Zijn we klaar voor ISO / IEC 27001: 2013?

Deze checklist is bedoeld om inzicht te geven en een inschatting te maken in hoeverre een organisatie klaar is voor het ISO / IEC 27001 Managementsysteem voor Informatiebeveiliging (het Information Security Management System = ISMS). Met de resultaten van deze vragenlijst is het mogelijk om een overzicht te krijgen van waar u zich bevindt in het ISO / IEC 27001-proces.

Geen tijd om deze analyse zelf uit te voeren? AuditConnect helpt u er graag mee. Vul de vragenlijst in (inclusief contactgegevens), sla het geheel op en e-mail het naar: info@auditconnect.nl.

1. De organisatie en haar context

Zijn de interne en externe kwesties die relevant zijn t.a.v. het ISMS en die invloed ervan op de verwachte uitkomst, vastgesteld?

2. Behoeften en verwachtingen van de betrokken partijen

Heeft de organisatie bepaald welke belanghebbende, relevante partijen er zijn in relatie tot het ISMS?

Zijn de eisen (inclusief de wettelijke, reglementaire en contractuele vereisten) van deze belanghebbenden vastgesteld?

3. Reikwijdte van het ISMS

Zijn, rekening houdend met de interne en externe kwesties die voor het ISMS relevant zijn, de eisen van de betrokken partijen, de interfaces en afhankelijkheden met andere organisatie(s), de grenzen en de toepasbaarheid van het ISMS vastgesteld om zodanig de scope/toepassingsgebied ervan te bepalen?

Wordt er documentatie bijgehouden van het toepassingsgebied/scope van het ISMS?

4. Commitment van het management en de directie

Wordt het belang van het ISMS door het management/de directie van de organisatie getoond door:

  • Vaststelling van het informatiebeveiligingsbeleid en doelstellingen, rekening houdend met de strategische richting van de organisatie en gericht op het continue bevorderen van verbetering?
  • Zorgdragen voor de integratie van de ISMS-benodigdheden in de bedrijfsprocessen?
  • Zorgdragen dat er mensen en middelen beschikbaar zijn t.b.v. het ISMS en het sturen en stimulerend ondersteunen van personen, inclusief management, die bijdragen aan de doeltreffendheid ervan?
  • Communiceren over de belangrijkheid van een effectieve informatiebeveiliging en het voldoen aan de eisen/voorwaarden van het ISMS?

5. Informatiebeveiligingsbeleid

Is er een adequaat informatiebeveiligingsbeleid geïmplementeerd dat een kader geeft voor het bepalen van de doelstellingen dat passend is t.a.v. de eisen voor informatiebeveiliging en het mogelijk maakt om continue te verbeteren?

Wordt het beleid gedocumenteerd en gecommuniceerd naar medewerkers en de relevante belanghebbenden?

6. Rollen en verantwoordelijkheden

Zijn de rollen binnen het ISMS duidelijk gedefinieerd en gecommuniceerd?

Worden de verantwoordelijkheden en bevoegdheden toegewezen m.b.t. de conformiteit en rapportage over de werking en uitkomsten van het ISMS?

7. Risico's en kansen rondom implementatie van het ISMS

Zijn interne en externe kwesties alsmede de eisen van betrokken partijen doorgesproken om zodanig de risico's en kansen te bepalen die moeten worden aangepakt, ongewenste effecten te voorkomen of te verminderen en om ervoor te zorgen dat het ISMS beoogde doelen kan behalen alsmede dat er continue verbetering kan worden bereikt?

Zijn activiteiten om risico's en kansen aan te pakken, ingepland en geïntegreerd in de ISMS-processen en worden deze beoordeeld op effectiviteit?

8. Risico analyse informatiebeveiliging

Is er een proces gedefinieerd voor risico analyse op informatiebeveiliging dat criteria stelt voor het uitvoeren van een risico analyse op informatiebeveiliging, met inbegrip van risico-acceptatie criteria?

Is het proces voor risico analyse op informatiebeveiliging herhaalbaar en levert het consistente, valide en vergelijkbare resultaten op?

Identificeert het proces voor risico analyse op informatiebeveiliging de risico’s die verband houden met het verlies van vertrouwelijkheid, integriteit en beschikbaarheid van informatie in het kader van het ISMS en worden de risico-eigenaren geïdentificeerd?

Zijn informatiebeveiligingsrisico's geanalyseerd om de realistische waarschijnlijkheid te kunnen boordelen waarop deze zouden plaatsvinden alsmede de daarbij mogelijke gevolgen die daaruit zouden voortvloeien (als deze risico’s zich voordoen) en zijn de mate van risico daarvoor vastgesteld?

Zijn de informatiebeveiligingsrisico’s vergeleken met de vastgestelde risicocriteria en geprioriteerd?

Is gedocumenteerde informatie over het informatiebeveiligingsrisicoanalyseproces beschikbaar?

9. Informatiebeveiligingsrisico beheersing

Is er een Informatiebeveiligingsrisico-beheersingsproces om passende risicobeheersingsmaatregelen te kunnen selecteren voor de uitkomsten van de informatiebeveiligingsrisicoanalyse? En zijn er maatregelen vastgesteld waarmee de risicobeheersingsmaatregel die gekozen wordt geïmplementeerd kan worden?

Zijn de beheersmaatregelen die zijn vastgesteld, vergeleken met de maatregelen in ISO / IEC 27001: 2013 bijlage A, om ervoor te zorgen dat er geen noodzakelijke maatregelen zijn vergeten?

Is er een Verklaring van Toepasselijkheid aanwezig waarin staat verklaard waarom de in bijlage A genoemde maatregelen zijn uitgesloten of geïncludeerd alsmede de status van de beheermaatregel?

Is een informatiebeveiligingsrisico-beheerplan opgesteld en goedgekeurd door de risico-eigenaren? En zijn de resterende informatiebeveiligingsrisico's door de risico-eigenaren geautoriseerd?

Is gedocumenteerde informatie over het beheerproces t.a.v. informatiebeveiligingsrisico’s beschikbaar?

10. Informatiebeveiligingsdoelstellingen en implementatieproces

Zijn meetbare ISMS-doelstellingen en -streefcijfers vastgesteld, gedocumenteerd en gecommuniceerd binnen de gehele organisatie?

Heeft de organisatie, bij het vaststellen van de doelstellingen, bepaald wat er moet gebeuren, wanneer en door wie?

11. ISMS-middelen en -bevoegdheden

Heeft het ISMS voldoende mensen en middelen tot zijn beschikking?

Is voor het bepalen van de mate van geschiktheid voor een rol binnen het ISMS een proces gedefinieerd en gedocumenteerd?

Zijn de personen van de onderneming die een rol hebben binnen het ISMS geschikt bevonden voor deze rol en worden competenties adequaat gedocumenteerd?

12. Bewustwording en communicatie

Is iedereen binnen de organisatie zich bewust van het belang van informatiebeveiligingsbeleid, hun bijdrage aan de effectiviteit van het ISMS en de gevolgen van het niet voldoen aan de beveiligingseisen?

Heeft de organisatie de behoefte bepaald van interne en externe communicatie in relatie tot het ISMS, het communicatieproces met inbegrip van wat te communiceren, wanneer, met wie en door wie?

13. Documentatie

Heeft de organisatie bepaald welke documenten er nodig zijn voor het effectief werken van het ISMS?

Is die documentatie beschikbaar, in de juiste format opgesteld, beoordeeld en goedgekeurd bevonden?

Wordt de gedocumenteerde informatie zodanig beheerd dat het beschikbaar is, voldoende beschermd, gedistribueerd, opgeslagen, bewaard is en worden de versies en wijzigingen bijgehouden? En geldt dit ook voor de documenten die afkomstig zijn van derden die vereist zijn voor het ISMS van de organisatie?

14. Operationele planning en control

Is er een programma ontwikkeld en geïmplementeerd dat ervoor zorgt dat het ISMS de uitkomsten, eisen en doelstellingen behaalt?

Wordt gedocumenteerd bewijs bewaard om aan te tonen dat processen zijn uitgevoerd zoals gepland?

Worden aanpassingen gepland en beheerd? En worden onvoorziene aanpassingen achteraf beoordeeld om eventuele negatieve resultaten te beperken?

Zijn processen m.b.t. uitbesteding geïmplementeerd en worden deze gecontroleerd?

Worden informatiebeveiligingsrisicoanalyses met geplande tussenpozen uitgevoerd? En worden deze ook uitgevoerd als er significante aanpassingen hebben plaatsgevonden? En wordt gedocumenteerde informatie hieromtrent bewaard?

Zijn informatiebeveiliging-risicobeheersing maatregelen geïmplementeerd en wordt gedocumenteerde informatie hieromtrent bewaard?

15. Monitoring, meten en evalueren

Worden de uitkomsten van de informatiebeveiliging en de effectiviteit van het ISMS geëvalueerd?
Is er vastgesteld wat er moet worden gecontroleerd en gemeten, wanneer, door wie, door middel van welke methoden en wanneer de resultaten moeten worden geëvalueerd?

Wordt als bewijs van de resultaten van de monitoring en meting gedocumenteerde informatie bewaard?

16. Interne audit

Worden interne audits om te controleren of het ISMS effectief is, voldoet aan zowel de ISO / IEC 27001: 2013 en de eisen van de organisatie, periodiek uitgevoerd?

Zijn de audits uitgevoerd door middel van een degelijke methode en in overeenstemming met een auditprogramma op basis van de resultaten van risicobeoordelingen en eerdere controles?
Worden de resultaten van de audits aan het management gerapporteerd; en wordt documentatie over het auditprogramma en de behaalde resultaten van de audit bewaard?

Zijn eventueel geïdentificeerde afwijkingen onderworpen aan corrigerende maatregelen (zie paragraaf 18)?

17. Beoordeling door de directie

Voert het topmanagement/de directie periodiek een herziening van het ISMS uit?

Geeft de output van het ISMS management review, veranderingen en verbeteringen aan?

Worden de resultaten van het management review gedocumenteerd, opgevolgd en gecommuniceerd aan betreffende benodigde partijen?

18. Corrigerende actie en continue verbetering

Zijn activiteiten om te beheersen, controleren, corrigeren en omgaan met de gevolgen van afwijkingen op de norm geïdentificeerd?

Is de set van corrigerende maatregelen geëvalueerd die de oorzaak aanpakt van afwijkingen om deze te elimineren en herhaling te voorkomen?

Zijn alle geïdentificeerde acties geïmplementeerd, beoordeeld op effectiviteit en hebben ze aanleiding gegeven tot verbeteringen aan het ISMS?

Is documentatie bewaard als bewijs van de aard van de afwijkingen de genomen acties en de resultaten?

19. Beveiligingsmaatregelen - voor zover van toepassing, op basis van de resultaten van de informatiebeveiligingsrisicoanalyse

Zijn informatiebeveiligingsbeleidstukken die invoer bieden aan het beheermanagement gedefinieerd en worden deze regelmatig herzien?

Is een management framework geïmplementeerd om de uitvoering en werking van de veiligheid binnen de organisatie, met inbegrip van het toewijzen van verantwoordelijkheden en segregatie van tegenstrijdige taken te controleren?

Worden benodigde contacten met overheden en belangengroepen onderhouden?

Wordt het punt Informatiebeveiliging meegenomen in projecten?

Is er beleid ten aanzien van mobiele apparatuur en telewerken?

Wordt personeel onderworpen aan een screening en hebben ze arbeidsvoorwaarden met bepalingen t.a.v. verantwoordelijkheid inzake informatiebeveiliging?

Zijn werknemers verplicht om zich te houden aan het informatiebeveiligingsbeleid, de informatiebeveiligingsprocedures en worden zij zich hiervan bewust gemaakt? Krijgen ze op dit gebied onderwijs, training/opleiding en zijn er een disciplinaire maatregelen?

Worden verantwoordelijkheden en plichten m.b.t. informatiebeveiliging gecommuniceerd en gehandhaafd voor werknemers die hun arbeidsovereenkomst beëindigen of van baan veranderen?

Is er een inventarisatie-overzicht van de zaken die verband houden met informatie en informatieverwerking? Zijn daarin eigenaren aan die zaken benoemd/toegewezen en zijn regels voor aanvaardbaar gebruik en de terugkeer van de zaken gedefinieerd?

Wordt informatie geclassificeerd en wordt deze als zodanig bestempeld? En zijn er procedures voor de behandeling van zaken volgens classificaties gedefinieerd?

Zijn er procedures voor de verwijdering, de vernietiging en de doorvoer van informatiedragers?
Is er beleid gedefinieerd en beoordeeld t.a.v. een toegangscontrolesysteem? En is de gebruikerstoegangsverlening in lijn met dit beleid?

Is er een formeel gebruikersregistratieproces dat het toekennen en intrekken van de toegang en de toegangsrechten tot systemen en diensten beheert? En worden toegangsrechten regelmatig herzien en verwijderd bij beëindiging van het dienstverband?

Zijn toegangsrechten naar bijzondere informatie beperkt en worden deze gecontroleerd? En worden geheime authenticatiegegevens beheerd en de gebruikers geïnformeerd over de werkwijze die bij gebruik hiervan van toepassing zijn?

Is de toegang tot verschillende kwalificaties van gegevens in overeenstemming met het beleid inzake de toegangscontrole en wordt die toegang geregeld via een beveiligde log-on procedure?
Zijn wachtwoordbeheersystemen interactief en dwingen ze de gebruiker naar een password met een bepaalde kwaliteitsstandaard?

Is het gebruik van hulpprogramma's en de toegang tot de broncode van een programma beperkt mogelijk?

Is er beleid ten aanzien van het gebruik van cryptografie en versleutelingsbeheer?

Zijn er richtlijnen, beheermethoden en controles aanwezig om ongeautoriseerde fysieke toegang en schade aan informatie en informatie verwerkende faciliteiten te voorkomen?

Zijn er richtlijnen en beheermethoden geïmplementeerd om het verlies, schade, diefstal of beschadiging van goederen en onderbrekingen in het werkproces te voorkomen?

Zijn werkwijzen gedocumenteerd en worden wijzigingen in de organisatie, bedrijfsprocessen en informatiesystemen beheerd?

Worden mensen en middelen gemonitord en worden er prognoses gemaakt t.a.v. toekomstige capaciteitsbehoefte op het gebied hiervan?

Is er scheiding van ontwikkel-, test- en operationele omgevingen?

Is er bescherming tegen kwaadaardige en/of schadelijke software (malware)?

Wordt informatie, software en de systemen regelmatig onderworpen aan een back-up en testen?
Zijn er controlemiddelen geïmplementeerd die gebeurtenissen loggen en die bewijs kunnen genereren?

Wordt de implementatie van software op de operationele systemen gecontroleerd en beheerd? En zijn er regels voor de installatie van de software door gebruikers?

Wordt informatie over technische kwetsbaarheden verkregen en worden er passende maatregelen genomen om risico's aan te pakken?

Worden netwerken beheerd, gescheiden wanneer dat nodig is en gecontroleerd om informatiesystemen te beschermen? En zijn netwerkdiensten onderworpen aan service-overeenkomsten?

Is er beleid en zijn er afspraken om de veiligheid van de informatie te behouden die wordt overgedragen binnen in of naar buiten de organisatie?

Worden informatiebeveiligingseisen voor informatiesystemen gedefinieerd en wordt informatie die via openbare netwerken en applicaties gaat beschermd?

Zijn de systemen en de regels voor de ontwikkeling van software vastgesteld? En zijn wijzigingen aan systemen binnen de ontwikkelingscyclus formeel beheerd?

Zijn bedrijf kritische applicaties beoordeeld en getest na wijzigingen in besturingssystemen? En zijn er beperkingen t.a.v. wijzigingen in de software pakketten?

Zijn beveiligde technische principes vastgesteld en worden ze onderhouden en geïmplementeerd? Hieronder vallen veilige ontwikkelomgevingen, security testing, het gebruik van testgegevens en het systeem acceptatie testen?

Wordt uitbestede software ontwikkeling begeleidt en gemonitord?

Zijn er overeenkomsten opgesteld en is beleid geïmplementeerd om informatie assets die toegankelijk zijn voor leveranciers te beschermen? En wordt het overeengekomen niveau van informatiebeveiliging en service delivery gecontroleerd en beheerd met inbegrip van wijzigingen in de dienstverlening?

Is er een consistente benadering van het beheer van veiligheidsincidenten en de zwakke punten, met inbegrip van het toewijzen van verantwoordelijkheden, rapportage, evaluatie, reactie, analyse en het verzamelen van bewijs?

Is continuïteit van de informatiebeveiliging ingebed binnen de business continuity management systeem, met inbegrip van de bepaling van de vereisten in ongunstige situaties, procedures en controles en verificatie van de effectiviteit?

Worden informatieverwerkingsfaciliteiten geïmplementeerd met overtolligheid om aan de beschikbaarheidseisen te voldoen?

Zijn alle wetgevende, wettelijke, reglementaire en contractuele vereisten en de aanpak om te voldoen aan deze eisen vastgelegd voor elk informatiesysteem en de organisatie, met inbegrip van maar niet beperkt tot de procedures voor de intellectuele eigendomsrechten, de bescherming van gegevens, privacy en bescherming van persoonlijke informatie en regelgeving cryptografische controles?

Wordt er een onafhankelijke beoordeling van informatiebeveiliging toegepast?

Herzien managers regelmatig de naleving van informatieverwerking en procedures binnen hun bevoegdheden?

Worden informatiesystemen regelmatig beoordeeld voor technische naleving van het beleid en de normen?

Wil u meer weten over de kosten van ISO 27001 certificering?

AuditConnect werkt onder andere voor de volgende bedrijven:
logo ActuIT - referentie ActuIT - AuditConnect Logo Axxerion - Axxerion - AuditConnect Logo Berkman Trading - Berkman Trading - AuditConnect logo Capgemini - referentie Capgemini - AuditConnect logo Connexys - referentie Connexys - AuditConnect Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect Gemeente Borne - Gemeente Borne - AuditConnect Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect Logo HR2day - HR2day - AuditConnect INERGY - INERGY - AuditConnect logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect Logo ITON - ITON - AuditConnect Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect Logo Mirabeau - Mirabeau - AuditConnect logo Caresharing - NEN7510 Caresharing - AuditConnect Logo Parnassia - Parnassia Groepp - AuditConnect Logo Progress - Progress - AuditConnect Logo RID De Liemers - RID De Liemers - AuditConnect logo RoutIT - referentie RoutIT - AuditConnect logo Salure - Salure - AuditConnect logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect logo UNI-learning - UNI-Learning - AuditConnect logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect VSV Noorderpoort - VSV Noorderpoort - AuditConnect