Wie zijn betrokken bij de implementatie van ISO 27001?

Wat is ISO 27001?

ISO/IEC 27001:2013 – om de huidige internationale versie de volledige referentie te geven – gewoonlijk ISO 27001 genoemd, is de internationaal erkende standaardspecificatie voor een informatiebeveiligingsbeheersysteem (ISMS).

ISO 27001 maakt deel uit van een familie van normen in de ISO 27k-reeks, die een breed scala aan informatie- en cyberbeveiligingsonderwerpen en richtlijnen voor naleving bestrijkt.

De ISO 27k-familie maakt zelf deel uit van een bredere familie van managementsysteemnormen gebaseerd op de ISO/IEC-richtlijnen Deel 1 (11e editie 2020) Bijlage SL, dat een gemeenschappelijk managementsysteemkader definieert.

Het is ontworpen om een ​​risicogericht bedrijfsbeheersysteem mogelijk te maken dat de bescherming ondersteunt van informatie-activa in welke vorm dan ook – bijvoorbeeld binnen IT-systemen, op papieren of digitale media, en zelfs in de hoofden van mensen. Het is niet bedoeld om te worden gebruikt als technische beveiligingsstandaard.
De standaard bevat:

• De verplichte “vereisten” (vaak bekend als de “managementsysteemclausules”) die volgen op het ISO-richtlijnen Deel 1 Annex SL-framework; En
• bijlage A – een voorbeeld van een reeks risico-selecteerbare controles die doorgaans worden gebruikt om de risico's tot een aanvaardbaar niveau terug te brengen.

Lees meer over de kernvereisten van ISO 27001 en de controles uit bijlage A die u mogelijk wilt implementeren hier.

Waarom is ISO 27001 belangrijk?

Alle organisaties creëren, beheren en distribueren informatie, en alle informatie heeft waarde. Het implementeren van een internationaal erkend managementsysteem voor informatiebeveiliging zal de waarde helpen beschermen en aanzienlijke zakelijke voordelen en rendement op investeringen opleveren.

Dergelijke voordelen kunnen zijn:

• Het vermogen om te opereren in gereguleerde markten die aantoonbare eisen stellen informatiebeveiliging.
• De mogelijkheid om geaccrediteerde certificering te gebruiken als een kritische onderscheidende factor bij het binnenhalen van nieuwe klanten.
• De vermindering van de operationele overhead door te focussen op veiligheidscontroles waar deze echt nodig zijn het verminderen van kritieke risico's en het stroomlijnen van informatiebeveiligingsbeheerprocessen.
• De verlaging van de kosten die gepaard gaan met het reageren op informatie- en cyberveiligheidsincidenten.
• Het makkelijker aantoonbaar voldoen aan wet- en regelgeving en het terugdringen van mogelijke boetes voor overtredingen dergelijke.

Welke rollen zijn vereist voor de implementatie van het ISO 27001 Information Security Management System?

Hoewel ISO 27001 de vereiste rollen niet specificeert; Er zullen verschillende fundamentele verantwoordelijkheden moeten worden toegewezen om ervoor te zorgen dat het ISMS aansluit bij de cultuur, de aard en de bedrijfsvoering van uw organisatie en de informatierisico's succesvol beheert tot een aanvaardbaar niveau.

De term ‘stakeholders’ betekent verschillende dingen voor verschillende mensen, en vaak hoor je over primaire, secundaire en zelfs tertiaire stakeholders, directe en indirecte stakeholders. In de ISO-managementsysteemnormen wordt niet gesproken over belanghebbenden, maar over “belanghebbende partijen”, maar dit betekent niet dat je geen interne belanghebbenden voor het ISMS zult hebben.

Primaire belanghebbenden

Omdat ISO 27001 in de eerste plaats een standaard voor bedrijfsmanagementsystemen is, moeten uw belangrijkste belanghebbenden op het hoogste managementniveau zitten – het gaat tenslotte om de bescherming van uw bedrijf!

U, primaire belanghebbenden, zult waarschijnlijk het volgende opnemen:

• “C” of vertegenwoordiging en sponsor op directieniveau.
• Senior risico-stakeholder – mogelijk een Senior Information Risk Officer (SIRO) of een soortgelijke rol die verantwoordelijk is voor het toezicht op alle bedrijfsrisico's, waarvan informatierisico's deel uitmaken.
• Een individu of team dat verantwoordelijk is voor het ISMS – mogelijk een chef Informatiebeveiligingsfunctionaris (CISO), Informatiebeveiligingsmanager (ISM) of iets dergelijks, dat past in de cultuur en terminologie van uw organisatie en in de bestaande structuur.
• Een ‘hoofdimplementator’ of een soortgelijke genomineerde hulpbron verantwoordelijk voor het beheer van de implementatie van het ISMS.

Secundaire belanghebbenden

Secundaire belanghebbenden zullen degenen zijn die verantwoordelijk zullen zijn voor een deel van het ISMS. Hiertoe behoren vakvertegenwoordigers uit de hele organisatie en mogelijk haar partners en zelfs leveranciers.

De lijst met secundaire belanghebbenden wordt bepaald door de omvang en aard van uw organisatie, maar kan het volgende omvatten:

• Informatie- en cybersecurityspecialisten die relevant zijn voor de bedrijfsvoering van uw organisatie.
• IT-beveiliging en technische hulpbron.
• HR-vertegenwoordiging.
• Fysieke bewaking vertegenwoordiging – mogelijk “Faciliteiten” of iets dergelijks
• Juridische en nalevingsvertegenwoordiging
• Interne audit
• Vertegenwoordigers van bedrijfsafdelingen die verantwoordelijk zijn voor uw kritische bedrijfsprocessen – het ISMS moet hiermee samenwerken en geen blokker worden. Het betrekken van bedrijfsmanagers in de hele organisatie zal dus van fundamenteel belang zijn om dit te bereiken.
• Vertegenwoordigers van leveranciers of partners die dat wel hebben gedaan toegang tot de informatie van de organisatie.

Rol van hoofduitvoerder gedefinieerd

De rol van “Lead Implementer” is de persoon die verantwoordelijk is voor het toezicht op de ISMS-implementatie en moet als zodanig iemand zijn met de kennis en competentie die nodig is voor de taak.

Ze zullen de ISO 27001-norm en de bijbehorende richtlijnen uit dezelfde familie moeten begrijpen. Ze zullen ook de belangrijkste processen moeten kennen voor de implementatie, bediening, monitoring en verbetering van het ISMS om ervoor te zorgen dat het ISMS efficiënt en effectief is.

Traditioneel wordt dit 'ingekocht' in de vorm van een gespecialiseerde consultant, of 'ingebakken' door een of meer bestaande medewerkers naar een ISO 27001-training voor hoofdimplementeerders te sturen. Beide zijn meestal dure opties.

Het ISMS.online-platform biedt verschillende hulpmiddelen die helpen de kennis- en competentiekloof te dichten en de noodzaak van dergelijke kosten te verminderen of te elimineren. Deze omvatten:

• Onze bruikbare inhoud – gedocumenteerd beleid en controles die u eenvoudig kunt overnemen, aanpassen of toevoegen, en dat betekent dat u vanaf dag 77 over maar liefst 1% van de documentatie beschikt die u nodig heeft.
• Onze “Verzekerde Resultaten Methode” (ARM) – een door deskundigen opgestelde routekaart die u logisch en efficiënt door de implementatie van uw ISMS leidt.
• Vooraf gebouwde tools – zoals onze risicoregister inclusief:
  • Een voorbeeldbank van meer dan 100 gewone risico's op het gebied van informatiebeveiliging,
  • Onze geïnteresseerde partijen brengen in kaart,
  • Onze routes voor het beheren van incidenten, corrigerende acties en verbeteringen,
  • En ons wet- en regelgevingsregister, waarin doorgaans relevante wet- en regelgeving is opgenomen.
• Onze “Virtuele Coach” – een optionele extra die deskundig advies en begeleiding biedt via aan de inhoud gekoppelde contextuele video, audio en tekstuele uitleggers.

Ontdek hoe u meer kunt lezen over hoe het vereenvoudigde, veilige en duurzame platform van ISMS.online aan uw behoeften kan voldoen hier.

Topmanagement

“Alles begint aan de top” – ISO 27001 is in de eerste plaats een bedrijfsbeheersysteem dat is ontworpen om de bescherming van de informatiemiddelen van een organisatie te beheren en de informatierisico's tot een aanvaardbaar niveau te beperken.

Zonder steun van het topmanagement is het onwaarschijnlijk dat de implementatie en werking van het ISMS succesvol, efficiënt of effectief zal zijn.

ISO 27001 definieert er enkele fundamentele clausules die onder de verantwoordelijkheid van het senior management vallen, Waaronder:

• 5.1 Leiderschap en betrokkenheid – De inzet van het topmanagement voor de integratie van informatiebeveiliging binnen de organisatie en haar processen
• 7 Ondersteuning – het verschaffen van voldoende en competente middelen voor het ISMS
• 9.3 Managementbeoordeling – een toezegging voor het senior management om ten minste jaarlijks de doeltreffendheid van het ISMS te beoordelen

Informatiebeveiliging / Bestuurspersoneel

Van fundamenteel belang voor de succesvolle implementatie en werking van het ISMS zal het informatiebeveiligings- en bestuurspersoneel zijn dat belast is met het algehele beheer van het ISMS en de componenten ervan.

Dit zijn doorgaans medewerkers wiens primaire rol gericht is op informatiebeveiliging en governance. Als uw organisatie echter klein is, is de kans groot dat dit iemand is die ook nog een andere baan heeft.

Het ISMS.online-platform kan helpen de kennis, competentie en het vertrouwen te bieden waar middelen op expertniveau niet beschikbaar zijn en ervoor te zorgen dat het ISMS geen belastende overhead wordt.

IT-afdeling of leverancier(s)

Omdat veel informatie wordt opgeslagen, verwerkt en verzonden op of via IT-systemen, netwerken en applicaties, zal het nodig zijn ervoor te zorgen dat passende interactie met IT-afdelingen en/of leveranciers in een vroeg stadium in het ISMS wordt ingebouwd.

Veel van de controles die worden geïmplementeerd om uw informatiemiddelen te beschermen, zullen technische controles zijn die zijn ontworpen, ontwikkeld, geïmplementeerd en beheerd door uw IT-afdeling of leveranciers.

Het beheren van de verwachtingen en de verdeling van verantwoordelijkheden voor de technische aspecten van informatie- en cyberbeveiliging zal van cruciaal belang zijn voor het succes van het ISMS.

Interne auditors)

ISO 27001 vereist, net als alle ISO-managementsysteemnormen, dat een organisatie een programma van interne audits heeft om de effectieve werking van het ISMS en zijn vermogen om informatierisico's tot een aanvaardbaar niveau terug te brengen, te verifiëren.

De ISMS-beheerclausules (4-10) moeten minimaal jaarlijks worden gecontroleerd en de controles van bijlage A moeten binnen de certificeringsperiode (3 jaar voor door UKAS geaccrediteerde certificeringen) worden gecontroleerd.

De selectie van interne auditors moet zorgen voor objectiviteit – dat wil zeggen dat u uw eigen werk niet kunt controleren – en competentie – de auditor moet over de kennis en competentie beschikken om de audit uit te voeren.

Onze Virtual Coach-service is vooraf gebouwd met alles wat u moet weten over interne audits of lees onze vereenvoudigde gids voor ISO 27001:2013 interne audits met begeleiding en ideeën over hoe u uw doel kunt bereiken.

Functionaris voor Gegevensbescherming

De Functionaris voor Gegevensbescherming is doorgaans verantwoordelijk voor het waarborgen van het juiste beheer, gebruik en bescherming van persoonlijk identificeerbare informatie (PII) binnen de organisatie. Dergelijke informatie zal betrekking hebben op het personeel van een organisatie, en vaak ook op dat van haar klanten.

Deze verantwoordelijkheid omvat duidelijk het waarborgen dat er adequate informatie- en cyberbeveiligingscontroles en -processen aanwezig zijn om dit soort informatie te beschermen.

De rol van een functionaris voor gegevensbescherming is niet gespecificeerd of verplicht binnen ISO 27001, maar andere relevante wet- en regelgeving, zoals de Britse Data Protection Act (2018) en de Algemene Gegevensbeschermingsverordening (GDPR) vereisen een dergelijke rol. Bovendien impliceren nalevings- en andere controles binnen ISO 27001 sterk de noodzaak van een dergelijke rol.

Wie gaat ons ISMS auditeren voor ISO 27001-certificering?

Als u erkend en gerespecteerd wilt worden certificering voor uw ISMS – noodzakelijk om er maximaal voordeel uit te halen – u moet een ISO 27001-geaccrediteerde certificeringsinstantie inschakelen om de vereiste audits voor certificering uit te voeren.

Wat zijn ISO 27001-certificeringsinstanties?

De certificeringsinstanties voorzien auditors van de vaardigheden, kennis en competentie om de certificeringsaudits uit te voeren en ervoor te zorgen dat certificeringen op een consistent niveau worden geaccrediteerd.

Dergelijke organisaties worden doorgaans vermeld op de website van de territoriale accreditatie-instantie. In Groot-Brittannië is de accreditatie-instantie de United Kingdom Accreditation Service (UKAS), en zij houden toezicht op de geaccrediteerde certificeringsinstanties in het VK.

Hoe lang zal het duren om het ISMS te bouwen?

Zoals bij elk belangrijk project zal de benodigde tijd afhangen van wat er gedaan moet worden en van de capaciteit en competentie van de middelen die daarvoor beschikbaar worden gesteld.

Voor ISO 27001 is ‘wat er moet gebeuren’ duidelijk gedefinieerd binnen de norm en worden de ter beschikking gestelde middelen bepaald door uw organisatie.

Voor een kleine tot middelgrote organisatie met een aantal reeds bestaande beleidsregels en controles kan het bouwen van een ISMS doorgaans zes maanden tot een jaar duren (afhankelijk van de hoeveelheid middelen). Soms duurt het zelfs langer als de beschikbare middelen hun tijd over andere banen moeten verdelen. Een project van 6 dagen (fulltime equivalent) is heel gebruikelijk.

De ISMS.online-platform kan u helpen uw hulpbronnenniveau aanzienlijk te verminderen. Afhankelijk van hoeveel van de bruikbare inhoud u kunt overnemen of eenvoudig kunt aanpassen, kan de opbouw van uw ISMS met maar liefst 75% of 80% worden verminderd. Sommige klanten kunnen van een staande start naar een gereedheid om binnen zes weken met het certificeringsauditproces te beginnen.

Hoe lang duurt het om de ISO 27001-certificering te behalen?

Zodra uw ISMS is gebouwd, vindt het certificeringsauditproces plaats in twee fasen, waarbij een verstreken tijdsbestek van twee maanden gebruikelijk is. Meestal is het proces in twee fasen:

• Fase 1 Audit – Beoordeling van ISMS-documentatie
• Periode voor corrigerende maatregelen – gewoonlijk 4-6 weken tussen de twee fasen, zodat een organisatie corrigerende maatregelen kan nemen die voortvloeien uit de Fase 1-audit
• Fase 2 Audit – Bewijsbare “certificerings”-audit
• Beoordeling van certificerings- en accreditatie-instanties – doorgaans 2-4 weken. De certificeringsinstantie zal de audit intern beoordelen en de audit voorleggen aan UKAS, die optioneel een steekproef van de audit kan nemen ter beoordeling.

Hoe kies ik een certificatie-instelling?

Er zijn veel factoren die uw keuze voor een certificeringsinstantie zullen beïnvloeden.

De belangrijkste hiervan is ervoor te zorgen dat de certificatie-instelling geaccrediteerd is. Het is mogelijk om een ​​niet-geaccrediteerde certificering te behalen. Dit zal echter een beperkte integriteit en waarde hebben. Wij raden u ten zeerste af deze route te volgen.

Als u al over andere certificeringen beschikt, zoals:

• ISO 9001 (kwaliteitsmanagement)
• ISO 14001 (milieubeheer)
• ISO 45001 (management van gezondheid en veiligheid op het werk)*

Waarschijnlijk zult u eerst uw bestaande certificatie-instelling benaderen om te kijken of zij ook geaccrediteerd zijn voor ISO 27001.

*Opmerking: als u al over certificeringen voor andere managementsysteemstandaarden beschikt, kunt u er baat bij hebben deze in één systeem te integreren “Geïntegreerd managementsysteem” – en het ISMS.online-platform kan hierbij helpen.

Welke middelen heb ik nodig voor de implementatie van ISO 27001?

We hebben hierboven verschillende rollen geïdentificeerd die betrokken zullen zijn bij de implementatie van uw ISMS, maar in essentie heeft u het volgende nodig:

• Competente hulpbron (zoals een leidende implementator) – met de kennis van de standaard – kan het ISMS.online-platform een ​​groot deel van de vereiste competentie bieden via de vooraf gebouwde inhoud en tools.
• Capaciteit van andere bronnen – zoals vakvertegenwoordigers van IT-, juridische, facilitaire, senior management- en zakelijke afdelingen.

Het is een essentieel onderdeel van uw ISMS-implementatieplanning dat u rekening houdt met de competentie-, capaciteits-, vertrouwens- en disciplinevereisten van uw middelen als u een succesvolle, efficiënte en effectieve implementatie binnen een redelijk tijdsbestek wilt bereiken.

Ervan uitgaande dat we certificering krijgen, welke middelen hebben we dan nodig voor het onderhoud?

Een gecertificeerd ISMS is een doorgaande reis, geen bestemming. Als zodanig zal het een bepaald niveau van hulpbronnen vereisen om het te behouden. Hoe meer een ISMS is geïntegreerd in de dagelijkse processen van de organisatie, en hoe meer gefedereerd de verantwoordelijkheid is, hoe minder overhead het zal zijn.

Naast de geïntegreerde controleaspecten van het ISMS moet u ervoor zorgen dat de kritieke processen van het ISMS worden uitgevoerd:

• Risicomanagement – regelmatige evaluatie van de risico's om ervoor te zorgen dat de behandelingen adequaat en proportioneel blijven.
• Interne audit – de voortdurende uitvoering van een intern auditprogramma dat de gehele norm bestrijkt, op zijn minst binnen de certificeringsperiode (3 jaar voor een door UKAS geaccrediteerde certificering), en vaker audits uitvoert op die gebieden met essentiële werking of risico.

• Managementbeoordeling – een evaluatie door het topmanagement van het ISMS op ten minste jaarlijkse basis om de efficiëntie en effectiviteit van het ISMS te garanderen bij het verwezenlijken van de door het bedrijfsleven geleide doelstellingen op het gebied van informatiebeveiliging.
• Corrigerende maatregelen en continue verbetering – processen om ervoor te zorgen dat het ISMS in de loop van de tijd voortdurend verbetert en dat non-conformiteiten binnen een redelijk tijdsbestek worden gecorrigeerd.

Wat moeten we doen als de standaard wordt bijgewerkt?

Dit is afhankelijk van de aard van de update. Alle ISO-managementsysteemnormen worden periodiek bekeken en bijgewerkt.

Als blijkt dat de standaard grotendeels geschikt is, kan het zijn dat er slechts kleine aanpassingen aan de formulering worden aangebracht.

Soms wordt de standaard echter om de een of andere reden opnieuw bewerkt. Dit resulteert in een grote update die mogelijk een ‘transitie’-audit van de ene versie van de standaard naar de nieuwe vereist.

De laatste keer dat een grote herstructurering van ISO 27001 plaatsvond was in 2013 (de wijziging van de versie van 2005 naar de versie van 2013). Omdat dit een ingrijpende herziening betrof, werd aan organisaties een overgangsperiode van twee jaar toegekend.

Omdat een dergelijke verandering voor veel organisaties grote hoeveelheden werk en kosten met zich mee kan brengen, probeert ISO dergelijke ingrijpende veranderingen waar mogelijk te vermijden.

Wat de updates ook zijn, uw certificeringsinstantie moet u laten weten wat u moet doen.

U kunt er zeker van zijn dat we het ISMS.online-platform zullen updaten om de huidige versie van de standaard weer te geven wanneer dit gebeurt.

Wat moet ik doen als mijn bedrijf de producten/diensten die we aanbieden wijzigt?

Afhankelijk van hoe belangrijk de wijzigingen zijn, heeft u mogelijk een buitengewone audit door de certificeringsinstantie nodig om ervoor te zorgen dat uw certificering de nieuwe producten en diensten dekt binnen de reikwijdte van het ISMS.

Het is echter gebruikelijk dat de certificatie-instelling deze audit combineert met een periodieke tussentijdse audit of bij uw volgende hercertificeringsaudit.

Het is belangrijk op te merken dat uw nieuwe producten of diensten mogelijk niet onder uw bestaande certificering vallen totdat de bevestiging van de certificeringsinstantie is gegeven.

Wat als we een nieuw kantoor openen in het buitenland?

Net als bij wijzigingen in producten/diensten hierboven, zult u waarschijnlijk een zekere mate van aanvullende audit van uw certificeringsinstantie nodig hebben om te verifiëren dat uw activiteiten in het nieuwe land onder de reikwijdte van de certificering vallen.

Een cruciale factor waarmee u rekening moet houden als u uw ISO 27001 wilt uitbreiden naar activiteiten in nieuwe landen, is dat er vrijwel zeker verschillende wet- en regelgeving op het gebied van informatiebeveiliging waarmee rekening moet worden gehouden.

Welke afdeling moet 'eigenaar' zijn van het ISMS?

Er is geen goed of fout antwoord op deze vraag, en het zal volledig afhankelijk zijn van de structuur van uw organisatie en haar cultuur. Er zijn echter enkele belangrijke punten waarmee u rekening moet houden:

• ISO 27001 is een standaard voor bedrijfsmanagementsystemen. Het kan dus het beste zijn om het eigendom te beleggen in een afdeling die meerdere bedrijfsactiviteiten omvat, zoals Risk of Compliance.
• Het eigenaarschap zou bij IT kunnen worden gelegd. Dit kan er echter vaak toe leiden dat informatiebeveiliging een IT-kwestie wordt en de bedrijfsgerichte aspecten van de standaard over het hoofd worden gezien.
• Het ISMS zou geplaatst kunnen worden binnen een specifieke afdeling “Informatiebeveiliging”, maar dit kan er toe leiden dat de activiteit “silo’s” krijgt, slecht interageert met de bredere business of wordt gezien als een “politie”-structuur die al snel wordt gezien als een blokker in plaats van een enabler.

Een goede manier die voor veel organisaties kan werken, is dat het eigenaarschap op het hoogste niveau van de organisatie ligt. De ISMS-operatie kan binnen de hele organisatie worden gebundeld, maar wordt gecoördineerd door een leidende medewerker, zoals een CISO of informatiebeveiligingsmanager.

Hoe kan ISMS.online mij helpen ISO 27001 sneller te implementeren?

Door ISO 27001 en de aanpak voor het implementeren van een ISMS te ontraadselen, kan het ISMS.online-platform uw implementatie versnellen door uw inspanningen op de juiste plaats op het juiste moment te concentreren.

Bovendien kan door het bieden van een alles-in-één-ISMS-oplossing aanzienlijke tijd worden bespaard doordat u niet hoeft te zoeken naar meerdere tools, geen complexe documentatieopslagplaatsen hoeft op te zetten en nieuwe processen hoeft te implementeren – deze zitten dan allemaal in de doos van dag 1.

Het ISMS.online-platform kan u helpen de tijd die nodig is om een ​​ISMS te implementeren aanzienlijk te verkorten door u alles te bieden wat u nodig heeft om eerste keer ISO 27001-certificering behalen.

Hoe maakt ISMS.online de implementatie van ISO 27001 eenvoudiger?

Het ISMS.online-platform ontrafelt ISO 27001 en implementeert en beheert een ISO 27001-compatibel en gecertificeerd ISMS. Met deze en gecontextualiseerde informatie op de juiste plaats helpt het ISMS.online-platform u om onze voorbeeldinhoud eenvoudig over te nemen, aan te passen of toe te voegen, en uw reis naar certificering veel gemakkelijker te maken.