervolgens aantonen dat het gebeurt, is de sleutel tot succes!

Hoe u kunt voldoen aan de vereisten van artikel 9.1

Zoals met een groot deel van clausule 8 over de werking van het managementsysteem voor informatiebeveiliging, wordt aan clausule 9.1 voldaan door te kijken naar het gehele ISMS en de andere delen die bijdragen aan deze vereiste.

Bijvoorbeeld:

• Het in 4.1, 4.2 en 4.3 voltooide werk identificeert de kwesties (inclusief de informatiemiddelen), de belanghebbenden en de reikwijdte
• 6.1 belicht vervolgens de risico-identificatie, -evaluatie en -behandeling op een gestructureerde manier om aan deze vereiste te helpen voldoen
• 6.2 documenteert daadwerkelijk de doelstellingen voor het ISMS en omvat, indien goed uitgevoerd, de meting, monitoring, frequentie, bronbeheer en bewijsmateriaal
• 9.2 helpt bij interne audits van het hele systeem, waarbij wordt aangetoond wat werkt en wat kan worden verbeterd
• 9.3 brengt een groot deel van dat vereistenwerk samen voor managementbeoordelingen en -analyses met de strategische besluitvorming op basis van de agenda die het afdekt
• Hoofdstuk 10.1 kijkt vervolgens naar de non-conformiteit en 10.2 naar de bredere mogelijkheden voor continue verbetering in het informatiebeveiligingsmanagementsysteem
• Veel van de controles uit bijlage A sturen ook de evaluatie en beoordelingen van prestaties aan, waaronder bijlage A.5.1 en bijlage A.18, zowel voor de naleving van wetgeving als voor onafhankelijke beoordelingen van informatiebeveiliging.

Dus ervan uitgaande dat deze delen van het ISMS zijn geïmplementeerd met de robuustheid van de documentatie in clausule 7.5 in gedachten, kunt u rustig ademhalen. Er zit niets anders op dan te documenteren dat aan 9.1 wordt voldaan door de bovenstaande punten en het managementsysteem samen te voegen, zodat een auditor kan zien dat alles in de praktijk werkt. Dat kan eenvoudig met ISMS.online.

Word tot 5x sneller gecertificeerd met ISMS.online

Compliance hoeft niet ingewikkeld te zijn – ISMS.online is ontworpen om u te helpen de ISO 27001-certificering snel en betaalbaar te behalen zonder dat er training nodig is.
We hebben het ISO 27001-proces gestroomlijnd met onze Assured Results-methode, een voorsprong van 80%, uw eigen 24/7 virtuele coach, eenvoudige onboarding en deskundige ondersteuning.

Boek een platformdemo om te zien hoe ISMS.online uw bedrijf kan helpen