Vijf essentiële stappen voor effectieve informatiebeveiliging en een ISO 27001 certificering.

25 februari 2021 | Geoffrey Langen

Informatiebeveiliging, het is een actueel onderwerp. Toenemende digitalisering, thuiswerken (vanwege een pandemie), fake news, cyberrisico’s, er gebeurt veel. Uit het Global Risk Report 2021 van het World Economic Forum blijkt dat het falen van cybersecurity maatregelen één van de grootste risico’s is. Het stellen van strenge eisen aan het beveiligen van informatie wordt dan ook steeds belangrijker. Een ISO 27001 certificaat, wereldwijd dé norm voor informatiebeveiliging, is hierbij een belangrijk hulpmiddel. Toch krijgen we er veel vragen over, want: is een ISO 27001 certificering verplicht? Wanneer heb ik een ISO 27001 certificering nodig? Wat moet ik doen om zo’n certificaat te behalen? Vandaar deze korte handleiding met handige tips. Dit is slechts een klein gedeelte van onze maatwerkaanpak die wij hanteren bij onze klanten. Hierbij hebben we aandacht voor het pragmatisch implementeren van de eisen vanuit de ISO norm en de interpretatie van normeisen. Door onze ervaring met certificeringstrajecten, zowel binnen als buiten Limburg, en certificerende instellingen (CI’s) weten we ook waar CI’s op letten en hoe zij bepaalde zaken interpreteren.

(tekst loopt door onder de foto)

Waarom een ISO 27001 certificaat?

Organisaties krijgen steeds vaker te maken met vertrouwelijke en privacygevoelige informatie. Het is erg belangrijk dat deze informatie goed beveiligd wordt en niet zomaar op straat komt te liggen. Zo bescherm je niet alleen jezelf maar ook anderen. Een ISO 27001 certificaat is niet verplicht, maar toont wel aan dat serieus wordt omgaat met de informatie binnen de organisatie. Het is de snelst groeiende norm op dit moment. Dit versterkt de betrouwbaarheid en het imago van  de organisatie.

Stap 1: Begin met inventariseren

Een belangrijke eerste stap is het maken van een inventarisatie van jouw organisatie. Hierbij let je op een aantal dingen: welke informatie is beschikbaar, hoe wordt deze opgeslagen en hoe ziet de ICT-infrastructuur eruit? Hierbij is het ook belangrijk om te inventariseren welke stakeholders relevant zijn, en welke eisen zij hebben met betrekking tot de opslag en beveiliging van informatie.

Stap 2: Maak een risicoanalyse

Een wezenlijk onderdeel van de ISO 270001 norm is de risicoanalyse. Deze analyse wordt gebruikt om de risico’s en de gewenste organisatorische en technische beheersmaatregelen te bepalen.  Enkele aspecten die beoordeeld worden zijn o.a.:

• Bewustzijn van personeel
• Screening van personeel
• Autorisaties
• Gebruik van apparatuur
• Beheer van bedrijfsmiddelen
• Intellectueel eigendom
• Toegangsbeveiliging

Stap 3: Stel een stappenplan op

Vervolgens wordt gekeken naar de praktische stappen die je kunt uitvoeren om te voldoen aan de benodigde eisen. Welke maatregelen zijn nodig met betrekking tot het managementsysteem? Wij doen dit volgens de P-D-C-A-cyclus: Plan-Do-Check-Act. Daardoor is continu verbeteren een feit.

Stap 4: Zet dit plan in actie

In deze fase is het tijd voor actie, er worden stappen ondernomen die leiden tot verbetering. Iedere maatregel die nodig is om te voldoen aan de ISO 27001 norm wordt geïmplementeerd. Om te beoordelen of maatregelen succesvol zijn is het belangrijk om Key Performance Indicators (KPI’s) op te stellen. Ook is het belangrijk om verantwoordelijken aan te wijzen. De maatregelen worden geborgd, dat wil zeggen dat alle gemaakte afspraken (beleid, procedures en instructies) worden vastgelegd in een informatiebeveiligingsmanagementsysteem (ISMS) dat beschikbaar is voor de gehele organisatie.

Stap 5: Doe een interne audit

Om te beoordelen of de beheersmaatregelen en het managementsysteem in voldoende mate zijn geïmplementeerd voeren wij een interne audit uit. Dit dient tevens ter voorbereiding op de échte certificering, die altijd uitgevoerd wordt door een externe, onafhankelijke partij (de CI). Als de opzet, werking en het bestaan van het ISMS tijdens de certificeringsaudit in voldoende mate is aangetoond, zal de CI overgaan tot certificering hiervan.

Bij iedere stap van dit traject kunnen wij ondersteunen. Zo kan ook gekozen worden voor een volledig traject, maar wij kunnen bijvoorbeeld ook enkel een interne audit doen, de inventarisatie of een risicoanalyse opstellen, of helpen een bestaand stappenplan in de praktijk te brengen. Neem gerust contact met ons op via info@ateron.nl of lees verder op www.ateron.nl.