Andrea Giesler | 3 juni 2019

De ISO 27001-norm biedt vereisten en een structuur die als leidraad zal dienen bij de implementatie van een Information Security Management System (ISMS). Als managementsysteem is ISO 27001 gebaseerd op continue verbetering – in dit artikel leert u meer over hoe dit wordt weerspiegeld in de ISO 27001-vereisten en -structuur.

Twee hoofdonderdelen van de norm

De standaard is opgedeeld in twee delen. Het eerste, hoofdgedeelte bestaat uit 11 clausules (0 tot 10). Het tweede deel, genaamd Annex A, geeft een richtlijn voor 114 beheersdoelstellingen en beheersmaatregelen. Clausules 0 t / m 3 (inleiding, toepassingsgebied, normatieve verwijzingen, termen en definities) bepalen de introductie van de ISO 27001-norm. De volgende clausules 4 t / m 10, die ISO 27001-vereisten bevatten die verplicht zijn als het bedrijf aan de norm wil voldoen, worden verderop in dit artikel nader uitgewerkt.

Bijlage A van de norm ondersteunt de clausules en hun vereisten met een lijst van beheersmaatregelen die niet verplicht zijn, maar die worden geselecteerd als onderdeel van het risicobeheerproces. Lees voor meer informatie het artikel De basislogica van ISO 27001: Hoe werkt informatiebeveiliging?

Clausule 4: Context van de organisatie

Een voorwaarde voor het succesvol implementeren van een informatiebeveiligingsbeheersysteem is het begrijpen van de context van de organisatie. Externe en interne kwesties, evenals belanghebbende partijen, moeten worden geïdentificeerd en overwogen. Vereisten kunnen regelgevingskwesties omvatten, maar ze kunnen ook veel verder gaan.

Met dit in gedachten moet de organisatie de reikwijdte van het ISMS definiëren. Hoe uitgebreid wordt ISO 27001 toegepast op het bedrijf?

Lees meer over de context van de organisatie in de artikelen Hoe de context van de organisatie te definiëren volgens ISO 27001, Hoe geïnteresseerde partijen te identificeren volgens ISO 27001 en ISO 22301, en Hoe de ISMS-scope te definiëren.

Clausule 5: Leiderschap

De vereisten van ISO 27001 voor een adequaat leiderschap zijn talrijk. De inzet van het topmanagement is verplicht voor een managementsysteem. Doelstellingen moeten worden vastgesteld in overeenstemming met de strategische doelstellingen van een organisatie. Het verstrekken van middelen die nodig zijn voor het ISMS, evenals het ondersteunen van personen om bij te dragen aan het ISMS, zijn andere voorbeelden van de verplichtingen waaraan moet worden voldaan.

Verder moet het topmanagement een beleid opstellen voor de informatiebeveiliging. Dit beleid moet worden gedocumenteerd en gecommuniceerd binnen de organisatie en aan geïnteresseerde partijen.

Rollen en verantwoordelijkheden moeten ook worden toegewezen om te voldoen aan de vereisten van de ISO 27001-norm en om te kunnen rapporteren over de prestaties van het ISMS.

Lees meer over het topmanagement in ISO 27001 in deze artikelen: Topmanagementperspectief van de implementatie van informatiebeveiliging, Rollen en verantwoordelijkheden van het topmanagement in ISO 27001 en ISO 22301, en wat moet u schrijf in uw informatiebeveiligingsbeleid volgens ISO 27001?

Clausule 6: Planning

Planning in een ISMS-omgeving moet altijd rekening houden met risico’s en kansen. Een risicobeoordeling voor informatiebeveiliging biedt een solide basis om op te vertrouwen. Dienovereenkomstig moeten informatiebeveiligingsdoelstellingen gebaseerd zijn op de risicobeoordeling. Deze doelstellingen moeten worden afgestemd op de algemene doelstellingen van het bedrijf. Bovendien dienen de doelstellingen binnen het bedrijf gepromoot te worden. Ze bieden de beveiligingsdoelen om naar toe te werken voor iedereen binnen en in lijn met het bedrijf. Uit de risicobeoordeling en de beveiligingsdoelstellingen wordt een risicobehandelingsplan afgeleid, gebaseerd op controles zoals vermeld in bijlage A.

Voor een beter begrip van risico’s en kansen, lees het artikel ISO 27001 risicobeoordeling & behandeling – 6 basisstappen. Lees meer over controledoelstellingen in het artikel ISO 27001 controledoelstellingen – waarom zijn ze belangrijk? Voor meer details over de richting van een bedrijf, lees het artikel Informatiebeveiliging afstemmen op de strategische richting van een bedrijf volgens ISO 27001.

Clausule 7: Ondersteuning

Middelen, competentie van medewerkers, Bewustwording en communicatie zijn sleutelthema’s bij het ondersteunen van de zaak. Een andere vereiste is het documenteren van informatie volgens ISO 27001. Informatie moet worden gedocumenteerd, aangemaakt, bijgewerkt en gecontroleerd. Er moet een geschikte set documentatie worden bijgehouden om het succes van het ISMS te ondersteunen.

Voor meer informatie over training, bewustwording en communicatie, lees de artikelen Hoe train je & bewustzijn voor ISO 27001 en ISO 22301 en hoe je een communicatieplan maakt volgens conform ISO 27001. Lees meer over documentbeheer in het artikel Documentbeheer in ISO 27001 & BS 25999-2.

Clausule 8: Bediening

Processen zijn verplicht om informatiebeveiliging te implementeren. Deze processen moeten worden gepland, geïmplementeerd en gecontroleerd. Risicobeoordeling en -behandeling – waar het topmanagement aan moet denken, zoals we eerder hebben geleerd – moet in actie worden gebracht.

Lees meer over risicobeoordeling en -behandeling in de artikelen ISO 27001 risicobeoordeling: Hoe activa, bedreigingen en kwetsbaarheden matchen en hoe de gevolgen en waarschijnlijkheid kunnen worden beoordeeld in ISO 27001 risicoanalyse, en in dit gratis diagram van de ISO 27001: 2013 Risicobeoordeling en behandelingsproces.

Clausule 9: Prestatie-evaluatie

De vereisten van de ISO 27001-norm verwachten monitoring, meting, analyse en evaluatie van het informatiebeveiligingsbeheersysteem. Niet alleen de afdeling moet zelf haar werk controleren, daarnaast moeten er interne audits worden uitgevoerd. Op gezette tijden moet het topmanagement het ISMS van de organisatie herzien.

Lees meer over prestatie, monitoring en meting in de artikelen Key performance indicators for an ISO 27001 ISMS en Hoe monitoring en meting uit te voeren in ISO 27001.

Clausule 10: Verbetering

Verbetering volgt op de evaluatie. Afwijkingen moeten worden aangepakt door actie te ondernemen en de oorzaken weg te nemen, indien van toepassing. Bovendien dient een continu verbeterproces geïmplementeerd te worden, ook al is de PDCA-cyclus (Plan-Do-Check-Act) niet langer verplicht (lees hierover meer in het artikel Is de PDCA-cyclus verwijderd uit de nieuwe ISO-normen? de PDCA-cyclus wordt vaak aanbevolen, omdat deze een solide structuur biedt en voldoet aan de eisen van ISO 27001.

Voor meer informatie over verbetering in ISO 27001, lees het artikel Voortdurende verbetering bereiken door het gebruik van volwassenheidsmodellen.

Bijlage A (normatief) Referentiebeheersingsdoelstellingen en -controles

Bijlage A is een handige lijst van referentiebeheersingsdoelstellingen en -controles. Te beginnen met A.5 Informatiebeveiligingsbeleid tot A.18 Naleving, de lijst biedt controles waarmee aan de ISO 27001-vereisten kan worden voldaan en de structuur van een ISMS kan worden afgeleid. Controles, geïdentificeerd door middel van een risicobeoordeling zoals hierboven beschreven, moeten worden overwogen en geïmplementeerd.

Voor meer over Annex A, lees de artikelen A quick guide to ISO 27001-controles uit Bijlage A en Hoe de documenten voor ISO 27001 Bijlage A-controles te structureren.

Vereisten van een ISMS

De implementatie en de standaard zelf lijken op het eerste gezicht misschien uitdagend of gecompliceerd , omdat sommige vereisten misschien niet logisch klinken. Maar als je er meer diep over leert, vallen de dingen op hun plaats en begint men de volledigheid te waarderen die de implementatie van ISO 27001 in beveiliging brengt. Al snel nadat u compliant bent geworden, zult u zich zeker realiseren dat de norm u een gestructureerde richtlijn biedt, en zult u tevreden zijn met uw beslissing over de implementatie.

Download deze gratis clausule-by voor meer informatie over de ISO 27001-vereisten. -clausule uitleg van ISO 27001.

Hier kunt u leren hoe gedetailleerd de ISO 27001-documenten moeten zijn?

Voor besluitvormers in de startup-wereld , wordt ten zeerste aanbevolen om te lezen waarom ze zouden moeten investeren in ISO 27001 en hoe de implementatie een boost kan geven voor het bedrijf.

Over de auteur:

Andrea Giesler is een interne auditor , gevestigd in Keulen, Duitsland, gespecialiseerd in de gebieden ISO 27001, ISO 9001 en EU AVG. Ze is een Certified Information Systems Auditor (CISA) en is door ISACA gecertificeerd in Risk and Information Systems Control (CRISC).