Hoe rampzalige aannames te voorkomen met ISO 27001 clausule 9

Veel professionele lessen zijn alleen echt nuttig in de zakenwereld. Maar er is één principe dat mij in elk deel van mijn leven helpt, van het elke ochtend naar school brengen van de kinderen tot het plannen van die droomvakantie na Covid. Het is dit:

  • Aanname is de moeder van alle rampen

Als je alleen maar aannames doet in plaats van dingen daadwerkelijk uit te zoeken, zul je geen problemen en problemen ontdekken als ze nog klein en gemakkelijk op te lossen zijn. Je ziet ze pas als ze niet meer te missen zijn en waarschijnlijk rampzalig zijn.

Gelukkig is er een makkelijke oplossing. Maak geen aannames. Vervang ze door praktisch, constructief en gestructureerd audits. Dat kan saai en vervelend lijken, maar het is altijd essentieel.

Waarom toezicht belangrijk is

Door zijn oog voor detail heeft een van onze collega's in een eerdere rol:

  • Hielp zijn toenmalige cliënt grote financiële en reputatieschade te voorkomen
  • Redde de levens van vele onberispelijke onderzeese wezens
  • Een groot internationaal incident voorkomen

Hij was een onderzeese opslageenheid aan het controleren voordat deze op de oceaanbodem werd geïnstalleerd. Hij kwam erachter dat een leverancier er de verkeerde soort verf op had gebruikt. De verf zou snel verrotten. Dan zou de opslageenheid snel vergaan. Dan zou het openbreken.

De eenheid is ontworpen om radioactief materiaal veilig te bevatten voor onderzeese meetdoeleinden.

De rest kun je je voorstellen.

Iedereen ging ervan uit dat het controleren van het verfwerk tijdverspilling was. Hoe kan iemand zoiets fundamenteels zo verkeerd begrijpen? Onze collega kreeg zelfs kritiek omdat hij te kieskeurig was. Maar het echte leven heeft opnieuw bewezen dat aannames de moeder van alle rampen zijn.

Toezicht op ISO 27001

Omdat auditing zo belangrijk is, behandelt ISO 27001 dit tot in detail. Artikel 9 van ISO 27001 vraagt ​​u na te denken over hoe u:

  • Meet en stel doelen voor de effectiviteit van uw ISMS (Artikel 9.1)
  • Voer regelmatig een audit uit om er zeker van te zijn dat deze doelen worden bereikt (Artikel 9.2)
  • Houd uw senior management op de hoogte (Artikel 9.3)

Dat geeft u een zeer nuttige controlelijst voor infosec-toezicht, of u dat nu wel of niet bent conform of gecertificeerd. Hoewel we er wel contact mee moeten opnemen Artikel 10.2 voor een heel belangrijk laatste detail:

  • Overweeg verbeteringen aan uw ISMS aan te brengen op basis van wat u heeft gevonden

Artikel 9.1: Meten en doelen stellen voor uw ISMS

Een niet-onderzocht ISMS is het niet waard om te hebben. Maar om het goed te onderzoeken, moet je weten wat je zoekt, waar je zoekt en wie ernaar zoekt. Artikel 9.1 vraagt ​​u om te plannen:

  • Welke delen van jouw ISMS die je nodig hebt in de gaten houden
  • Hoe je ze gaat monitoren, meten, analyseren en evalueren
  • Hoe vaak u al die controles uitvoert
  • Wie doet de controle
  • Hoe ze hun bevindingen zullen rapporteren

Zorg ervoor dat je alles documenteert. Het hebben van één enkele reeks duidelijke praktische richtlijnen zal mensen ervan weerhouden aannames te doen. Wij weten waar ze naartoe kunnen leiden...

Artikel 9.2: Controle van uw ISMS

Nu bent u klaar voor uw werkelijke interne audit, zoals gespecificeerd in artikel 9.2. Hier controleer je het lakwerk en schop je tegen de banden. Door je tanden zuigen is ook een optie.

Kortom, u controleert of uw ISMS:

  • Voldoet aan alle doelstellingen die u ervoor heeft gesteld
  • Wordt goed beheerd en goed onderhouden

Slechts één audit volstaat niet. Je moet plan voor regelmatige audits. Elke nieuwe audit moet verwijzen naar eerdere audits, zodat u zeker weet dat u eventuele problemen opmerkt en erop reageert. Elke nieuwe audit moet dus duidelijk en consistent worden gedocumenteerd en gerapporteerd.

Ook moet u voor elke audit specifieke mensen verantwoordelijk maken. Ze moeten voor elke audit een duidelijke reikwijdte hebben. En wat cruciaal is: ze moeten objectief zijn. Kies auditors die uw aannames ter discussie stellen en niet bevestigen.

En elke audit moet een positief proces zijn dat waarde toevoegt. Idealiter zoeken auditors naar conformiteiten en werken ze misschien samen met de gecontroleerde om mogelijke verbeteringen te vinden. Uw auditor is NIET op zoek naar non-conformiteiten. Het gebeurt gewoon dat ze ze soms opmerken.

Artikel 9.3: Het senior management op de hoogte houden

Ervan uitgaan dat het senior management weet hoe het gaat, is altijd een vergissing. U moet ervoor zorgen dat zij uw ISMS begrijpen, erin geloven en (waar nodig) vormgeven. Immers, als Artikel 5 merkt op dat zij uiteindelijk verantwoordelijk zijn voor uw ISMS.

Dus, artikel 9.3 vraagt ​​u om regelmatig geplande managementreviews uit te voeren. Je informeert het senior management over hoe goed je bent ISMS beschermt uw organisatie en omvat:

  • Specifieke problemen die zijn opgemerkt en hoe u deze heeft opgelost
  • Algemene prestaties ten opzichte van de doelstellingen die u heeft gesteld
  • Eventuele opmerkingen of feedback van geïnteresseerde partijen
  • Wat uw auditors u vertellen
  • Details van lopende risico-evaluatie en behandeling
  • Verbeteringen die u van plan bent te maken of heeft aangebracht

U moet ook gebruik maken van hun grote overzicht van uw organisatie. Zorg ervoor dat ze details delen over eventuele interne of externe problemen die van invloed kunnen zijn op de reikwijdte en werking van uw ISMS. En uiteraard houd je ze op de hoogte van acties die voortkomen uit eerdere reviews.

Oh, en er is één grote veronderstelling die ter discussie moet worden gesteld. Mensen gaan er doorgaans van uit dat de managementsysteembeoordeling in de vorm van een bijeenkomst moet plaatsvinden. Maar waar staat dat in artikel 9.2? Onze tip: het is niet...

Een laatste veronderstelling die we willen vermijden

Dus dat is hoe Artikel 9 van ISO 27001 helpt u vage aannames te vervangen door praktische, constructieve, gestructureerde audits. Vervolgens kunt u artikel 10.2 volgen en ernaar handelen.

Hopelijk hebben we u laten zien hoe het proces werkt en hebben we u enkele nuttige tips gegeven waarmee u uw eigen infosec-maatregelen in de gaten kunt houden.

Maar dat klinkt als precies wat we willen vermijden: een aanname! Dus als dit bericht nuttig of inspirerend is geweest, Laat het ons weten zeker.

« Vraag 9.3 - Managementbeoordeling

Vereiste 10.1, 10.2 - Verbetering voor ISO 27001 »

Laatst bewerkt: 7 februari 2022
Auteur

Al Robertson

Al is een professionele schrijver en gepubliceerde auteur die een scala aan onderwerpen behandelt. Hij heeft een reeks artikelen geschreven over compliance en vooral over informatiebeveiliging en hoe ISO 27001-certificering organisaties kan helpen groeien.

Bekijk alle berichten van Al Robertson

gerelateerde berichten

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie