Hoe implementeer je de ISO 27001 norm: een stap-voor-stap handleiding

Implementatie stap 1: GAP-analyse

De GAP-analyse is het begin van elk implementatietraject. We beginnen met het uitvoeren van een analyse om de huidige status van jouw organisatie te bepalen. Hierbij brengen we de processen met betrekking tot informatiebeveiliging in kaart. We stellen een rapport op met de gaten tot de norm en maken een praktische projectplanning met duidelijke rollen en verantwoordelijkheden.

De GAP-analyse geeft ons belangrijke inzichten in de huidige stand van informatiebeveiliging binnen jouw organisatie. Dit inzicht helpt bij het identificeren van kwetsbaarheden, het vaststellen van benodigde middelen en het opstellen van beleid.

Wij voeren de GAP-analyse uit waarbij we ieder punt uit de norm beoordelen. Zo schetst jouw persoonlijke consultant een gedetailleerd beeld van de huidige stand van zaken. Onze toegevoegde waarde ligt niet alleen in het identificeren van beveiligingsproblemen binnen processen en procedures, maar ook in het bieden van oplossingen. Bijvoorbeeld, als we een gap in de beveiliging identificeren volgens de ISO 27001 norm, doen we een voorstel om deze gap te dichten. Dit kan variëren van het implementeren van authenticatiemaatregelen tot het verbeteren van de monitoring van gevoelige gegevensstromen.

‍

Implementatie stap 2: Risicoanalyse

ISO 27001 is een norm gebaseerd op risico´s, wat betekent dat maatregelen moeten worden afgestemd op de risico’s van jouw organisatie. Door middel van een uitgebreide risicoanalyse brengen wij alle risico´s binnen en buiten jouw organisatie in kaart en worden deze geëvalueerd.

De risicoanalyse is een verplicht onderdeel van de norm. Het helpt bij het identificeren van kwetsbaarheden en bedreigingen die jouw organisatie kunnen raken. Het stelt je in staat om gerichte maatregelen te nemen om deze risico’s te mitigeren, wat de beveiliging van jouw informatie versterkt en mogelijke schade voorkomt.

De ISO 27001 schrijft voor dat risico´s en kansen in kaart moeten worden gebracht. Dit doen wij door middel van een van een brainstorm. Met als doel de kans en impact te beoordelen. Hiervoor hebben wij een template die voldoet aan alle onderdelen van de norm. Door onze ervaring en kennis weten wij waar een auditor op let bij het beoordelen van risico´s en getroffen beheersmaatregelen. Ook zijn we bekend met relevante risico´s en trends waardoor we dieper in kunnen gaan op jouw organisatie/branche specifieke risico’s.

‍

Implementatie stap 3: Managementsysteem opzetten

Een managementsysteem is het geheel van beleid, processen en procedures waarmee een organisatie haar beleid en doelstellingen kan beheersen. In de kern helpt een managementsysteem een organisatie:

• Haar beleid en doelstellingen definiëren;
• risico’s identificeren en beheersen;
• continue verbetering stimuleren;
• beveiliging controls uitvoeren.

Het opzetten van het managementsysteem is het belangrijkste onderdeel van het implementatietraject. Het geeft een gestructureerde aanpak om informatiebeveiliging te beheersen, normnaleving te waarborgen en continue verbetering aan te tonen. Er bestaan geen harde eisen voor hoe het systeem eruit moet zien, alleen wat erin moet staan en wat het systeem moet borgen.

Onze aanpak is gebaseerd op de behoeften van jouw organisatie. We richten het managementsysteem in op jouw organisatie en in jouw software. Naast de verschillende software hebben wij uiteraard best practices. Als wij een managementsysteem bouwen is gebruiksvriendelijkheid onze hoogste prioriteit. Na de implementatie moet het namelijk eenvoudig onderhouden kunnen worden. Zie hier hoe wij dat doen.

‍

Implementatie stap 4: Bewustwording

Bewustwording houdt simpelweg in dat, iedereen binnen de organisatie zich volledig bewust is van de eisen en doelen van de norm. Het gaat om het begrijpen van het belang van het veilig omgaan met informatie en het erkennen van de specifieke vereisten die de norm stelt. Dit bewustzijn strekt zich uit over alle niveaus van een organisatie.

80% van de cyberincidenten is het gevolg van menselijke fouten. Bewustwording is daarom van cruciaal belang en is (volgens Annex A.6.3.) een verplicht onderdeel van de norm. Door medewerkers bewust te maken van de risico’s en best practices, kunnen we de kans op incidenten verminderen en de algehele beveiliging van jouw organisatie versterken.

Wij bieden standaard fysieke trainingen aan zodat aan het verplichte onderdeel van de norm wordt voldaan. Daarnaast zijn er nog tal van mogelijkheden om te bewustwording binnen jouw organisatie te verhogen, denk aan:

• Microlearning door middel van gamification;
• phishing campagne;
• functiegerichte trainingen;
• E-learning modules;
• USB-drop;
• flyers, posters en nieuwsbrieven.

‍

Implementatie stap 5: Interne audit

De interne audit is een verplicht toetsmoment om te controleren of het managementsysteem effectief werkt en aan alle normeisen voldoet. Periodiek moet de organisatie haar managementsysteem onafhankelijk laten controleren door competente auditoren. Uit deze toets constateert de auditor verbeterpunten en tekortkomingen.

De interne audit is een verplicht onderdeel van de norm en helpt jouw organisatie om eventuele tekortkomingen of verbeterpunten te identificeren en corrigeren voordat de externe audit plaatsvindt.

Onze consultants zijn gecertificeerd als Lead Auditor en kunnen daardoor een kritische interne audit uitvoeren. Zo weet je dat als je door de interne audit komt, de externe audit ook goed moet komen. De onafhankelijkheid borgen wij doordat de interne audit altijd wordt uitgevoerd door een andere consultant dan de consultant die de implementatie doet. Zo heb je het vierogenprincipe van twee specialisten. Tijdens de interne audit zoeken we naar verbeteringen in het managementsysteem van de organisatie.

Lees ook ons artikel “Hoe ziet een interne audit eruit?”.

‍

Implementatie stap 6: Management review

Naast de interne audit is de management review ook een verplicht onderdeel. Dit werd voorheen ook wel de directiebeoordeling genoemd. Bij de management review gaat de directie de effectiviteit, geschiktheid en doeltreffendheid van het managementsysteem evalueren. De registraties hiervan worden vastgelegd in het managementsysteem wat meteen gebruikt wordt als bewijslast voor de externe audit. De management review volgt altijd na de interne audit zodat deze resultaten meegenomen worden in de beoordeling.  

Het belangrijkste doel van de management review is het continu verbeteren van het managementsysteem en de organisatie. Dit wordt bereikt door concrete actiepunten die komen uit de management review. Met behulp van deadlines en verantwoordelijken zorgt de organisatie ervoor dat verbetermaatregelen daadwerkelijk geïmplementeerd worden binnen de organisatie.

Bij de management review doorlopen we een gestandaardiseerde aanpak om alle verplichte onderdelen te bespreken met de belanghebbenden. Samen met de directie beoordelen we of het managementsysteem daadwerkelijk bijdraagt aan het behalen van de beoogde doelstellingen. We identificeren kansen voor verbetering en werpen een blik op voorgaande jaren om de voortgang te meten. Deze evaluatie draagt bij aan de betrokkenheid van de directie, wat van belang is voor hoofdstuk 5, ‘Leiderschap en betrokkenheid’.

‍

Implementatie stap 7: Externe audit

De externe audit is het officiële toetsmoment uitgevoerd door een onafhankelijke partij (Certificerende Instelling) om te controleren of jouw organisatie voldoet aan de ISO 27001-norm. Na de audit zal de auditor een positief of negatief advies afgeven om de organisatie te certificeren.

De externe audit is onderdeel van het externe audittraject dat bestaat uit een cyclus van 3 jaar. De 3-jarige auditcyclus start met de initiële audit die bestaat uit het vooronderzoek (fase 1) en de certificatieaudit (fase 2). Vervolgens vindt er tweemaal een controle-audit (surveillance audit) plaats. Aan het eind van deze cyclus wordt in de hercertificatie-audit bepaald of het certificaat wordt verlengd en de organisatie een nieuwe 3-jarige cyclus in gaat.

Onze rol bij de externe audit is om jouw organisatie voor te bereiden en te ondersteunen. We hebben ervaring in het omgaan met externe auditoren en begrijpen de verwachtingen en vereisten. Denk aan het beantwoorden van vragen, het analyseren van verbeterpunten en het aanvragen van het certificaat. Tijdens de externe audit mogen wij het woord voeren voor jouw organisatie om de audit tot een succes te begeleiden.

‍

Implementatie stap 8: Onderhoud

Het onderhouden van het managementsysteem is een verplicht onderdeel van de norm. Onderhoud is het controleren en up-to-date houden van het managementsysteem. Taken die belangrijk zijn:

• De controls van de jaarplanning uitvoeren (bijvoorbeeld het maken back-ups, testen van het continuïteitsplan en het controleren van uitgegeven autorisaties);
• Het meten en monitoren van gestelde doelstellingen;
• Het controleren of procedures daadwerkelijk gevolgd worden (bijvoorbeeld voor uitdiensttreding wanneer iemand vertrekt). Het is belangrijk om kritisch te blijven en jezelf af te vragen of jouw organisatie het opgestelde beleid ook echt naleeft.  

Nu jouw organisatie is gecertificeerd in het bezit is van de beoogde certificaten, wil je deze uiteraard behouden. Het certificaat laten verstoffen is geen optie. Jaarlijkse wordt het managementsysteem gecontroleerd door een controle audit. Door het managementsysteem te onderhouden en continu te verbeteren laat je tijdens de volgende audit zien dat je als organisatie in control bent en gecertificeerd blijft.

‍

De kosten van een ISO 27001 implementatie

Periodiek doet jouw organisatie aanpassingen aan het managementsysteem. Zo zorg je ervoor dat het managementsysteem actueel blijft. Met behulp van een jaarplanning voer je alle jaarlijkse verplichte onderdelen van de norm uit. 98% van onze klanten ondersteunen wij nog steeds bij het onderhouden van het managementsysteem en het jaarlijks uitvoeren van de interne audit.

De kosten Je hebt waarschijnlijk de prangende vraag: “Hoeveel kost het om ISO 27001 gecertificeerd te worden?” Helaas is er geen one-size-fits-all antwoord. Hoeveel kosten je naast tijd kwijt bent aan de implementatie van een ISO 27001 hangt af van verschillende factoren. Het begint met de huidige staat van informatiebeveiliging binnen jouw organisatie:

• Heb je al beleid over de omgang met informatie?
• Heb je al een managementsysteem met betrekking tot informatiebeveiliging?
• Heb je al processen in kaart gebracht?

Ook factoren zoals bedrijfsgrootte en complexiteit spelen een rol. Dit wordt bepaald door het aantal medewerkers, vestigingen, producten en diensten, en de diversiteit van je processen. Grootte is niet per se een indicator van complexiteit; een klein bedrijf met meerdere processen kan net zo complex zijn. Door meerdere offerteaanvragen in te dienen kun je prijs- en kwaliteitsverhouding met elkaar vergelijken.

‍

Meer weten over hoe de kosten van een ISO certificering zijn opgebouwd? Lees hier ons blog!

‍

Wat mag je van ons verwachten tijdens de ISO 27001 implementatie?

Implementatietrajecten vragen veel van de interne organisatie. Wij houden van een pragmatische insteek en houden veel rekening met de wensen van jouw organisatie. Remote of op locatie? Wekelijkse meetings of korte updates? Jouw eigen software of een nieuwe tool?

Wij zijn jouw kennispartner en staan altijd klaar voor vragen. Jouw organisatie heeft geen kennis van de norm nodig. Als fris team specialisten opgegroeid in digitale wereld houden we van een heldere en vlotte communicatie, schroom dus niet om te bellen, mailen of appen.

Elke organisatie is anders en daarom bieden wij twee soorten implementatietrajecten aan:

Begeleidend implementatietraject

In dit traject bieden wij coaching en advies bij de implementatie van het managementsysteem en bijbehorende beleidsdocumenten. Dit systeem wordt procesmatig ingericht en zal als instrument dienen voor het identificeren van risico’s om deze vervolgens te beheersen. Tijdens dit traject denken wij met jouw organisatie mee, geven wij templates en best practices die je kunt toepassen op jouw organisatie. Daarnaast staan onze consultants dagelijks voor jouw organisatie klaar voor vragen, verdieping en advies.
‍

Voor wie?

Voor organisaties die zelf de implementatie willen doen en behoefte hebben aan advies, templates en ondersteuning bij verplichte onderdelen van de norm zoals de interne audit en management review.
‍

Workload?

Binnen jouw organisatie verwachten we ongeveer de volgende workload uitgedrukt in aantal uren per week. Let op: dit is een schatting.

‍

Ontzorgend implementatietraject

In dit traject nemen wij de verantwoordelijkheid voor een succesvolle implementatie van jou volledig over. Onze consultant ontzorgd jouw organisatie en neemt je van A tot Z mee tijdens het traject. Hierdoor kunnen jouw mensen blijven doen wat ze altijd doen: het bedrijf runnen.
‍

Voor wie?

Voor organisaties die de implementatie niet zelf willen doen en enkel willen redigeren en het beantwoorden van organisatiespecifieke vragen.
‍

Workload?

Binnen jouw organisatie verwachten we ongeveer de volgende workload uitgedrukt in aantal uren per week. Let op: dit is een schatting.

‍

Wat we van jou verwachten tijdens de ISO 27001 implementatie

Voor een heldere en vlotte communicatie verwachten we een aanspreekpunt binnen jouw organisatie. Vaak wordt dit de Security Officer genoemd. Het is belangrijk dat de Security Officer kennis heeft van interne systemen. Ook is het fijn om een periodiek vast tijdstip af te spreken wanneer we samen contact hebben.
‍

Voordelen van een ISO 27001 implementatiepartner

De samenwerking met een ervaren implementatiepartner brengt een aantal voordelen met zich mee: Hulp nodig bij het kiezen van de juiste implementatiepartner? Lees hier op welke 7 criteria je moet letten.

‍

Fendix kiezen als implementatiepartner

We hopen dat dit blog je een duidelijk inzicht heeft kunnen bieden in hoe een implementatietraject er uit ziet. Ben je enthousiast geraakt over onze aanpak? Dan horen we graag van je. Check onze website voor meer informatie of neem direct contact met ons op.

‍

‍