Wat is ISO 27001?

In de ISO 27001-norm zijn tal van vereisten voor informatiebeveiliging vastgelegd. Een certificering volgens deze norm is dan ook een krachtige manier om aan te
tonen dat jouw organisatie haar informatiebeveiliging op orde heeft.

De kern van ISO 27001

Het draait allemaal om het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie binnen jouw bedrijf. ISO 27001 biedt een raamwerk om deze bedreigingen te identificeren, beoordelen en beheersen. Denk bijvoorbeeld aan het uitvoeren van een risicobeoordeling en het bepalen van de benodigde maatregelen, zoals risicomitigatie of risicobehandeling, om deze problemen te voorkomen.

‍

Hoe kom je er aan?

De norm is verkrijgbaar bij de Stichting Koninklijk Nederlands Normalisatie Instituut, oftewel de NEN. Het valt ons op dat organisaties weinig bekend zijn met deze norm en het aanleren ervan als tijdrovend ervaren. Gelukkig zijn onze consultants vertrouwd met de norm. Ze weten exact hoe ze onze templates, die volledig op de norm zijn afgestemd, kunnen toepassen in elke organisatie.

‍

Waarom ISO 27001?

In de snel veranderende digitale wereld staan organisaties voortdurend voor uitdagingen op het gebied van informatiebeveiliging. Zo worden organisaties dagelijks geconfronteerd met bedreigingen voor hun informatiebeveiliging waardoor datalekken, financiële verliezen en imagoschade steeds vaker voorkomen. ISO 27001 biedt hier een oplossing voor en is meer dan een papiertje want het biedt de volgende voordelen:

‍

• Bescherming tegen incidenten

Dankzij het framework en beheersysteem van het ISO 27001 ISMS breng je risico’s in kaart en implementeer je beheersmaatregelen. Hierdoor wordt de kans op incidenten binnen de organisatie verkleind.

‍

• Voordelen bij aanbesteding

Met de ISO 27001 laat je als organisatie zien dat de informatie die je bewaart veilig is. Daarom is het steeds vaker een harde eis bij aanbestedingen. Je hoeft geen heel boekwerk aan te leveren waarin je laat zien dat je goed omgaat met data. Door enkel het certificaat te laten zien geef je potentiële klanten voldoende vertrouwen. Daarnaast geeft het een voorsprong op je concurrenten die geen certificaat hebben.

‍

• Klanten/leveranciers

ISO 27001 laat zien dat jouw organisatie informatiebeveiliging serieus neemt. Dit geeft vertrouwen aan klanten en leveranciers. Grote organisaties verwachten steeds vaker van hun leveranciers dat ze ISO 27001 gecertificeerd zijn. Zo moet de hele toeleveringsketen van een ziekenhuis gecertificeerd zijn en aan kunnen tonen dat zij juist omgaan met de gegevens van patiënten.

‍

• Wet- en regelgeving

De norm sluit aan bij verschillende wet- en regelgeving op het gebied van gegevensbescherming, zoals de AVG. Voldoe je aan de ISO 27001-norm? Dan hoef je je geen zorgen te maken dat je niet aan wet- en regelgeving houdt.

‍

• Inzicht en grip op beveiligingsrisico's

Een grondige risicobeoordeling en risicobeheer is een vereiste voor de ISO 27001. Hierdoor worden potentiële zwakke plekken geïdentificeerd.

‍

Uit welke onderdelen bestaat de norm?

De ISO 27001-norm bestaat uit twee hoofdonderdelen: de Harmonized Structure (HS) en de Annex A. Deze twee onderdelen bevatten een verschillende structuur en inhoud.

‍

DEEL 1

Harmonized Structure (HS)

De HS is geïntroduceerd om consistentie te brengen in alle

managementsysteemnormen, zodat organisaties die meerdere normen

implementeren dit op een gestandaardiseerde manier kunnen doen. De

HS bestaat uit 10 hoofdstukken:

‍

•  HOOFDSTUK 1

Toepassingsgebied

Het beschrijven van de reikwijdte van de norm, waarin wordt aangegeven op welke organisaties en situaties het van toepassing is.

‍

•  HOOFDSTUK 2

Normatieve verwijzingen

Het benoemen van documenten waarnaar wordt verwezen en die deel uitmaken van de norm. Deze verwijzingen zijn noodzakelijk voor het begrijpen en toepassen van de norm.

‍

• HOOFDSTUK 3

Termen en definities

Het opstellen van een lijst met termen en definities die in de context van de norm worden gebruikt.

‍

• HOOFDSTUK 4

Context van de organisatie

Het identificeren van de relevante externe en interne factoren die van invloed zijn op

informatiebeveiliging, zoals marktveranderingen en bedrijfsdoelstellingen. Hierbij is het belangrijk dat het management betrokken is bij informatiebeveiliging.

‍

• HOOFDSTUK 5

Leiderschap

Het tonen van betrokkenheid door het management. Zoals het benoemen van een Security Officer om de leiding te nemen in het informatiebeveiligingsbeleid en de bijbehorende  strategie.

‍

• HOOFDSTUK 6

Planning 

Het opstellen van een jaarlijks informatiebeveiligingsplan dat prioriteiten en doelstellingen bevat. Daarnaast genoemde belangrijke issues en risico vaststellen die moeten worden opgepakt.

‍

• HOOFDSTUK 7

Ondersteuning

Het toewijzen van middelen en training aan medewerkers voor bewustwording en opleiding in informatiebeveiliging.

‍

• HOOFDSTUK 8

Uitvoering

Het implementeren, organiseren en beheersen van technische maatregelen, zoals firewalls en encryptie, om informatie te beschermen.

‍

• HOOFDSTUK 9

Evaluatie van prestaties

Het periodiek beoordelen van incidenten en audits om de effectiviteit van informatiebeveiligingsmaatregelen te meten.

‍

• HOOFDSTUK 10

Verbetering 

Het behandelen en omgaan met afwijkingen, inclusief reacties, corrigerende maatregelen en evaluatie van oorzaken. Belangrijk is de documentatie van afwijkingen en de beoordeling van corrigerende acties.

‍

‍

DEEL 2

Annex A

De Annex A van ISO 27001 bevat een lijst van beheersmaatregelen en controles die organisaties kunnen implementeren om risico ́s te mitigeren. Deze beheersmaatregelen zijn onderverdeeld in verschillende categorieën:

‍

A5: Organisatorische beheersmaatregelen

In dit hoofdstuk staan beheersmaatregelen die betrekking hebben op de organisatiestructuur en de manier waarop informatiebeveiliging binnen de organisatie wordt beheerst. Deze maatregelen omvatten onder andere:

‍

• Toewijzing van verantwoordelijkheden;

• Het vaststellen van aanvaardbaar gebruik van bedrijfsmiddelen;

• Opstellen van een wachtwoordbeleid;

• Bevorderen van een ‘Clean Desk- en screen-cultuur’;

• Opzetten van plannen en procedures om de continuïteit van bedrijfsactiviteiten te waarborgen, zelfs in het geval van calamiteiten of noodsituaties;

• Beheren en beschermen van bedrijfsmiddelen (infrastructuur, netwerk, systemen en overige bedrijfsmiddelen);

• Ontwikkelen en handhaven van duidelijke communicatiekanalen en bedrijfsprocessen;

• Naleven van regelgeving (AVG, Europese wetgeving).

‍

A6: Mensgerichte beheersmaatregelen

Hier draait alles om het menselijke aspect van informatiebeveiliging. De beheersmaatregelen in dit hoofdstuk richten zich op het gedrag en de acties van medewerkers. Denk aan:

‍

• Opstellen van regels en procedures voor personeel;

• Beheren van risico’s met betrekking tot menselijke fouten, diefstal, fraude en misbruik;

• Implementeren van processen voor screening bij indiensttreding en uitdiensttreding.

‍

A7: Fysieke beheersmaatregelen

Dit hoofdstuk behandelt fysieke beveiligingsmaatregelen die gericht zijn op de bescherming van de fysieke infrastructuur van de organisatie.

Dit omvat maatregelen zoals:

‍

• Toegangscontrole tot gebouwen en ruimtes;

• Beveiliging van bekabeling;

• Bescherming van mobiele apparatuur (zoals laptops buiten de deur);

• Brandbeveiliging.

‍

A8: Technologische beheersmaatregelen

Hier is alles gericht op het technologische vlak van informatiebeveiliging. De  beheersmaatregelen in dit hoofdstuk richten zich op systemen, capaciteit en software. 

Denk aan:

‍

• Systeem- en softwareontwikkeling en onderhoud (documentatie, processen);

• Back-up beleid;

• Bescherming tegen virussen;

• Onderhouden van servers en PC’s;

• Rechtenbeheer.

‍

Continue verbetering

‍

Tijdens een audit zal de auditor altijd de PDCA- cyclus (Plan Do Check Act) volgen in zijn beoordeling. Ze controleren of de plannen doeltreffend waren (Plan), of de uitvoering correct is uitgevoerd (Do), of controls zijn uitgevoerd (Check) en of passende aanpassingen gedaan zijn (Act). Auditors zullen op zoek gaan naar bewijs van de effectiviteit van de cyclus en de bereidheid van het management om zich aan te passen en te verbeteren. Het draait allemaal om het waarborgen van een constant proces van leren, aanpassen en groeien.

‍

Plan

In de eerste fase van continue verbetering (Plan), kijkt de organisatie waar verbetering nodig is en stelt ze doelstellingen voor informatiebeveiliging op. Dit omvat: 

‍

• Evalueren van de resultaten van risicobeoordelingen en audits om zwakke punten en tekortkomingen te identificeren; 

• Vaststellen van meetbare doelstellingen voor informatiebeveiliging;

• Ontwikkelen van actieplannen en het toewijzen van verantwoordelijkheden voor het bereiken van deze doelen.

‍

Do

Na het plannen volgt de uitvoeringsfase (Do), waarin de actieplannen worden geïmplementeerd. Dit omvat:

‍

• Uitvoeren van de geplande beveiligingsmaatregelen en acties;

• Trainen en bewust maken van medewerkers over de nieuwe

maatregelen;

• Verzamelen van gegevens en informatie tijdens de implementatie.

‍

Check

In de controlefase (Check) wordt geëvalueerd of de genomen maatregelen effectief zijn in het verbeteren van de informatiebeveiliging. Dit omvat:

‍

• Monitoren en meten van prestaties en beveiligingsindicatoren;

• Vergelijken van de resultaten met de vastgestelde doelstellingen en normen;

• Identificeren van afwijkingen en gebieden die verdere verbetering vereisen.

‍

Act

Op basis van de bevindingen in de controlefase (Check), worden corrigerende en reventieve maatregelen genomen in de laatste fase (Act). Dit omvat:

‍

• Implementeren van corrigerende maatregelen om vastgestelde

afwijkingen aan te pakken;

• Identificeren van oorzaken van problemen en het voorkomen van

herhaling;

• Documenteren van de genomen maatregelen en de resultaten van de

verbeteringsinspanningen.

‍

Het effect van het PCDA-model

Het PDCA-model creëert een feedbackloop die organisaties in staat stelt om voortdurend te leren en evalueren in hun benadering van informatiebeveiliging. Door dit proces regelmatig te herhalen, kunnen organisaties hun beveiligingsniveau handhaven en verbeteren in een steeds veranderende dreigingsomgeving. Continue verbetering binnen ISO 27001

is niet alleen een verplichting vanuit de norm, maar ook een kans voor organisaties om effectiever te worden in het beschermen van hun gevoelige informatie en het voldoen aan de verwachtingen van belanghebbenden. Het is niet voor niks dat een managementsysteem minstens drie maanden moet draaien voordat jouw organisatie gecertificeerd kan worden.

‍

Het verschil tussen ISO 27001 en ISO 27002

Het verschil tussen de ISO 27001 en ISO 27002 zit hem met name in het detailniveau waarop de beheersmaatregelen zijn uitgeschreven. Een ander belangrijk verschil tussen deze twee normen is dat je je voor de 27001 wel kunt certificeren en voor ISO 27002 niet. ISO 27002 is namelijk ontwikkeld om organisaties richtlijnen en best practices te bieden voor informatiebeveiliging. Het is daarmee een aanvullende norm die dieper ingaat op ISO 27001.

ISO 27002 bevat een lijst van mogelijke beheersmaatregelen, ook wel "controls" genoemd. Deze controls zijn speciaal ontworpen zodat ze met behulp van ISO 27001 kunnen worden geïmplementeerd. De controls komen namelijk overeen met de maatregelen in Annex A van de ISO 27001 norm.

‍

Kortom: ISO 27002 biedt richtlijnen en best practices voor informatiebeveiliging, terwijl ISO 27001 zich richt op het opzetten, implementeren, onderhouden en verbeteren van een ISMS (Information Security Management System).

‍

Bewustwording

De ISO 27001-norm benadrukt het belang van bewustwording en verwijst naar het begrip en de erkenning van het belang van informatiebeveiliging binnen een organisatie. Het gaat niet alleen om het begrijpen van de bestaande beveiligingsmaatregelen, maar ook om het besef van de potentiële risico’s en de rol die medewerkers spelen in het waarborgen van informatiebeveiliging.

Vaak is de voornaamste uitdaging om voldoende bewustzijn te creëren. 80% van de cyber incidenten wordt veroorzaakt door onoplettendheid of verkeerd gedrag van medewerkers. Daarom is het cruciaal dat jouw werknemers bewust zijn van de risico’s. Aanvullende bewustzijnstrainingen zijn niet alleen een verplicht onderdeel van de norm (volgens A.6.3), maar zorgen er ook voor dat iedereen de benodigde afspraken en gedragsregels daadwerkelijk opvolgt.

‍

Hoe ISO 27001 implementeren

Het implementeren van ISO 27001 is een proces dat organisaties helpt bij het vaststellen, implementeren, beheren en verbeteren van hun Information Security Management System (ISMS).

‍

Een implementatietraject dat bij jouw organisatie past

Onze klanten kiezen uit verschillende implementatietrajecten passend bij de wensen en behoeften van de organisatie. Lees hier het whitepaper over hoe  ons implementatietraject eruit ziet, welke werkwijze we gebruiken en het  verschillen tussen onze implementatietrajecten op maat. We hopen dat deze blog je een duidelijk inzicht heeft kunnen bieden in wat de ISO 27001-norm inhoudt.

‍

Wil je meer weten over de normen uit dit artikel?

Meer informatie is beschikbaar op fendix.nl/normen

‍

Ben je enthousiast geraakt over onze aanpak?
Dan horen we graag van je.