Implementeert u ISO 27001 en weet u niet waar u moet beginnen?

Een van de meest voorkomende vragen die organisaties die nieuw zijn op het gebied van informatiebeveiligingsmanagement stellen, is 'waar moet ik beginnen?' ISO 27001:2013?' Om onafhankelijke certificering van de internationaal erkende standaard te bereiken, moeten er ongeveer 140 dingen worden gedaan. Sommige duren 2 minuten, andere kunnen dagen of weken duren, afhankelijk van het startpunt en de complexiteit van de organisatie. Het is dus geen wonder dat drukke mensen zich overweldigd en onzeker voelen over wat ze moeten doen – en de volgorde waarin ze dat moeten doen – terwijl ze de middelen, kosten en risico's optimaliseren.
Zie ons platform in actie
Boek uw demo

Dus wat zijn de mogelijke paden voor het implementeren van uw ISO 27001 ISMS?

Een populaire route is de 'informatiebeveiligingsmanagement gap-analyse', waarbij je veel tijd en geld steekt in het vinden van de gaten. Maar u krijgt nog steeds alleen een gap-analyse (waarschijnlijk met resultaten in een moeilijk te navigeren en te beheren spreadsheet) en geen enkele stap vooruit, naar het vaststellen van uw ISMS. Er is een betere manier.

Een andere veel voorkomende manier is om de gap-analyse te vermijden en gewoon tot levering over te gaan. Sommige organisaties beginnen met het creëren van alle 93 Bijlage A-controles, eerst beleid, processen en procedures invoeren. Dit is echter ook suboptimaal en kan tijdrovend zijn, vooral als het bedrijf geen risico's loopt waar deze controles van toepassing zouden zijn. Dit is een 'bottom-up'-benadering, en wij raden altijd aan dat deze de kernvereisten van 'top-down' volgt.

De ISO-norm leidt u goed door het top-downproces als u bij het begin begint met de kernvereisten van ISO 27001. De kernvereisten (beheersclausules) hebben echter betrekking op de werking die verder reikt dan de implementatie, en zullen de aandacht dus afleiden naar het overwegen van post-certificeringsactiviteiten (zoals monitoring, interne audit, beoordeling en verbetering) voordat u uw ISMS zelfs maar gaat gebruiken. Dit is beter, maar niet de beste manier als je haast hebt of het meest geschikte pad wilt volgen. Er is een betere manier om dat te doen resultaten verzekeren, dat het beste uit alle gangbare praktijken haalt en de verspilling van een gap-analyse vermijdt. Wij noemen het de Assured Results Method – ARM.

Laptopscreenshot van ARM

Streef naar pragmatisme en niet naar perfectie met uw eerste ISMS

Vaak, maar niet altijd, is er een externe drijfveer voor het behalen van ISO 27001, zoals een aanbestedingsvereiste of druk van klanten als gevolg van een verandering in de risicobereidheid binnen de toeleveringsketen (bijvoorbeeld vanwege cybercriminaliteit of regelgeving zoals GDPR). Die externe drijfveren bedoelen meestal krappe tijdschema's, dus perfectie is vaak de vijand van het goede als het gaat om presteren ISO 27001-certificering succes aan een gecomprimeerde deadline, vooral als na een onafhankelijke certificering.

ISO 27001 gaat, net als de andere ISO-managementnormen, over continue verbetering en is in wezen een op risicobeheer gebaseerde norm. Pragmatisch zijn over het bedrijfsrisico (ervan uitgaande dat dit ook acceptabel is voor klanten) en verbeteringen laten zien als onderdeel van het managementsysteem, wordt goed ontvangen door auditors. Het toont ook een De organisatie heeft de controle en is zich bewust van de risico’s. Als zodanig benadrukt de ARM het pragmatische boven het perfecte en kunt u eenvoudig voortbouwen op wat u vandaag heeft. Vervolgens plant u verbeteringen in de loop van de tijd, geprioriteerd vanuit een risicoperspectief.

Als je vandaag nog niet genoeg doet, dan is het vooraf geconfigureerd ISMS.online-platform, de meegeleverde bruikbare documentatie en de optionele Virtual Coach-services helpen u veel sneller en tegen lagere totale kosten resultaten te behalen dan enig ander alternatief. De Virtuele Coach bevat ook de ARM-stappen naar succes, die hieronder worden samengevat.

Wij maken het behalen van ISO 27001 eenvoudig


Krijg een voorsprong van 77%

Krijg een voorsprong van 77%

Ons ISMS wordt vooraf geconfigureerd geleverd met tools, raamwerken en documentatie die u kunt overnemen, aanpassen of toevoegen. Eenvoudig.


Uw weg naar succes

Uw weg naar succes

Onze Assured Results-methode is ontworpen om u bij uw eerste poging te laten certificeren. 100% succespercentage.


Kijk en leer

Kijk en leer

Vergeet tijdrovende en dure trainingen. Onze Virtual Coach-videoserie is 24/7 beschikbaar om u te begeleiden.

Hoe u ARM volgt voor snel en effectief ISO 27001-succes

Stap 1: Beschrijf de huidige informatiebeveiligingsomgeving van de organisatie

A: Leg de basis voor succes op het gebied van informatiebeveiligingsbeheer

Dit betekent dat u uw organisatie en de relevantie ervan begrijpt informatiebeveiliging ernaar. Het bevat overwegingen voor partijen die geïnteresseerd zijn in uw informatiebeveiligingsbeheer, de informatiemiddelen die u moet beschermen, de risico's waarmee u wordt geconfronteerd en uw topniveau Informatiebeveiligingsbeleid.

In de praktijk omvat dit ook adressering Artikel 4, Artikel 5, en clausule 6 van de ISO 27001-norm samen met bijlage A 8, die zich richt op de informatieclassificatie en de inventaris van informatiemiddelen. Als u dit nog niet kunt doen, bevat het ISMS.online-platform veel inhoud en hulpmiddelen waarmee u deze gebieden snel kunt beschrijven. Het biedt ook een van de meest voorkomende banken risico's op het gebied van informatiebeveiliging, is gekoppeld aan de relevante controles uit bijlage A en zorgt ervoor dat u bij uw implementatie een aanpak hanteert die past bij uw bedrijfscultuur, risicobereidheid en gewenste manier van werken.

B: Beschrijf het huidige informatiebeveiligingsbeleid en de huidige controles

U beschikt al over een aantal beleidsmaatregelen en controles, ook al zijn deze eerder impliciet dan goed gedocumenteerd. Deze zijn hoogstwaarschijnlijk gebaseerd op het in acht nemen van risico's of waargenomen 'best practices' en de kennis van professionele medewerkers, of gewoonweg op gezond verstand bij het beschermen van uw waardevolle informatie tegen kwaadwillende partijen. Mogelijk is dit niet via een formeel gedaan risico-evaluatie of gedocumenteerde aanpak. Voor deze stap hoeft u dus alleen maar te beschrijven wat u vandaag doet, in de context van de standaard beleid en controles in bijlage A, en koppel het vervolgens terug aan de informatiemiddelen en het belangrijkste risicowerk dat u gaat doen bij het leggen van de basis.

Als je niet gemakkelijk kunt beschrijven hoe je werken vandaag op de relevante informatiebeveiligingsgebieden op basis van uw risicoanalyse kunt u dit ook niet aantonen tijdens de fase 2-audit, zodat een externe auditor geen andere keuze heeft dan non-conformiteiten en mogelijke tekortkomingen te melden. Het is een van de veelvoorkomende problemen waarmee organisaties te maken krijgen die alleen maar toolkits voor informatiebeveiligingsbeleidsdocumenten kopen, deze vervolgens op een gedeelde schijf dumpen en denken dat dit goed genoeg is voor succes; Het is niet. De bruikbare documentatie, inhoud en vooraf gebouwde tools binnen het ISMS.online-platform voor de Annex A-controles zullen u helpen bij het nadenken. Ze geven u ook de kans om het over te nemen, aan te passen of aan te vullen, waardoor u enorm veel tijd bespaart en er vooral voor zorgt dat uw bedrijf het ook in de praktijk kan demonstreren.

C: De overige kerneisen van ISO 27001 overnemen of aanpassen

Nu kunt u teruggaan en beschrijven hoe u de resterende kerneisen van de standaard gaat benaderen, die meer gericht zijn op de operationele administratie en voortdurende verbetering van het informatiebeveiligingsmanagementsysteem. Het omvat hoe u enkele administratief pijnlijke maar belangrijke aspecten van het ISMS aanpakt, evenals het verduidelijken van het leiderschap en de rollen die het informatiebeveiligingsbeheersysteem ondersteunen. De potentieel pijnlijke administratie omvat het documenteren van de Verklaring van Toepasselijkheid voor ISO 27001 clausule 6.1.3, evenals de processen voor het voldoen aan de informatiebeveiligingsdoelstellingen van artikel 6 van de kerneisen. Dit deel gaat ook in op de manier waarop de operatie wordt beheerd, interne auditsEr worden managementbeoordelingen, corrigerende maatregelen, afwijkingen en verbeteringen ondernomen.

Net als de andere delen van ISO 27001 heeft ISMS.online hier al veel van de vereisten aangepakt, wat een relatief pijnloze aanpak betekent, met geautomatiseerde rapportage en praktische, vooraf geconfigureerde werkruimten om die effectieve werking eenvoudig aan te tonen. Het helpt u enorm om deze laatste reeks vereisten in een zo kort mogelijk tijdsbestek te realiseren.

Stap 2: Ga live met het ISMS

Hoe eerder u uw managementsysteem voor informatiebeveiliging in operationele modus kunt brengen, hoe sneller het 'business as usual' kan worden en kan laten zien dat u informatiebeveiliging serieus neemt. Het is waarschijnlijk dat uw ISMS zal organisch met processen beginnen te werkenAangezien controles en beleid gedurende de gehele implementatieperiode worden ingevoerd, is het echter nuttig om een ​​datum te vermelden waarop het ISMS als “Live & Operationeel” wordt beschouwd.

De voordelen zijn:

  • Een duidelijk gedefinieerd “startpunt” waar de auditors binnen de audit niet rekening mee moeten houden reikwijdte van de ISMS-audit en mag niet worden gedocumenteerd bevindingen van niet-naleving vóór deze datum
  • Het richt zich op verantwoordelijke partijen binnen de organisatie vanaf het moment dat van hen wordt verwacht dat zij bewijs gaan leveren voor de beheersingsmaatregelen binnen hun verantwoordelijkheidsgebied
  • Alles vóór deze datum kan tijdens een audit door u worden aangeduid als ‘vroege adoptie’

U hoeft niet “perfect” te zijn op de “go-live”-datum, maar het is de moeite waard om een ​​datum te selecteren waarop een meerderheid van de processen, het beleid en de controles gereed zijn voor gebruik. Het is duidelijk dat er tussen deze datum en de Fase 1- of Fase 2-audit nog steeds verbeteringen kunnen worden aangebracht.

Idealiter zou de datum minimaal 1 maand vóór de fase 1-audit moeten zijn (wat meestal 1 maand vóór de fase 2-audit is). Dit is om ervoor te zorgen dat door de tijdstip van de fase 2-audit, er is ten minste twee maanden aan bewijsmateriaal verzameld.

Ga akkoord met de formele lanceringsdatum van het ISMS en documenteer deze. Als u ISMS.online gebruikt, raden wij u aan dit vast te leggen en vast te leggen in uw ISMS Board-gebied en dit ook aan te kondigen aan uw medewerkers in de scope, bijvoorbeeld via uw ISMS.online Group-communicatie, en ernaar te verwijzen zodat de auditor het kan zien als daarom wordt gevraagd.

Zie ons platform in actie
Boek uw demo

Stap 3: Plan verbeteringen op het gebied van informatiebeveiliging

Tijdens het beschrijven van uw huidige implementatie van informatiebeveiliging zult u zeer waarschijnlijk verbeteringen hebben geïdentificeerd die u nodig heeft of wilt aanbrengen. Denk hierbij aan het verder terugbrengen van uw risico’s naar een acceptabel niveau, het verbeteren van de operationele efficiëntie of zelfs het benutten van nieuwe kansen. In plaats van op dat moment de verbeteringen te vertragen, had u aantekeningen gemaakt over deze verbeterpunten en is het nu tijd om die verbeteringen op het gebied van de informatiebeveiliging te plannen. Hiermee laat u zien dat u het ISMS onder controle heeft en kunt u zowel aan uw senior management als aan een externe auditor aantonen dat u voortdurend bezig bent met verbeteren.

In ISMS.online moedigt het aan dat deze verbeteringen worden vastgelegd in het “Corrective Actions & Improvements Track” (of als het heel eenvoudig is, voegt u ze toe als taken binnen het relevante risicobehandelingsplan). Om die effectieve controle en planning aan te tonen, moet u nu alle de items en wijs eigenaren toe, geef prioriteit aan actie en stel streefdata voor voltooiing in.

Tijdens het stellen van prioriteiten moet het volgende in overweging worden genomen:

  • Hoe gemakkelijk de implementatie van de verbetering zal zijn
  • Hoeveel risicoreductie of andere voordelen zullen worden bereikt
  • Als de verbeteringsimplementatie kan worden voltooid na certificering (waarbij de risico-eigenaar graag het bovenstaande risiconiveau accepteert totdat de implementatie is voltooid)
  • Als de implementatie voltooid moet zijn vóór de ISO 27001 Fase 1 Audit (verbeteringen in de beschrijving van controles)
  • Als de implementatie voltooid moet zijn vóór de ISO 27001 Fase 2 Audit (verbeteringen aan de implementatie en werking van controles)

Indien geïdentificeerde verbeteringen nodig zijn voorafgaand aan de Fase 1- of Fase 2-audit, moet u er zeker van zijn dat dit kan worden bereikt voordat u de betreffende audit boekt. (Fase 1 en Fase 2 audits liggen normaal gesproken ongeveer 1 maand uit elkaar).

Nadat u stap 3 heeft voltooid, bevindt u zich op een goede plek om te slagen in de fase 1-audit.

Stap 4: ISO 27001 Fase 1 en Fase 2 audits

Wat is de fase 1-audit voor ISO 27001?

Nadat u stap 1-3 heeft voltooid, bevindt u zich op een geweldige plek voor de fase 1-audit. De auditor van de certificatie-instelling zal de documentatie van het Information Security Management System willen zien en begrijpen dat u aan de vereisten hebt voldaan, althans in theorie! Deze fase is meer een desktop review van het ISMS met de auditor, waarbij de verplichte gebieden worden besproken en ervoor wordt gezorgd dat de geest van de norm wordt toegepast. Vooruitstrevende certificeringsinstanties beginnen dit op afstand te doen met platforms zoals ISMS.online, wat de kosten verlaagt en het proces ook kan versnellen. Het resultaat van deze oefening is een aanbeveling voor de bereidheid tot fase 2-audit (misschien met observaties om opnieuw te beoordelen tijdens de fase 2-audit) of de noodzaak om eventuele geïdentificeerde non-conformiteiten aan te pakken voordat verdere vooruitgang kan worden geboekt.

Wat is de fase 2-audit voor ISO 27001?

Na voltooiing van de Fase 1 Audit heeft de auditor een basiskennis van uw organisatie informatiebeveiligingspositie en de benadering van informatiebeveiligingsbeheer. Ze zullen nu willen zien dat je ook daadwerkelijk DOET wat je zegt dat je doet. Bovendien verwachten ze dat u beoordeelt hoe effectief uw ISMS is en hoe u voortdurende verbetering beheert. Het doel van de Fase 2-audit is om te bewijzen dat uw ISMS functioneert zoals beschreven, in overeenstemming met de eisen van de norm en het niveau van informatiebeveiliging levert dat als adequaat wordt beschouwd en in verhouding staat tot de risico's waarmee uw organisatie wordt geconfronteerd. Fase 1 is vrij eenvoudig, maar fase 2 gaat erom de auditor het vertrouwen te geven dat u ISMS in een levende ademhalingsvorm aantoont binnen uw aangegeven reikwijdte.

Als laatste kruiscontrole voorafgaand aan de Fase 2-audit kunt u uzelf de volgende eenvoudige vragen stellen:

  1. Hebben we eventuele kritische bevindingen uit de fase 1-audit afgesloten?
  2. Kunnen we de werking van alle vereiste ISMS-processen aantonen?
  3. Worden de doelstellingen gemeten en behaald?
  4. Wordt het risicoregister bijgehouden?
  5. Is veiligheidsbewustzijn en training ingezet voor degenen die binnen de reikwijdte vallen?
  6. Zijn competentielacunes gesloten zijn?
  7. Worden er interne audits uitgevoerd?
  8. zijn formeel ISMS-managementrecensies wordt gevoerd?
  9. Worden corrigerende acties en verbeteringen geregistreerd en bijgehouden?
  10. Kunnen we de werking van alle relevante informatiebeveiligingscontroles en -processen bewijzen?
  11. Kunnen we aantonen dat wanneer incidenten worden geïdentificeerd, deze in de loop van de tijd worden geregistreerd, gevolgd, beheerd en geïmplementeerd?
  12. Kunnen we laten zien dat we tevreden zijn met ons huidige risicoprofiel? Dat is:
    • Een risico is aanvaardbaar en er zijn op dit moment geen verdere maatregelen nodig
    • Is een risico momenteel aanvaardbaar wanneer wordt gekeken naar geïdentificeerde verbeteringen die zijn vastgelegd en die binnen een bepaald tijdsbestek worden geïmplementeerd?

Als u deze vragen met ‘ja’ kunt beantwoorden, bent u waarschijnlijk klaar voor de Fase 2-audit.

De auditor zal verder onderzoek doen, vervolgens uw aanpak steekproefsgewijs testen en vrijwel zeker personeel selecteren om aan te tonen dat ze zijn opgeleid, op de hoogte zijn en zich aan de regels houden. Het is van groot belang dat uw personeel en andere mensen binnen de scope (bijvoorbeeld leveranciers) kunnen aantonen dat zij begrijpen waar ze de door u aangegeven beleidslijnen en procedures kunnen vinden en dat zij deze naleven als de auditor daarom vraagt. ISMS.online aanbiedingen Beleidspakketten voor demonstratie van naleving en ISMS-communicatiegroepen om personeel en belangrijke leveranciers te betrekken over het onderwerp informatiebeveiliging. De bemonstering van bewijsmateriaal kan het volgende omvatten:

  • Fysieke inspecties (bijv. rondleiding op locatie/kantoor)
  • Interviews met personeel dat verantwoordelijk is voor het ISMS of Informatiebeveiliging
  • Interviews met algemeen personeel (bijvoorbeeld om het bewustzijn te controleren)
  • Inspectie van logboeken en gegevens (van alle soorten)
  • Beoordeling van de implementatie van technische controles (bijv. configuratiebestanden)

Als uw scope meerdere locaties omvat, zal de certificatie-instelling een aantal daarvan willen auditeren, vooral locaties met een sleutelfunctionaliteit. Wanneer u bij hen uw offerte aanvraagt, geven zij u de exacte details.

Er zijn twee uitkomsten van de Fase 2-audit:

  1. Niet aanbevolen voor certificering – Dit is hoogst ongebruikelijk omdat eventuele grote problemen tijdens de fase 1-audit hadden moeten worden geïdentificeerd. Het gebeurt wel als acties om non-conformiteiten uit de Fase 1-audit aan te pakken zijn niet genomen. Heel soms wordt een nog niet eerder ontdekte grote non-conformiteit aangetroffen. Als dit toch gebeurt, zal de certificatie-instelling vrijwel zeker de audit onmiddellijk stopzetten en gedetailleerd beschrijven welke stappen nodig zijn om het probleem op te lossen. In het ergste geval kan een herhaling van de Fase 2-audit noodzakelijk zijn.
  2. Aanbevolen voor certificering – Dit betekent dat u, onder voorbehoud van collegiale toetsing van de audit binnen de certificatie-instelling en mogelijke beoordeling door de accreditatie-instelling (bijvoorbeeld UKAS), uw certificering ontvangt.

Mogelijk ontvangt u ook verbeterpunten of kleine non-conformiteiten die moeten worden aangepakt in overeenstemming met de aanbevelingen van de auditor.
Laptop met een ISMS-cluster

Wat gebeurt er na de ISO 27001 Fase 2 Audit?

Als u bent aanbevolen voor certificering… GEFELICITEERD! Geniet van het moment, want het is heel hard werken om een ​​onafhankelijk gecertificeerd informatiebeveiligingsbeheer op te bouwen waarop mensen kunnen vertrouwen. Als het simpel was zou iedereen het doen, maar dat doen ze niet. Hoewel ISMS.online de hele reis veel gemakkelijker en sneller maakt, is het nog steeds een prachtige prestatie die het vieren waard is.

De certificeringsinstantie zal het auditrapport vervolgens intern beoordelen en het rapport doorgeven aan de accreditatie-instantie (bijv. UKAS), die een monster van elke certificeringsinstantie bekijkt om er zeker van te zijn dat de normen worden gehandhaafd. Zodra de accreditatie-instelling het goedkeuringszegel geeft, wordt een certificaat afgegeven. Het proces van beoordeling en certificering duurt normaal gesproken 3 tot 4 weken. Het certificaat heeft een geldigheidsduur van 3 jaar en u krijgt onderweg regelmatig controle-audits, meestal jaarlijks.

Voorlopig kunt u verdergaan met het “vieren en voortbouwen op succes”, aangezien een ISMS voor het leven is, en niet alleen voor de eerste certificering. Wat kan worden gegeven, kan gemakkelijk worden weggenomen als u uw aanpak in de loop van de tijd niet handhaaft en verbetert, dus vergeet niet om vaak een beetje te blijven doen, en u zult merken dat het snel integreert in een zeer beheersbare, positieve ervaring voor u en de organisatie .

Ontdek hoe eenvoudig het is met ISMS.online
Boek uw demo