ISO 27001 Eis 7.5 – Gedocumenteerde informatie

Wat houdt artikel 7.5 in?

Een van de belangrijkste vereisten voor ISO 27001 is daarom dat u uw managementsysteem voor informatiebeveiliging beschrijft en vervolgens aantoont hoe de beoogde resultaten voor de organisatie worden bereikt. Als de organisatie een onafhankelijke ISO 27001-certificering van een instantie als UKAS wil behalen, is het ontzettend belangrijk dat alles wat met het ISMS te maken heeft, gedocumenteerd, goed onderhouden en makkelijk vindbaar is.

ISO 27001 clausule 7.5 is als volgt onderverdeeld:

Artikel 7.5.1 – Algemene documentatie voor ISO 27001

Het ISMS moet duidelijk het volgende omvatten:

• Een beschrijving van hoe het 4.1 tot en met 10.2 van de kernvereisten aanpakt, inclusief de risicobeoordeling en -behandeling die leidt tot de selectie van de controles uit bijlage A.
• De relevante controles uit bijlage A die deel uitmaken van de verklaring van toepasselijkheid – wat in feite betekent dat u alle controles moet hebben vermeld. Zelfs als een organisatie besluit dat een controle niet relevant is, moet zij documenteren dat, bijvoorbeeld als zij geen behoefte heeft aan leverings- en laadruimtes in bijlage A 11.1.6 omdat het een puur digitale onderneming is, zij aan de auditor moet aantonen dat dit wel het geval is. ervan uitgegaan dat er geen risico bestaat en dat er geen noodzaak is voor die controle.

Artikel 7.5.2 – Creëren en bijwerken van gedocumenteerde informatie voor ISO 27001

ISO 27001 wil duidelijkheid in de documentatie, op zoek naar identificatie en beschrijving, formaat, beoordeling en goedkeuring voor geschiktheid en adequaatheid om zijn doel te dienen. Het is gemakkelijk om de nuances van deze vereisten over het hoofd te zien, maar in de praktijk betekent dit dat rekening moet worden gehouden met auteur, datum, titel, referentie enz., en dat goedkeuringsproces is ook erg belangrijk voor aansluiting op bijlage A 5.1.2, zoals hieronder beschreven.

Artikel 7.5.3 – Beheersing van gedocumenteerde informatie voor ISO 27001

De kern van het ISMS is het principe van vertrouwelijkheid, integriteit en beschikbaarheid van de informatie. Hetzelfde geldt voor het ISMS zelf: het moet beschikbaar zijn wanneer dat nodig is en moet op adequate wijze worden beschermd tegen verlies van vertrouwelijkheid, ongeoorloofd gebruik of potentiële integriteitsaantastingen.

Het eenvoudigweg dumpen van de ISMS-inhoud op de gedeelde schijf van het team en deze ongecontroleerd of met ineffectieve toegangsrechten zou vrijwel zeker tot problemen voor de organisatie leiden bij een audit. Op dezelfde manier zou het een probleem zijn om het op een persoonlijke manier te laten gebeuren, ontoegankelijk voor degenen die meer moeten weten over het ISMS. Daarom moet er aandacht worden besteed aan tal van gebieden voor effectieve controle. ISO zoekt een organisatie die de volgende aspecten aanpakt:

• duidelijkheid over delen en distribueren, controle over de toegang tot een deel of het geheel van het ISMS – rekening houdend met de toegangsrechten voor lezen, bijwerken, goedkeuren, verwijderen enz. moeten mogelijk verschillen op basis van de rol van de stakeholder
• opslag en bewaring, inclusief controle van wijzigingen (het tonen van oudere versies, historische goedkeuringen enz.)
• Ook het vasthouden en verwijderen ervan verdient aandacht

Deze vereiste komt ook overeen met de regelmatige evaluatie van het beleid die wordt benadrukt in bijlage A.5.1.2, die hieronder ook wordt besproken.

Hoeveel moet er geschreven worden voordat de documentatie van het ISMS door een auditor als aanvaardbaar wordt beschouwd?

Een vraag die vaak wordt gesteld over documentatie voor informatiebeveiligingsbeheer is 'hoeveel is genoeg'. Het korte antwoord is dat het om kwaliteit gaat en niet om kwantiteit. Zolang de organisatie voldoet aan de hieronder samengevatte vereisten en kan aantonen dat zij geen langdurige, uitgebreide documentatie nodig heeft, zal de auditor daar tijdens een audit ongetwijfeld rekening mee houden – bijvoorbeeld omdat het een kleine organisatie is met weinig deelnemers rond het ISMS. , stabiel, overzichtelijk, goed onderhouden en eenvoudig in bediening.

Is documentatie voor het informatiebeveiligingsmanagementsysteem 'documenten in word-stijl' of zijn andere vormen van inhoud toegestaan?

Vragen over wat voor soort documentatie wordt verwacht, is een van de andere veelgestelde vragen over de documentatie van artikel 7.5 voor het managementsysteem voor informatiebeveiliging. In de toelichting bij clausule 27001 vermeldt ISO 7.5.1 duidelijk het volgende:

“De omvang van de gedocumenteerde informatie voor een managementsysteem voor informatiebeveiliging kan van organisatie tot organisatie verschillen vanwege:”

• de omvang van de organisatie en het soort activiteiten, processen, producten en diensten;
• de complexiteit van processen en hun interacties; En
• de competentie van personen.

Een aantal ISO 27001-leveranciers van 'toolkits' voor informatiebeveiligingsdocumentatie hebben de mythe in stand gehouden dat gedocumenteerde informatie voor een ISMS uit Word-documenten en Excel-spreadsheets moet bestaan. Het is duidelijk dat deze documenten een plaats kunnen hebben in een ISMS (waar bijvoorbeeld ook afbeeldingen of complexe processen moeten worden gecommuniceerd), maar dat ze spaarzaam moeten worden gebruikt gezien de komst van betere online tools.

Online diensten zoals ISMS.online faciliteren documenten op de meer traditionele manier en bieden ook effectievere manieren om documentatie te beheren die een betere controle en coördinatie kunnen bieden, betere manieren om te delen en te publiceren voor het publiek en het hele proces van documentatiebeheer te laten voldoen aan de vereisten van clausule 7.5 hieronder veel eenvoudiger. Het betekent ook dat de tijd van tijdverspilling met voorpagina's van documenten waarop alle versiewijzigingen en goedkeuringen via e-mail te zien zijn, al lang voorbij is!

7.5 samenvoegen met bijlage A-controles

Als je bedenkt dat de eisen uit artikel 7.5 ook aansluiten bij de controledoelstellingen in de bijlagen, is het nog logischer om na te denken over een samenhangend, goed gecoördineerd managementsysteem in plaats van ouderwetse documenten en gedeelde schijven voor opslag. Voorbeelden van waar clausule 7.5 moet worden samengevoegd met de controles in bijlage A zijn onder meer:

Bijlage A 5.1.1

Naast het definiëren moet het informatiebeveiligingsbeleid worden goedgekeurd door het management, worden gepubliceerd en gecommuniceerd naar werknemers en relevante externe partijen. Het is op zichzelf niet eenvoudig om goedkeuring voor documenten aan te tonen, en het publiceren van zware documenten zal waarschijnlijk niet worden verteerd of begrepen door de belanghebbenden, zelfs als ze zijn gecommuniceerd (waardoor de organisatie het risico loopt van niet-naleving en de dreiging van verlies door onwetendheid).

Bijlage A 5.1.2

Herziening van het beleid voor informatiebeveiliging. ISO 27001 zegt dat beleid regelmatig moet worden herzien met geplande tussenpozen (of als zich significante veranderingen voordoen) om de voortdurende geschiktheid ervan te garanderen. Onafhankelijke ISO-auditors verwachten dat deze beoordeling ten minste jaarlijks voor elk beleid wordt uitgevoerd.

Bijlage A 18.2

Deze Annex A-controle gaat over informatiebeveiligingsbeoordelingen en is goed uitgevoerd en integreert netjes met clausule 7.5 voor documentatiebeheer van een ISMS, inclusief onafhankelijke beoordelingen, controles op naleving en waar nodig ook op technische naleving. Beoordelen, versiecontrole, updates tonen en vervolgens oude goedkeuringen goedkeuren ouderwetse documenten waarbij het niet per se documenten hoeven te zijn, kunnen beheerders van het ISMS behoorlijk vertragen. Het kan ook de betrokkenheid van het personeel vertragen of verliezen en tot niet-naleving leiden.

Hoe beheert u documentatie in uw ISMS?

Clausule 7.5 is gemakkelijk verkeerd te begrijpen en rond te slingeren, wat leidt tot een auditmislukking, of misschien het te veel bedenken van een oplossing en veel te veel tijd besteden aan het bouwen van een managementsysteemstructuur die te moeilijk te handhaven is bij de eerste verandering. De ISMS.online business case planner kijkt naar de mogelijkheden van bouwen versus kopen, dus bekijk dat zeker als u overweegt uw eigen oplossing te creëren.

Het is echt moeilijk om het goed te doen en te voldoen aan alle eisen van clausule 7.5 en de daarmee samenhangende controles in Bijlage A. Daarom zoeken veel organisaties naar een speciaal gebouwde ISMS-softwareoplossing en willen ze iets met de kenmerken van ISMS.online.

U zou immers geen tijd verspillen aan het bouwen van uw eigen CRM- of financiële systeem als anderen al tijd hebben besteed aan het ontwikkelen van de juiste oplossing die direct out-of-the-box kan worden geleverd voor een fractie van de kosten van een doe-het-zelf-oplossing die maakt geen deel uit van de kerncompetenties van de organisatie.

ISMS.online biedt een eenvoudig te volgen structuur voor alle benodigde documentatie. Het volgt exact dezelfde structuur als de standaard zelf, zodat u en een auditor eenvoudig en snel naar de vereiste documentatie kunnen navigeren. Het heeft ingebouwde rollen en machtigingen voor toegang, bewerken, goedkeuren en delen. Er is ook automatisch versiebeheer en herinneringen voor recensies. We zijn zelfs nog een stap verder gegaan en hebben beleids- en controledocumentatie toegevoegd die u direct uit de doos kunt overnemen, aanpassen en toevoegen.

Door de softwareoplossing ISMS.online te gebruiken, kunt u zich concentreren op uw ISMS-doelstellingen. ISMS.online vereenvoudigt de administratie, zodat u eenvoudig uw documentatie kunt creëren, controleren, coördineren, beheren en delen met belanghebbenden, onder meer via Policy Packs, die het vertrouwen in compliance vergroten. Het geeft u ook alle hulpmiddelen om de vele werkprocessen uit te voeren die de norm vereist. Dat is ook de reden waarom we zeggen dat de documenten die we leveren ‘actionable’ zijn. Het zijn meer dan eenvoudige documentsjablonen die u de vrijheid geven om uw processen te interpreteren en een manier te vinden om uw processen te demonstreren...ISMS.online is een complete ISMS-oplossing op één plek.

Word tot 5x sneller gecertificeerd met ISMS.online

Compliance hoeft niet ingewikkeld te zijn – ISMS.online is ontworpen om u te helpen de ISO 27001-certificering snel en betaalbaar te behalen zonder dat er training nodig is.
We hebben het ISO 27001-proces gestroomlijnd met onze Assured Results-methode, een voorsprong van 80%, uw eigen 24/7 virtuele coach, eenvoudige onboarding en deskundige ondersteuning.

Boek een platformdemo om te zien hoe ISMS.online uw bedrijf kan helpen