ISO/IEC 27007-audit van managementsystemen

Waarom is ISO 27007 belangrijk?

Bedrijven zullen steeds meer enorme hoeveelheden gegevens moeten beheren om door te kunnen gaan het aanbieden van de producten en diensten waar consumenten om vragen. De beveiliging van gevoelige gegevens is een grote zorg voor bedrijven en consumenten, verergerd door verschillende spraakmakende inbreuken.

De verwoesting die door deze aanvallen wordt aangericht, varieert van beroemdheden die worden vernederd door gedachteloze foto's tot de verlies van persoonlijke informatie om miljoenen losgeldeisen te beantwoorden, die zelfs de machtigste bedrijven als doelwit hebben genomen. 

Wanneer dergelijke gegevens persoonlijk identificeerbare, financiële of medische informatie bevatten, hebben bedrijven de morele en wettelijke plicht om deze te beschermen tegen cybercriminelen.

Dat is waar internationale normen zoals de ISO 27000-familie een rol gaan spelen, die bedrijven helpen bij het beheren van de beveiliging van activa zoals financiële gegevens, intellectueel eigendom, werknemersinformatie en informatie die door derden aan hen is toevertrouwd.

Deze huidige stand van zaken betekent dat iedereen die belast is met het controleren van het ISMS van een organisatie waarschijnlijk werk voor zich zal hebben. Op dezelfde manier vereist de voorbereiding op een soepele audit planning en aandacht voor detail. Daarom is ISO 27007 in het leven geroepen. Het vergemakkelijkt de volledige voorbereiding voor beide partijen door expliciete aanwijzingen te geven.

Wat is de reikwijdte van ISO 27007?

In de norm beschrijft het raamwerk een reeks auditcriteria die afzonderlijk of in combinatie kunnen worden gebruikt voor een audit van een informatiebeveiligingsmanagementsysteem, waaronder, maar niet beperkt tot:

• Het definiëren van de vereisten voor ISO / IEC 27001
• Richtlijnen en eisen van relevante partijen
• Regelgevende en wettelijke vereisten
• De ISMS-processen en -controles van de organisatie

Het identificeert en beschrijft de managementsysteemplannen die verband houden met de resultaten van een ISMS (bijvoorbeeld een plan om met risico's en kansen om te gaan bij het opzetten van een ISMS, een plan voor het bereiken van informatiebeveiligingsdoelstellingen, een plan voor het behandelen van risico's) .

Deze standaard is niet alleen relevant voor alle organisaties, ongeacht de grootte, maar ook van toepassing ISO-audits van verschillende reikwijdten en schalen, inclusief die welke worden uitgevoerd door grote auditteams die vaak verbonden zijn aan grotere organisaties, maar ook die welke worden uitgevoerd door individuele auditors, ongeacht of deze zich in grote of kleine bedrijven bevinden.

ISO 27007 heeft specifiek betrekking op ISMS-audits die worden uitgevoerd door bedrijven op hun interne systemen (eerste partij) en door hun externe dienstverleners en andere externe belanghebbenden (tweede partij). Het kan ook worden gebruikt bij audits die voor andere doeleinden worden uitgevoerd dan de certificering van managementsystemen door derden.

Met welke andere normen werkt ISO 27006?

ISO 27007 is relevant voor mensen die interne of externe audits van een managementsysteem voor informatiebeveiliging moeten begrijpen of uitvoeren, evenals voor degenen die een auditprogramma voor een managementsysteem voor informatiebeveiliging beheren.

ISO 19011 is in het leven geroepen om het proces van het uitvoeren van interne en externe audits voor managementsystemen in het algemeen te standaardiseren.

ISO 27007 vormt een aanvulling op de ISO 19011-richtlijnen door aanvullende suggesties te doen. Terwijl ISO 19011 specificeert dat er bewijs van naleving moet worden gezocht, suggereert ISO 27007 specifieke bewijzen en beoordelingen voor de ISO 27001-clausules en -controles in bijlage A.

Dit betekent dat ISO 27007 meer wordt gesuggereerd in een specifieke ISO 27001-context. ISO 19011 heeft daarentegen de voorkeur als u ook andere ISO-managementsystemen moet auditen, zoals ISO 9001 en ISO 14001.

Wat is ISO 19011?

ISO 19011 is een verzameling auditprincipes voor managementsystemen.

Het is een wereldwijde standaard die bedrijven helpt bij het uitvoeren van deze audits.

ISO 19011 is bedoeld om organisaties te begeleiden bij het ontwikkelen van auditprogramma's voor hun managementsystemen, zoals risicomanagementsystemen, kwaliteitsmanagementsystemen en milieumanagementsystemen.

ISO 19011 is geen reeks normen die opeenvolgend door een organisatie moeten worden gevolgd, aangezien geen enkele organisatie ISO 19011-gecertificeerd kan worden. In plaats daarvan moet een organisatie de ISO 19011-aanbevelingen afstemmen op de specifieke behoeften en eisen van het auditprogramma.

ISO 19011 onderscheidt zich van de internationale norm ISO 9001, die normen vaststelt voor kwaliteitsmanagementsystemen. ISO 9001 is de enige norm in de ISO 9000 reeksen waartegen organisaties zich kunnen certificeren.

Wat is het verschil tussen ISO 27007 en ISO 27008?

ISO 27008 zal aanbevelingen doen voor het auditen van ISM-systemen (Information Security Management) voor beveiligingscontroles.

Dit verschilt van ISO 27007, die zich meer bezighoudt met het managementsysteem (ISMS) als geheel, dan met specifieke controles.

Waarom is auditing van informatiemanagementsystemen belangrijk?

Met informatiebeveiligingsbeleid en bestaande processen zijn onvoldoende om de bescherming van de informatiemiddelen van een organisatie te garanderen.

Het beleid kan ontoereikend zijn of de naleving van het beleid kan onvoldoende zijn. Er moet een audit worden uitgevoerd om er zeker van te zijn dat zij succesvol zijn in het verwezenlijken van hun doelstellingen.

An audit van informatiesystemen bepaalt de doeltreffendheid van de controles van een informatiesysteem.

Een audit is bedoeld om vast te stellen of een De informatiesystemen van de organisatie zijn voldoende beveiligd bedrijfsmiddelen, het behoud van de integriteit van opgeslagen en verzonden gegevens, het succesvol ondersteunen van organisatiedoelen en het efficiënt presteren.

Een informatiemanagementsysteemaudit is een methodisch, kwantificeerbaar technisch onderzoek naar de manier waarop het informatiebeveiligingsbeleid van een organisatie wordt geïmplementeerd. Het is een noodzakelijk onderdeel van het voortdurende proces van het ontwikkelen en implementeren van een goed beveiligingsbeleid. Beveiligingsaudits zijn een transparante en kwantificeerbare methode om te bepalen hoe veilig een website werkelijk is.

Deze audit wordt uitgevoerd om:

• Stel een informatiebeveiligingsbasislijn voor uw organisatie vast.
• Identificeer het heden informatiebeveiligingsprocedures' sterke punten en tekortkomingen.
• Geef prioriteit aan de meest risicovolle blootstellingen.
• Suggesties voor risicobeperking geven die in overeenstemming zijn met de toepasselijke regels, best practices uit de sector in de beveiligingssector, best practices uit de klantsector en de bedrijfsdoelstellingen van de klant.

De informatie verzameld tijdens een informatiebeveiligingsaudit stelt de organisatie in staat beter onderbouwde beslissingen te nemen over de wijze waarop financiën en middelen moeten worden besteed om risico's zo effectief mogelijk te beheren.

Hoe ISMS.online de implementatie van ISO 27007 eenvoudig kan maken

Bij ISMS.online maken we het u gemakkelijk om uw Information Security Governance te documenteren, zodat deze in lijn is met de ISO 27007-norm. Wij bieden u een logische, bruikbare, cloudgebaseerde informatiebeheerinterface waarmee uw organisatie de infosec-beheerprocessen en voortgang ervan kan controleren aan de hand van de ISO 27007-norm.

Met ons cloudgebaseerde platform heeft u op één plek toegang tot al uw ISMS-bronnen. We hebben een intern team van informatiebeveiligingsexperts die u kunnen begeleiden en vragen kunnen beantwoorden om u te helpen op weg naar de implementatie van ISO 27007, zodat u kunt aantonen dat u zich inzet voor best practices op het gebied van informatiebeveiligingsbeheer. Bel ISMS.online op +44 (0)1273 041140 voor meer informatie over hoe wij u kunnen helpen gecertificeerd te worden volgens ISO 27001.