ISO 27001-vereisten

1. strekking

De ISO 27001-norm omvat verschillende aspecten van informatiebeveiligingsbeheer, waaronder het opzetten, implementeren, onderhouden en voortdurend verbeteren van een ISMS binnen de context van een organisatie. De standaard is van toepassing op organisaties van alle soorten, maten en aard.

De eisen die zijn vastgelegd in de ISO 27001-norm zijn bedoeld om ervoor te zorgen dat organisaties over passende maatregelen beschikken om hun informatiemiddelen te beschermen. Deze eisen bestrijken een breed scala aan gebieden.

2. Normatieve referenties

ISO 27001 zelf is gebaseerd op een risicomanagementbenadering en biedt een raamwerk voor organisaties voor het opzetten, implementeren, onderhouden en voortdurend verbeteren van een informatiebeveiligingsmanagementsysteem (ISMS). De normatieve verwijzingen in ISO 27001 omvatten verschillende andere ISO/IEC-normen die richtlijnen bieden voor verschillende aspecten van informatiebeveiligingsbeheer. Deze omvatten:

• ISO/IEC 27000: Deze norm is een normatieve referentie in ISO 27001 en dient als overzicht en vocabulaire voor managementsystemen voor informatiebeveiliging. Het definieert de belangrijkste termen en concepten die in de ISO 27000-documentenfamilie worden gebruikt en schetst de reikwijdte en doelstellingen van elk lid van de familie.
• ISO/IEC 27002: Deze norm, ook bekend als de Code of Practice for Information Security Management, biedt richtlijnen voor de selectie en implementatie van beveiligingsmaatregelen. Het biedt een uitgebreide reeks best practices voor organisaties om hun informatiemiddelen te beschermen en beveiligingsrisico's effectief te beheren.
• ISO/IEC 27005: Deze norm richt zich op risicobeheer en biedt richtlijnen voor het risicobeoordelingsproces en de risicobehandeling. Het helpt organisaties informatiebeveiligingsrisico's te identificeren en te beoordelen, en passende risicobehandelingsplannen te ontwikkelen om deze risico's te beperken.
• ISO/IEC 27006: Deze norm biedt richtlijnen voor het certificeringsproces voor informatiebeveiligingsbeheersystemen. Het schetst de vereisten voor certificatie-instellingen en auditors om de naleving van ISO 27001 door organisaties te beoordelen en te certificeren.
• ISO/IEC 27007: Deze richtlijnen zijn specifiek ontworpen voor het auditen van managementsystemen voor informatiebeveiliging. Ze bieden begeleiding bij het auditproces, inclusief het plannen, uitvoeren en rapporteren van audits, om ervoor te zorgen dat het ISMS van een organisatie effectief wordt geïmplementeerd en onderhouden.
• ISO/IEC 27008: Deze richtlijnen richten zich op het beheer van informatiebeveiliging. Zij bieden begeleiding bij het opzetten, implementeren, onderhouden en voortdurend verbeteren van het managementsysteem voor informatiebeveiliging binnen een organisatie.

3. Termen en definities

Het onderdeel termen en definities heeft tot doel een gemeenschappelijk begrip en taal te bieden voor alle partijen die betrokken zijn bij de implementatie van de standaard.

4. Context van de organisatie

4.1 – Inzicht in de organisatie en haar context

ISO 27001 Eis 4.1 is bedoeld om ervoor te zorgen dat organisaties een alomvattend inzicht hebben in hun interne en externe omgeving, zodat ze hun informatiebeveiligingsrisico's effectief kunnen beheren.

Dit omvat het identificeren en beoordelen van de factoren die van invloed kunnen zijn op het vermogen van de organisatie om haar informatiebeveiligingsdoelstellingen te bereiken.

Door hun interne en externe context te begrijpen, kunnen organisaties de risico's identificeren en beoordelen die verband houden met hun managementsysteem voor informatiebeveiliging.

Hierdoor zijn zij in staat een op maat gemaakt en effectief systeem te ontwikkelen dat de geïdentificeerde risico’s mitigeert en naleving van toepasselijke wet- en regelgeving waarborgt.

4.2 – Inzicht in de behoeften en verwachtingen van geïnteresseerde partijen

ISO 27001 Eis 4.2 is bedoeld voor organisaties om de behoeften en verwachtingen van hun stakeholders te identificeren en te begrijpen. Denk hierbij aan klanten, leveranciers, medewerkers, aandeelhouders en andere geïnteresseerde partijen.

Het doel is ervoor te zorgen dat het informatiebeveiligingsmanagementsysteem (ISMS) van de organisatie voldoet aan de eisen van deze partijen.

Om aan deze vereiste te voldoen, moeten organisaties eerst hun belanghebbenden identificeren en hun specifieke behoeften en verwachtingen begrijpen.

Dit omvat het overwegen van wettelijke en regelgevende vereisten, contractuele verplichtingen en andere externe en interne kwesties die relevant zijn voor het doel van de organisatie en van invloed zijn op haar vermogen om de beoogde uitkomst van haar ISMS te bereiken.

4.3 – Bepalen van de reikwijdte van het Information Security Management System

ISO 27001 Eis 4.3 definieert de grenzen en reikwijdte van het Information Security Management System (ISMS) van de organisatie.

Dit omvat het identificeren en documenteren van de informatiemiddelen, processen, procedures, mensen, systemen en netwerken die binnen de reikwijdte van het ISMS vallen.

De reikwijdte moet alle informatiemiddelen van de organisatie omvatten, zowel fysiek als digitaal, evenals de processen en procedures die worden gebruikt om deze te beheren.

4.4 – Informatiebeveiligingsbeheersysteem

ISO 27001 Eis 4.4 schetst de noodzakelijke elementen voor het opzetten, implementeren, onderhouden en voortdurend verbeteren van een informatiebeveiligingsmanagementsysteem (ISMS).

Het ISMS is ontworpen om de veiligheid van informatie en gegevens te garanderen en om de rechten en vrijheden van individuen te beschermen.

ISO 27001 biedt een uitgebreide reeks vereisten voor het opzetten en onderhouden van een effectief ISMS dat de vertrouwelijkheid, integriteit en beschikbaarheid van informatie beschermt.

5. Leiderschap

5.1 – Leiderschap en betrokkenheid

ISO 27001-vereiste 5.1 legt uit dat het topmanagement van de organisatie leiderschap en toewijding moet tonen aan het informatiebeveiligingsmanagementsysteem (ISMS). Dit brengt een aantal belangrijke verantwoordelijkheden met zich mee.

Het management moet het ISMS monitoren en evalueren om de effectiviteit ervan te garanderen. Dit omvat het uitvoeren van interne audits en het nemen van de nodige corrigerende maatregelen om eventuele geïdentificeerde zwakke punten of non-conformiteiten aan te pakken.

5.2 – Informatiebeveiligingsbeleid

ISO 27001 Eis 5.2 vereist dat organisaties een informatiebeveiligingsbeleid hebben dat is goedgekeurd door het topmanagement.

Dit beleid dient als richtlijn voor het beheer van de informatiebeveiliging van de organisatie en moet rekening houden met verschillende factoren, zoals bedrijfsstrategie, regelgeving, wetgeving en huidige en verwachte informatiebeveiligingsrisico's en bedreigingen.

Het moet gebieden bestrijken zoals informatieoverdracht, veilige configuratie en verwerking van eindpuntapparaten van gebruikers, netwerkbeveiliging, beheer van informatiebeveiligingsincidenten, back-up, cryptografie en sleutelbeheer, classificatie en verwerking van informatie, beheer van technische kwetsbaarheden en veilige ontwikkeling.

5.3 – Organisatorische rollen, verantwoordelijkheden en autoriteiten

ISO 27001 Eis 5.3 schetst de vereiste voor organisaties om rollen, verantwoordelijkheden en bevoegdheden met betrekking tot informatiebeveiliging te definiëren en toe te wijzen.

Dit is van cruciaal belang om ervoor te zorgen dat alle individuen en groepen binnen de organisatie zich bewust zijn van hun specifieke rollen en verantwoordelijkheden met betrekking tot informatiebeveiliging.

Het document benadrukt de noodzaak van scheiding van taken, wat betekent dat verschillende individuen of groepen verantwoordelijk moeten zijn voor verschillende aspecten van informatiebeveiliging.

Dit helpt voorkomen dat één persoon buitensporige controle heeft over de informatiebeveiliging van de organisatie. Bovendien vereist het document dat organisaties ervoor zorgen dat hun personeel adequaat is opgeleid en over de noodzakelijke vaardigheden beschikt om hun rollen en verantwoordelijkheden te vervullen.

6. Planning

6.1 – Acties om risico's en kansen aan te pakken

ISO 27001 Eis 6.1 is erop gericht ervoor te zorgen dat organisaties informatiebeveiligingsrisico's en -kansen identificeren, beoordelen, behandelen en monitoren.

Dit omvat een systematische aanpak voor het beheersen van risico's en het nemen van passende maatregelen om deze te beperken.

Deze vereiste benadrukt het belang van een proactieve en alomvattende aanpak voor het beheren van informatiebeveiligingsrisico's om persoonlijke gegevens te beschermen en de integriteit en beschikbaarheid van informatiesystemen te waarborgen.

6.2 – Informatiebeveiligingsdoelstellingen en planning om deze te bereiken

ISO 27001 Eis 6.2 vereist dat organisaties informatiebeveiligingsdoelstellingen vaststellen en een plan ontwikkelen om deze te bereiken.

Deze doelstellingen moeten specifiek, meetbaar, haalbaar, relevant en tijdsgebonden zijn (SMART), en moeten aansluiten bij de algemene bedrijfsdoelstellingen van de organisatie. Het plan moet de stappen, middelen en tijdlijn schetsen die nodig zijn om de gewenste doelen te bereiken.

Regelmatige evaluatie van de doelstellingen en plannen op het gebied van informatiebeveiliging is noodzakelijk om de relevantie en effectiviteit ervan te garanderen. Eventuele veranderingen in de organisatie moeten worden overwogen en indien nodig in de plannen worden opgenomen.

7. Ondersteuning

7.1 – Hulpbronnen

ISO 27001 Eis 7.1 zorgt ervoor dat een organisatie over de nodige middelen beschikt om de veiligheid van haar informatiesystemen te handhaven.

Dit omvat het identificeren en documenteren van het personeel, de hardware, de software en andere middelen die nodig zijn voor informatiebeveiliging.

De organisatie moet ervoor zorgen dat deze middelen beschikbaar en toegankelijk zijn wanneer dat nodig is.

Zoals eerder beschreven bij Vereiste 5.3, schrijft ISO 27001 feitelijk niet voor dat het ISMS moet worden bemand met fulltime middelen, maar alleen dat de rollen, verantwoordelijkheden en bevoegdheden duidelijk zijn gedefinieerd en dat zij eigenaar zijn – ervan uitgaande dat het juiste niveau van middelen zal worden ingezet als vereist.

7.2 – Competentie

ISO/IEC 27001 Eis 7.2 schetst hoe de organisatie ervoor zal zorgen dat zij:

• Bepaalde de competentie van de mensen die het werk aan het ISMS deden en die de prestaties ervan zouden kunnen beïnvloeden.
• Mensen die op grond van de relevante opleiding, training of ervaring competent worden geacht.
• Waar nodig actie ondernomen om de benodigde competentie te verwerven en de effectiviteit van de acties geëvalueerd.
• Bewaarde bewijsmateriaal van het bovenstaande voor auditdoeleinden.

Door ervoor te zorgen dat het personeel competent is, kunnen organisaties hun informatiebeveiligingsprestaties effectief beheren en persoonlijke gegevens beschermen.

Lees meer over 7.2

7.3 - Bewustzijn

ISO 27001 Eis 7.3 stelt dat organisaties ervoor moeten zorgen dat al het personeel zich bewust is van het belang van informatiebeveiliging en van hun rollen en verantwoordelijkheden bij het onderhouden ervan.

Dit omvat het bieden van training en opleiding over informatiebeveiligingsonderwerpen, waarbij ervoor wordt gezorgd dat het personeel het beveiligingsbeleid en de beveiligingsprocedures van de organisatie begrijpt, en de gevolgen als deze niet worden nageleefd.

ISO 27001 zoekt bevestiging dat de personen die het werk uitvoeren zich bewust zijn van:

• Het informatiebeveiligingsbeleid.
• Hun bijdrage aan de effectiviteit van het ISMS, inclusief de voordelen van de verbeterde prestaties ervan.
• Wat gebeurt er als het managementsysteem voor informatiebeveiliging niet voldoet aan de vereisten?

Door ervoor te zorgen dat het personeel competent is, kunnen organisaties hun informatiebeveiligingsprestaties effectief beheren en persoonlijke gegevens beschermen.

Lees meer over 7.3

7.4 – Communicatie

ISO 27001 Eis 7.4 richt zich op de noodzaak voor organisaties om effectieve communicatiepraktijken op te zetten om ervoor te zorgen dat aan de informatiebeveiligingsdoelstellingen wordt voldaan. Dit omvat communicatie met relevante belanghebbenden, de commissaris in het geval van een inbreuk op persoonsgegevens, en tussen alle betrokken partijen.

ISO 27001 eis 7.4 zoekt naar het volgende:

• Wat te communiceren over het ISMS.
• Wanneer dat wordt gecommuniceerd.
• Wie zal deel uitmaken van die communicatie?
• Wie doet de communicatie.
• Hoe dat allemaal gebeurt, dwz welke systemen en processen zullen worden gebruikt om aan te tonen dat dit gebeurt en effectief is

7.5 – Gedocumenteerde informatie

ISO 27001 Eis 7.5 voor ISO 27001 vraagt ​​u om uw managementsysteem voor informatiebeveiliging te beschrijven en vervolgens aan te tonen hoe de beoogde resultaten voor de organisatie worden bereikt.

Als de organisatie een onafhankelijke ISO 27001-certificering wil behalen bij een instantie als UKAS, is het ongelooflijk belangrijk dat alles wat met het ISMS te maken heeft, gedocumenteerd en goed onderhouden en gemakkelijk te vinden is.

ISO-gecertificeerde auditors putten veel vertrouwen uit een goed beheer en onderhoud van een goed gestructureerd managementsysteem voor informatiebeveiliging.

8. Werking

8.1 – Operationele Planning & Control

ISO 27001 Eis 8.1 is gericht op het waarborgen van de veiligheid van de informatie van een organisatie door haar activiteiten te plannen en te controleren.

Dit omvat het identificeren en beoordelen van risico's die verband houden met de activiteiten van de organisatie en het implementeren van passende beveiligingsmaatregelen om deze risico's te beperken.

De organisatie moet ook beleid en procedures ontwikkelen en implementeren om haar informatie te beschermen tegen ongeoorloofde toegang, gebruik, openbaarmaking, wijziging of vernietiging.

Deze eis is heel gemakkelijk te bewijzen als de organisatie al 'haar werking heeft laten zien'. Door het managementsysteem voor informatiebeveiliging te ontwikkelen om te voldoen aan eisen 6.1, 6.2 en in het bijzonder 7.5, waarbij het hele ISMS goed gestructureerd en gedocumenteerd is, wordt tegelijkertijd ook 8.1 bereikt.

8.2 – Risicobeoordeling van informatiebeveiliging

ISO 27001 Eis 8.2 vereist dat organisaties met geplande tussenpozen of wanneer zich significante veranderingen voordoen een Information Security Risk Assessment (ISRA) uitvoeren.

Het doel van deze vereiste is ervoor te zorgen dat organisaties zich bewust zijn van potentiële risico's voor hun informatiebeveiligingsbeheersysteem en de nodige stappen kunnen ondernemen om deze te beperken.

Het proces omvat het identificeren, beoordelen en beheren van risico's voor de informatiemiddelen van de organisatie. Dit omvat het analyseren van de informatiemiddelen van de organisatie, het identificeren van bedreigingen en kwetsbaarheden die verband houden met deze middelen, en het evalueren van de potentiële impact van een inbreuk op de beveiliging.

8.3 – Behandeling van informatiebeveiligingsrisico's

ISO 27001 Eis 8.3 schetst de vereiste voor organisaties om informatiebeveiligingsrisico's te identificeren, beoordelen en behandelen.

Dit omvat het identificeren en beoordelen van risico's die verband houden met de verwerking van persoonsgegevens en het implementeren van passende beveiligingsmaatregelen om deze risico's te beperken. Deze maatregelen kunnen onder meer toegangscontrole, encryptie en gegevensback-up omvatten.

Organisaties moeten ervoor zorgen dat alle extern geleverde processen, producten of diensten die relevant zijn voor het informatiebeveiligingsbeheersysteem worden gecontroleerd. Gedocumenteerde informatie over de resultaten van de behandeling van informatiebeveiligingsrisico's moet ook worden bewaard.

9. Prestatie-evaluatie

9.1 – Monitoring, meting, analyse en evaluatie

ISO 27001 Eis 9.1 vereist dat organisaties evalueren hoe het ISMS presteert en kijken naar de effectiviteit van het informatiebeveiligingsbeheersysteem.

Als de organisatie certificering voor ISO 27001 nastreeft, zal de onafhankelijke auditor die werkt bij een certificeringsinstantie die is aangesloten bij UKAS (of een vergelijkbare internationaal geaccrediteerde instantie voor ISO-certificering) de volgende gebieden nauwlettend in de gaten houden:

• Wat het heeft besloten te monitoren en te meten, niet alleen de doelstellingen, maar ook de processen en controles.
• Hoe het valide resultaten garandeert bij het meten, monitoren, analyseren en evalueren.
• Wanneer die meting, monitoring, evaluatie en analyse plaatsvindt en wie dat doet.
• Hoe de resultaten worden gebruikt.

Net als al het andere bij ISO/IEC-normen, waaronder ISO 27001, is gedocumenteerde informatie van cruciaal belang. Het beschrijven ervan en vervolgens aantonen dat het gebeurt, is de sleutel tot succes!

9.2 – Interne audit

Eis 9.2 van ISO 27001 zegt dat een organisatie met geplande tussenpozen interne audits moet uitvoeren om informatie te verschaffen over de vraag of het managementsysteem voor informatiebeveiliging:

• Voldoet aan de eigen vereisten van de organisatie voor haar managementsysteem voor informatiebeveiliging; en voldoet aan de eisen van de internationale norm ISO 27001.
• Of het ISMS effectief wordt geïmplementeerd en onderhouden.

Deze vereiste zorgt ervoor dat organisaties hun managementsysteem voor informatiebeveiliging regelmatig beoordelen en verbeteren om hun informatiemiddelen te beschermen en aan hun beveiligingsdoelstellingen te voldoen.

9.3 – Managementbeoordeling

ISO 27001 Eis 9.3 vereist dat organisaties regelmatig managementbeoordelingen uitvoeren om de voortdurende geschiktheid, adequaatheid en effectiviteit van hun informatiebeveiligingsbeheersysteem te garanderen.

Deze beoordelingen moeten met geplande tussenpozen worden uitgevoerd, ten minste jaarlijks, en er moet sprake zijn van betrokkenheid van het senior management of een aangewezen vertegenwoordiger.

Het doel van de managementbeoordeling is het beoordelen van het informatiebeveiligingsbeleid, de procedures en de controles van de organisatie, evenals de risicobeoordelings- en risicobeheerprocessen.

Het omvat ook het evalueren van de naleving door de organisatie van de toepasselijke wet- en regelgeving.

Tijdens de beoordeling moet de organisatie de effectiviteit van haar managementsysteem voor informatiebeveiliging beoordelen en eventuele noodzakelijke wijzigingen identificeren om naleving van de ISO 27001-norm te garanderen. Bij de beoordeling moet ook rekening worden gehouden met de prestaties van de organisatie bij het verwezenlijken van haar doelstellingen op het gebied van informatiebeveiliging.

10. Verbetering

10.1 – Non-conformiteit en corrigerende maatregelen

ISO 27001-vereiste 10.1 stelt dat organisaties een proces moeten opzetten voor het identificeren, documenteren en aanpakken van eventuele afwijkingen van de ISO 27001-norm, die non-conformiteiten worden genoemd.

Non-conformiteiten kunnen bestaan ​​uit het niet voldoen aan de vereisten van de norm, tekortkomingen in het informatiebeveiligingsbeheersysteem of andere problemen die tot een inbreuk op de beveiliging kunnen leiden.

Wanneer een non-conformiteit wordt vastgesteld, moet de organisatie corrigerende maatregelen nemen om deze aan te pakken. De corrigerende actie moet passend zijn voor de ernst van de non-conformiteit en bedoeld zijn om te voorkomen dat soortgelijke problemen zich in de toekomst voordoen.

De effectiviteit van de corrigerende actie moet regelmatig worden beoordeeld om ervoor te zorgen dat de non-conformiteit zich niet herhaalt.

10.2 – Voortdurende verbetering

ISO 27001 Eis 10.2 stelt dat organisaties hun Information Security Management System (ISMS) voortdurend moeten verbeteren.

Dit betekent dat organisaties hun ISMS regelmatig moeten herzien en bijwerken om de effectiviteit ervan en de afstemming ervan met de doelstellingen van de organisatie, wettelijke en regelgevende vereisten en de ISO 27001-norm te garanderen.

Het voortdurende verbeteringsproces moet worden gemonitord en herzien om de effectiviteit ervan te garanderen, en eventuele noodzakelijke veranderingen moeten worden aangebracht om de geschiktheid, adequaatheid en effectiviteit van het ISMS te verbeteren.