Informatiebeveiliging - Implementatie ISO 27001 - AuditConnect

Implementatie ISO 27001

Informatiebeveiliging is tegenwoordig voor elk bedrijf van groot belang. De ISO 27001 is een internationale Code voor informatiebeveiliging en een best-practice dat gebruikt kan worden om de informatiebeveiliging van een organisatie in te richten. Op basis van een risicoanalyse stelt u vast welke maatregelen van de 27001 van toepassing zijn en kunt u de juiste set van maatregelen implementeren.

AuditConnect heeft al ruim 10 jaar ervaring bij het ondersteunen van organisaties om hun informatiebeveiliging in te richten. We hebben onze aanpak gestandaardiseerd zodat we elke organisatie in een korte tijd kunnen laten voldoen aan ISO27001. Vaak ondersteunen wij ook organisaties die gecertificeerd willen worden voor de norm.

Om te komen tot het uiteindelijke doel maken wij gebruik van een 11 stappenplan. Onderstaand zijn de verschillende stappen en producten beschreven.

Stap 1 Beleid bepalen

Omschrijving:
Opstellen van een beleidsdocument, waarin het doel van de informatiebeveiliging en de scope waarin de reikwijdte voor certificering is vastgelegd. Het informatiebeveiligingsbeleid beschrijft de weg om het doel te bereiken, de reikwijdte van die weg, de definitie, verantwoordelijkheden en andere kaders. In de Code voor informatiebeveiliging (ISO27001) is beschreven welke items moeten worden benoemd in het beleid. De risicoanalyse die nog moet worden doorlopen in stap 3 zal leiden tot een revisie van het beleid.

Deliverable(s):

  • Informatiebeveiligingsbeleid.

Stap 2 De reikwijdte van het ISMS vaststellen

Omschrijving:
Na het formuleren van het informatiebeveiligingsbeleid is de volgende stap het analyseren van de gevolgen van het manifest worden van bedreigingen. Dit is de zogenaamde businessimpactanalyse (BIA). Die analyse maakt het mogelijk in een latere stap voor de processen waarvan uw bedrijf het meest afhankelijk is een passende risicoanalyse uit te voeren. Teneinde de BIA uit te kunnen voeren worden de bedrijfsprocessen geïnventariseerd en hun onderlinge afhankelijkheden. Daardoor kan later de impact van een bedreiging worden ingeschat. Na het inventariseren van de bedrijfsprocessen moeten de eisen met betrekking tot beschikbaarheid, integriteit en exclusiviteit worden vastgesteld. Hiervoor wordt gebruik gemaakt van onderstaande waardering.



Na het uitwerken van meest essentiële processen worden de processen verder uitgewerkt in detail. Hierbij wordt de methodiek MAPGOOD gebruikt: Mensen, apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Nadat op basis van MAPGOOD de meest essentiële processen zijn uitgewerkt worden de assets gescored op basis van de asset classificatie referentiekaart.

Deliverable(s):

  • Procesmodel op hoofdlijnen.
  • Waardering van de bedrijfsprocessen op de betrouwbaarheidseisen van beveiliging.
  • Door het management geaccordeerde essentiële processen.
  • Asset impactanalyse op basis van MAPGOOD.
  • Door het management geaccordeerde BIA en afhankelijkheidsanalyse.

Stap 3 Uitvoeren van de risicoanalyse

Omschrijving:
Uitvoeren van Risicoanalyse en definitie eisen waaraan de beveiliging moet voldoen. Hierbij worden de bedreigingen voor de bedrijfsmiddelen, kwetsbaarheden en de invloed op de organisatie bepaald.

In de BIA en de afhankelijkheidsanalyse zijn de eisen bepaald met betrekking tot de beschikbaarheid, integriteit en exclusiviteit aan de bedrijfsprocessen. Dit betreft echter interne eisen. Deze eisen moeten worden aangevuld met externe eisen. Nadat het overzicht van partijen die een rol spelen in kaart is gebracht moeten de afzonderlijke eisen die de partijen stellen worden geanalyseerd.
Op basis van de BIA, de afhankelijkheidsanalyse en de interne en externe eisen zal de kwetsbaarheidsanalyse worden uitgevoerd. Hierbij wordt een analyse gemaakt van de bedreigingen die relevant zijn voor de bedrijfsprocessen van uw bedrijf. Nadat alle bedreigingen in kaart zijn gebracht zal worden ingeschat hoe groot de kans is dat een bedreiging manifest wordt. De risicoanalyse wordt kwalitatief uitgevoerd op basis van onderstaande tabel.

Na het vaststellen van de bedreigingen zal op basis van ISO 27001 worden vastgesteld welke normen moeten worden geïmplementeerd.

Deliverable(s):

  • Overzicht van externe partijen en relevante wet- en regelgeving die eisen stellen aan de informatiebeveiliging.
  • Door het management geaccordeerde kwetsbaarheidsanalyse.
  • Door het management geaccordeerde risicoanalyse.
  • Overzicht van de te nemen maatregelen.
  • Besluitenlijst van de stuurgroep van de maatregelenset.

Stap 4 Ontwerp van het ISMS

Opstellen van het ontwerp van het beveiligingssysteem, gedocumenteerd in het beveiligingsplan. Dit plan vertaalt de normen naar concrete maatregelen. Op basis van de normen worden maatregelen gekozen, deze kunnen preventief, detectief, repressief of correctief zijn van aard. Op basis van de kosten en baten zal een goede afweging worden gemaakt. De lijst met te nemen maatregelen zal middels een besluitenlijst worden aangeboden aan de stuurgroep. Per maatregelen kan worden gekozen om deze:

  • te implementeren per direct, korte termijn of lange termijn.
  • de maatregel niet te implementeren.
  • vast te stellen dat de maatregel al is genomen.
  • de maatregel niet van toepassing te verklaren.
  • het risico te accepteren en geen maatregelen te treffen.
  • de maatregel nog te willen bediscussiëren.

Deliverable(s):

  • Overzicht van de te nemen maatregelen.
  • Besluitenlijst van de stuurgroep van de maatregelenset.
  • Het ISMS.

Stap 5, 6 en 7 Implementatie van maatregelen en procedures

Aan de hand van het ontwerp worden in deze stap technische, fysieke en organisatorische beveiligingsmaatregelen getroffen. Hieraan ten grondslag ligt een implementatieplan.

Stap 8 Verklaring van Toepasselijkheid

De conformiteitsverklaring, ook wel Verklaring van Toepasselijkheid genoemd, zal worden opgesteld door het management van uw bedrijf. De Verklaring is het vertrekpunt voor de uiteindelijke certificatie en mede bedoeld voor externe communicatiedoeleinden. In de verklaring worden vanwege de vertrouwelijkheid geen specifieke informatie over de getroffen maatregelen opgenomen, maar worden alleen de doelstellingen van de Code, voor zover relevant voor uw bedrijf, beschreven. De Verklaring zal worden opgebouwd op basis van onderstaande indeling:

  1. Bedrijfsnaam:
  2. Organisatie eenheid:
  3. Werkend onder de naam:
  4. Toepassingsgebied: specificatie van de te certificeren bedrijfsactiviteiten:
  5. De relevante selectie van doelstellingen uit de Code op basis van de risicoanalyse
  6. Ondertekening

Deliverable(s):

  • Verklaring van Toepasselijkheid

Stap 9 Uitvoeren interne audit(s)

Nadat het ISMS is ingericht en de maatregelen zijn geïmplementeerd moet de PDCA-cyclus worden gecontinueerd door het uitvoeren van audits. Op basis van de audits kunnen aanpassingen en verbeteringen worden doorgevoerd in het ISMS.

Deliverable(s):

  • Intern auditplan.
  • Auditresultaten met verbeteracties benoemd.


Stap 10 en 11 Certificering (indien wenselijk)

Nadat de voorgaande stappen zijn doorlopen wordt de certificering uitgevoerd. Het certificeringstraject zal plaatsvinden volgens de volgende stappen:

  1. Aanvraag tot certificatie.
  2. Een optioneel proefonderzoek.
  3. Documentatieonderzoek.
  4. Implementatieonderzoek.
  5. Evalueren van de verzamelde informatie.
  6. Beslissing tot certificatie.

Deliverable(s):

  • Certificaat

Wilt u overgaan tot het inrichten van de informatiebeveiliging op basis van ISO27001, meer informatie, het uitvoeren van een risicoanalyse of heeft u een andere vraag? Neem contact met ons op, bel 055-3010100 of mail info@auditconnect.nl om vrijblijvend te praten over de mogelijkheden en oplossingen. We kijken er naar uit om met u samen te werken!

AuditConnect werkt onder andere voor de volgende bedrijven:

logo ActuIT - referentie ActuIT - AuditConnect
Logo Axxerion - Axxerion - AuditConnect
Logo Berkman Trading - Berkman Trading - AuditConnect
logo Connexys - referentie Connexys - AuditConnect
Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect
Gemeente Borne - Gemeente Borne - AuditConnect
Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect
Logo HR2day - HR2day - AuditConnect
INERGY - INERGY - AuditConnect
logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect
logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect
Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect
Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect
logo Caresharing - NEN7510 Caresharing - AuditConnect
Logo Parnassia - Parnassia Groepp - AuditConnect
Logo Progress - Progress - AuditConnect
logo Salure - Salure - AuditConnect
logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect
logo UNI-learning - UNI-Learning - AuditConnect
logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect
VSV Noorderpoort - VSV Noorderpoort - AuditConnect

Meer referenties Cases / referenties - AuditConnect