Hieronder vindt u de kernvereisten van ISO 27001:2013. Bent u op zoek naar de bijgewerkte
Klik op onderstaande knop voor de kernvereisten van ISO 27001:2022.
Wat houdt artikel 7.5 in?
Een van de belangrijkste vereisten voor ISO 27001 is daarom dat u uw managementsysteem voor informatiebeveiliging beschrijft en vervolgens aantoont hoe de beoogde resultaten voor de organisatie worden bereikt. Als de organisatie een onafhankelijke ISO 27001-certificering van een instantie als UKAS wil behalen, is het ontzettend belangrijk dat alles wat met het ISMS te maken heeft, gedocumenteerd, goed onderhouden en makkelijk vindbaar is.
ISO 27001 clausule 7.5 is als volgt onderverdeeld:
Artikel 7.5.1 – Algemene documentatie voor ISO 27001
Het ISMS moet duidelijk het volgende omvatten:
- Een beschrijving van hoe het 4.1 tot en met 10.2 van de kernvereisten aanpakt, inclusief de risicobeoordeling en -behandeling die leidt tot de selectie van de controles uit bijlage A.
- De relevante controles uit bijlage A die deel uitmaken van de verklaring van toepasselijkheid – wat in feite betekent dat u alle controles moet hebben vermeld. Zelfs als een organisatie besluit dat een controle niet relevant is, moet zij documenteren dat, bijvoorbeeld als zij geen behoefte heeft aan leverings- en laadruimtes in bijlage A 11.1.6 omdat het een puur digitale onderneming is, zij aan de auditor moet aantonen dat dit wel het geval is. ervan uitgegaan dat er geen risico bestaat en dat er geen noodzaak is voor die controle.
Artikel 7.5.2 – Creëren en bijwerken van gedocumenteerde informatie voor ISO 27001
ISO 27001 wil duidelijkheid in de documentatie, op zoek naar identificatie en beschrijving, formaat, beoordeling en goedkeuring voor geschiktheid en adequaatheid om zijn doel te dienen. Het is gemakkelijk om de nuances van deze vereisten over het hoofd te zien, maar in de praktijk betekent dit dat rekening moet worden gehouden met auteur, datum, titel, referentie enz., en dat goedkeuringsproces is ook erg belangrijk voor aansluiting op bijlage A 5.1.2, zoals hieronder beschreven.
Artikel 7.5.3 – Beheersing van gedocumenteerde informatie voor ISO 27001
De kern van het ISMS is het principe van vertrouwelijkheid, integriteit en beschikbaarheid van de informatie. Hetzelfde geldt voor het ISMS zelf: het moet beschikbaar zijn wanneer dat nodig is en moet op adequate wijze worden beschermd tegen verlies van vertrouwelijkheid, ongeoorloofd gebruik of potentiële integriteitsaantastingen.
Het eenvoudigweg dumpen van de ISMS-inhoud op de gedeelde schijf van het team en deze ongecontroleerd of met ineffectieve toegangsrechten zou vrijwel zeker tot problemen voor de organisatie leiden bij een audit. Op dezelfde manier zou het een probleem zijn om het op een persoonlijke manier te laten gebeuren, ontoegankelijk voor degenen die meer moeten weten over het ISMS. Daarom moet er aandacht worden besteed aan tal van gebieden voor effectieve controle. ISO zoekt een organisatie die de volgende aspecten aanpakt:
- duidelijkheid over delen en distribueren, controle over de toegang tot een deel of het geheel van het ISMS – rekening houdend met de toegangsrechten voor lezen, bijwerken, goedkeuren, verwijderen enz. moeten mogelijk verschillen op basis van de rol van de stakeholder
- opslag en bewaring, inclusief controle van wijzigingen (het tonen van oudere versies, historische goedkeuringen enz.)
- Ook het vasthouden en verwijderen ervan verdient aandacht
Deze vereiste komt ook overeen met de regelmatige evaluatie van het beleid die wordt benadrukt in bijlage A.5.1.2, die hieronder ook wordt besproken.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Hoeveel moet er geschreven worden voordat de documentatie van het ISMS door een auditor als aanvaardbaar wordt beschouwd?
Een vraag die vaak wordt gesteld over documentatie voor informatiebeveiligingsbeheer is 'hoeveel is genoeg'. Het korte antwoord is dat het om kwaliteit gaat en niet om kwantiteit. Zolang de organisatie voldoet aan de hieronder samengevatte vereisten en kan aantonen dat zij geen langdurige, uitgebreide documentatie nodig heeft, zal de auditor daar tijdens een audit ongetwijfeld rekening mee houden – bijvoorbeeld omdat het een kleine organisatie is met weinig deelnemers rond het ISMS. , stabiel, overzichtelijk, goed onderhouden en eenvoudig in bediening.
Is documentatie voor het informatiebeveiligingsmanagementsysteem 'documenten in word-stijl' of zijn andere vormen van inhoud toegestaan?
Vragen over wat voor soort documentatie wordt verwacht, is een van de andere veelgestelde vragen over de documentatie van artikel 7.5 voor het managementsysteem voor informatiebeveiliging. In de toelichting bij clausule 27001 vermeldt ISO 7.5.1 duidelijk het volgende:
“De omvang van de gedocumenteerde informatie voor een managementsysteem voor informatiebeveiliging kan van organisatie tot organisatie verschillen vanwege:”
- de omvang van de organisatie en het soort activiteiten, processen, producten en diensten;
- de complexiteit van processen en hun interacties; En
- de competentie van personen.
Een aantal ISO 27001-leveranciers van 'toolkits' voor informatiebeveiligingsdocumentatie hebben de mythe in stand gehouden dat gedocumenteerde informatie voor een ISMS uit Word-documenten en Excel-spreadsheets moet bestaan. Het is duidelijk dat deze documenten een plaats kunnen hebben in een ISMS (waar bijvoorbeeld ook afbeeldingen of complexe processen moeten worden gecommuniceerd), maar dat ze spaarzaam moeten worden gebruikt gezien de komst van betere online tools.
Online diensten zoals ISMS.online faciliteren documenten op een meer traditionele manier en bieden ook effectievere manieren om documentatie te beheren. Deze kunnen een betere controle en coördinatie laten zien, betere manieren bieden om te delen en te publiceren met het publiek en het hele proces van documentatiebeheer voor de vereisten van clausule 7.5 hieronder aanzienlijk vereenvoudigen. Het betekent ook dat de oude tijden van tijdverspilling met voorpagina's van documenten waarop alle versiewijzigingen en goedkeuringen per e-mail staan, allang voorbij zijn!
7.5 samenvoegen met bijlage A-controles
Als je bedenkt dat de eisen uit artikel 7.5 ook aansluiten bij de controledoelstellingen in de bijlagen, is het nog logischer om na te denken over een samenhangend, goed gecoördineerd managementsysteem in plaats van ouderwetse documenten en gedeelde schijven voor opslag. Voorbeelden van waar clausule 7.5 moet worden samengevoegd met de controles in bijlage A zijn onder meer:
Bijlage A 5.1.1
Naast het definiëren ervan, moet het informatiebeveiligingsbeleid worden goedgekeurd door het management, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. Het is niet eenvoudig om goedkeuring aan te tonen voor documenten op zich, en het publiceren van belangrijke documenten zal waarschijnlijk niet worden verteerd of begrepen door de stakeholders, zelfs niet als ze zijn gecommuniceerd (waardoor de organisatie het risico loopt op non-compliance en verlies door onwetendheid).
Bijlage A 5.1.2
Herziening van het beleid voor informatiebeveiliging. ISO 27001 zegt dat beleid regelmatig moet worden herzien met geplande tussenpozen (of als zich significante veranderingen voordoen) om de voortdurende geschiktheid ervan te garanderen. Onafhankelijke ISO-auditors verwachten dat deze beoordeling ten minste jaarlijks voor elk beleid wordt uitgevoerd.
Bijlage A 18.2
Deze Annex A-controle gaat over beoordelingen van informatiebeveiliging en integreert, indien goed uitgevoerd, naadloos met clausule 7.5 voor documentatiebeheer van een ISMS, inclusief onafhankelijke beoordelingen, controles op naleving en, indien van toepassing, technische naleving. Het beoordelen, beheren van versies, het tonen van updates en vervolgens goedkeuren van ouderwetse documenten waar dat niet per se documenten hoeven te zijn, kan beheerders van het ISMS behoorlijk vertragen. Het kan ook de betrokkenheid van medewerkers vertragen of verliezen en leiden tot non-compliance.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Hoe beheert u documentatie in uw ISMS?
Clausule 7.5 is gemakkelijk verkeerd te begrijpen en rond te slingeren, wat leidt tot een auditmislukking, of misschien het te veel bedenken van een oplossing en veel te veel tijd besteden aan het bouwen van een managementsysteemstructuur die te moeilijk te handhaven is bij de eerste verandering. De ISMS.online business case planner kijkt naar de mogelijkheden van bouwen versus kopen, dus bekijk dat zeker als u overweegt uw eigen oplossing te creëren.
Het is erg lastig om aan alle eisen van clausule 7.5 en de bijbehorende controles in Bijlage A te voldoen. Daarom zoeken veel organisaties naar een speciaal ontwikkelde ISMS-softwareoplossing en willen ze iets met de kenmerken van ISMS.online.
U zou immers geen tijd verspillen aan het bouwen van uw eigen CRM- of financiële systeem als anderen al tijd hebben besteed aan het ontwikkelen van de juiste oplossing die direct out-of-the-box kan worden geleverd voor een fractie van de kosten van een doe-het-zelf-oplossing die maakt geen deel uit van de kerncompetenties van de organisatie.
ISMS.online biedt een eenvoudig te volgen structuur voor alle vereiste documentatie. Het volgt exact dezelfde structuur als de norm zelf, zodat u en een auditor eenvoudig en snel naar de vereiste documentatie kunnen navigeren. Het heeft ingebouwde rollen en machtigingen voor toegang, bewerking, goedkeuring en delen. Er is ook automatisch versiebeheer en herinneringen voor beoordelingen. We zijn zelfs nog een stap verder gegaan en hebben beleids- en controledocumentatie toegevoegd die u direct kunt overnemen, aanpassen en aanvullen.
Met de ISMS.online softwareoplossing kunt u zich concentreren op uw ISMS-doelen. ISMS.online maakt de administratie eenvoudiger, zodat u eenvoudig documentatie kunt maken, controleren, coördineren, beheren en delen met belanghebbenden, onder andere via beleidspakketten. Dit vergroot het vertrouwen in naleving van alle aspecten. Het biedt u bovendien alle tools om de vele werkprocessen uit te voeren die de norm vereist. Daarom noemen we de documenten die we aanbieden 'bruikbaar'. Het zijn meer dan simpele documentsjablonen die u zelf kunt interpreteren en waarmee u uw processen kunt demonstreren. ISMS.online is een complete ISMS-oplossing op één plek.
Word tot 5x sneller gecertificeerd met ISMS.online
Compliance hoeft niet ingewikkeld te zijn – ISMS.online is ontworpen om u te helpen de ISO 27001-certificering snel en betaalbaar te behalen zonder dat er training nodig is.
We hebben het ISO 27001-proces gestroomlijnd met onze Assured Results-methode, een voorsprong van 80%, uw eigen 24/7 virtuele coach, eenvoudige onboarding en deskundige ondersteuning.
Boek een platformdemo en ontdek hoe ISMS.online uw bedrijf kan helpen.
