Wat is ISO 27001?

Uw eenvoudige introductie van de basisfeiten

what-is-iso27001-video-thumbnailISO 27001 is een internationale norm gepubliceerd door de Internationale Standaardisatie Organisatie (ISO) en het beschrijft hoe informatiebeveiliging in een bedrijf kan worden beheerst. De meest recente versie van deze norm werd gepubliceerd in 2013, en de volledige titel is nu ISO/IEC 27001:2013. De eerste herziening van de norm werd in 2005 gepubliceerd, en het was ontwikkeld op basis van de Britse norm BS 7799-2.

ISO 27001 kan in elke organisatie worden geïmplementeerd, profit of non-profit, privaat of in het bezit van de staat, klein of groot. Het is geschreven door ‘s werelds beste experts op het gebied van informatiebeveiliging en levert de methodologie voor de implementatie van informatiebeveiliging in een organisatie. Het stelt ook bedrijven in staat zich te certificeren, hetgeen betekent dat een onafhankelijke instantie dan bevestigt heeft dat de organisatie informatiebeveiliging heeft ingevoerd in lijn met de ISO 27001.

ISO 27001 is de meest populaire informatiebeveiligingsnorm wereldwijd en veel bedrijven hebben zich ertegen gecertificeerd – hier ziet u het aantal gecertificaten in de afgelopen jaren:

Bron: Het ISO-onderzoek van Management Systeem Standaard Certificaties

Hoe werkt ISO 27001?

De focus van de ISO 27001 is om de vertrouwelijkheid, integriteit en de beschikbaarheid van de informatie in een bedrijf te beschermen. Dit wordt gedaan door potentiële problemen te achterhalen die kunnen gebeuren met de informatie (bijv. risicobeoordeling), en dan bepalen wat er gedaan dient te worden om dergelijke problemen te voorkomen (bijv. risicomitigatie of risico- behandeling).

Kortom, de basisfilosofie van de ISO 27001 is gebaseerd op het beheersen van risico’s: achterhalen waar de risico’s liggen, en ze dan systematisch behandelen:

ISO 27001 framework

De waarborgen (of maatregelen) die zijn ingevoerd komen meestal in de vorm van beleid, procedures en technische implementaties (bijv. software en apparatuur). Alhoewel, in de meeste gevallen hebben bedrijven alle hard- en software geregeld, maar gebruiken ze deze op een onveilige wijze – daarom gaat de grootste deel van de ISO 27001 implementatie over het stellen van organisatorische richtlijnen (bijv. geschreven documenten) die nodig zijn om beveiligingsinbreuken te voorkomen.

Omdat een dergelijke implementatie meerdere beleidsstukken, procedures, mensen, bedrijfsmiddelen, enz. vereist om te worden beheerst, ISO 27001 omschrijft hoe al deze elementen in te passen zijn in het informatiebeveiligings-managementsysteem (ISMS).

Dus informatiebeveiliging betreft niet alleen IT security (bijv. firewalls, anti-virus, enz.) – het gaat ook om het beheersen van processen, juridische bescherming, beheersing van human resources, fysieke bescherming, enz.

Zie ook De basis logica van ISO 27001: Hoe werkt informatiebeveiliging?

Waarom is ISO 27001 goed voor uw bedrijf?

Er zijn 4 belangrijke zakelijke voordelen die een bedrijf kan behalen met de implementatie van deze informatiebeveiligingsnorm:

Voldoen aan juridische vereisten – Er zijn steeds meer wetten, regelgeving en contractuele vereisten in relatie tot informatiebeveiliging, en het goede nieuws is dat het meeste kan worden opgelost door het invoeren van de ISO 27001 – deze norm levert een perfecte methodologie om aan al deze te voldoen.

Marketingvoordeel bereiken – indien uw bedrijf gecertificeerd is en uw concurrenten niet, dan kunt u het voordeel hebben ten opzichte van hen in de ogen van de klanten die gevoelig zijn voor het veilig bewaren van hun informatie.

Lagere kosten – de basis filosofie van de ISO 27001 is het voorkomen van het optreden van beveiligingsincidenten; en elk incident, groot of klein, ze kosten geld – Kortom, door ze te voorkomen bespaart u uw bedrijf zo een hoop geld. En het beste van alles – de investering in de ISO 27001 is veel kleiner dan de kostenbesparing die u zult bereiken.

Betere organisatie – specifiek, snel groeiende bedrijven hebben niet de tijd om een pauze in te lassen en hun processen en procedures te bepalen – als een gevolg daarvan, weten werknemers niet wat er gedaan dient te worden, wanneer, en door wie. Implementatie van de ISO 27001 helpt een dergelijke situatie op te lossen omdat het bedrijven aanmoedigt hun eigen hoofdprocessen te beschrijven (zelfs als deze niet gerelateerd zijn aan informatiebeveiliging), hen in staat te stellen de verloren tijd van hun werknemers te verminderen.

Zie ook Gratis Return on Security Investment Calculator

Waarbinnen past informatiebeveiliging in een bedrijf?

Belangrijk, informatiebeveiliging is onderdeel van integraal risicomanagement in een bedrijf, met overlappende gebieden met cybersecurity, bedrijfscontinuïteits- en IT-management:

ISO-27001-Where-does-it-fit-NL1

Hoe ziet ISO 27001 er werkelijk uit?

ISO/IEC 27001 is verdeeld in 11 secties en Bijlage A, waar secties 0 tot 3 de inleiding vormen (en niet verplicht zijn voor implementatie), terwijl sectie 4 tot 10 verplicht zijn – dit houdt in dat alle vereisten dienden te worden geïmplementeerd in een organisatie indien het wil voldoen aan de norm. Maatregelen uit Bijlage A dienen alleen te worden ingevoerd indien van toepassing verklaard in de Verklaring van Toepasselijkheid.

Volgens de Bijlage SL van de Internationale Organisatie van Standaardisering Richtlijnen, de sectietitels in ISO27001 zijn hetzelfde als in de ISO 22301:2012, in de nieuwe ISO 9001:2015, en andere managementnormen, om in staat te zijn deze normen te integreren.

Sectie 0: Introductie – verklaart het doel van de ISO 27001 en de comptabiliteit met andere managementnormen.

Sectie 1: Toepassingsgebied – verklaart dat deze norm van toepassing is op iedere organisatie.

Sectie 2: Normatieve verwijzingen – verwijst naar ISO/IEC 27000 als een norm waar termen en definities worden gegeven.

Sectie 3: Termen en definities – wederom, verwijst naar ISO/IEC 27000.

Sectie 4: Context van de organisatie – deze sectie is onderdeel van de Planfase in de PDCA-cyclus en bepaalt vereisten voor het begrijpen van externe en interne issues, belanghebbende partijen en hun vereisten, en definiëren het ISMS-toepassingsgebied.

Sectie 5: Leiderschap – deze sectie is onderdeel van de Planfase in de PDCA- cyclus en definieert de verantwoordelijkheden van de directie, het stellen van rollen en verantwoordelijkheden, en inhoud van het top-level Informatie-beveiligingsbeleid.

Sectie 6: Planning – deze sectie is onderdeel van de Planfase in de PDCA-cyclus en definieert vereisten voor risicobeoordeling, risicobehandeling, Verklaring van Toepasselijkheid, en het stellen van informatiebeveiligingsdoelstellingen.

Sectie 7: Ondersteuning – deze sectie is onderdeel van de Planfase in de PDCA- cyclus en definieert vereisten voor de beschikbaarheid van middelen, competenties en bewustzijn, communicatie, en het beheer van documenten en registraties.

Sectie 8: Operatie – deze sectie is onderdeel van de Do-fase in de PDCA-cyclus en definieert de implementatie van risicobeoordeling en -behandeling, als ook maatregelen en andere processen nodig om informatiebeveilingsdoelstellingen te behalen.

Sectie 9: Prestatie-evaluatie – deze sectie is onderdeel van de Check-fase van de PDCA-cyclus en definieert vereisten voor bewaking, metingen, analyses, evaluatie, interne audit en directiebeoordelingen.

Sectie 10: Verbetering – deze sectie is onderdeel van de Act-fase van de PDCA-cyclus en definieert vereisten voor afwijkingen, correcties, correctieve maatregelen en constant verbetering.

Bijlage A – deze bijlage levert een catalogus van 114 maatregelen (safeguards) in 14 secties geplaatst (secties A.5 tot A.18).

Zie ook: Is de PDCA-Cyclus verwijderd uit de nieuwe ISO-normen?

Hoe ISO 27001 te implementeren?

Om ISO 27001 te implementeren in een bedrijf, dient u de volgende 16 stappen te volgen:

  1. Krijg steun van de directie/ hoogste leiding
  2. Gebruik de projectmanagementmethodologie
  3. Definieer het ISMS-Toepassingsgebied
  4. Schrijf het the top-level Informatiebeveiligingsbeleid
  5. Definieer de Risicobeoordelingsmethodologie
  6. Voer de risicobeoordeling en risicobehandeling uit
  7. Schrijf de Verklaring van Toepasselijkheid
  8. Schrijf het Risicobehandelingsplan
  9. Definieer hoe de effectiviteit van uw maatregelen en uw ISMS is te meten
  10. Implementeer alle van toepassing zijnde maatregelen en procedures
  11. Implementeer training en bewustwordingsprogramma’s
  12. Voer alle dagelijkse werkzaamheden uit voorgeschreven door uw ISMS documentatie
  13. Bewaak en meet uw ISMS
  14. Voer interne audit uit
  15. Houd directiebeoordelingen
  16. Implementeer correctieve maatregelen

Voor meer gedetailleerde uitleg van deze stappen zie ISO 27001 implementatie checklist.

Verplichte documentatie

ISO 27001 vereist dat de volgende documentatie wordt geschreven:

  • Toepassingsgebied van het ISMS (clausule 4.3)
  • Informatiebeveiligingsbeleid en doelstellingen (clausules 5.2 en 6.2)
  • Methodologie voor risicobeoordelings- en risicobehandeling (clausule 6.1.2)
  • Verklaring van Toepasselijkheid (clausule 6.1.3 d)
  • Plan voor Risicobehandeling (clausules 6.1.3 e en 6.2)
  • Rapport voor Risicobeoordeling (clausule 8.2)
  • Definitie van beveiligingsrollen en verantwoordelijkheden (clausules A.7.1.2 en A.13.2.4)
  • Inventarisatie van bedrijfsmiddelen (clausule A.8.1.1)
  • Aanvaardbaar gebruik van bedrijfsmiddelen (clausule A.8.1.3)
  • Toegangsbeleid (clausule A.9.1.1)
  • Bedieningsprocedures voor beheersing ICT (clausule A.12.1.1)
  • Specificatie van eisen voor beveiliging (clausule A.14.2.5)
  • Beveiligingsbeleid leverancier (clausule A.15.1.1)
  • Procedure voor incidentbeheer (clausule A.16.1.5)
  • Procedures voor bedrijfscontinuïteit (clausule A.17.1.2)
  • Wetgeving, regelgeving en contractuele verplichtingen (clausule A.18.1.1)

En deze zijn verplichte registraties:

  • Registraties van training, vaardigheden, ervaring en kwalificaties (clausule 7.2)
  • Resultaten van bewaking en metingen (clausule 9.1)
  • Interne audit programma (clausule 9.2)
  • Resultaten van of interne audits (clausule 9.2)
  • Resultaten van de directiebeoordeling (clausule 9.3)
  • Resultaten van corrigerende maatregelen (clausule 10.1)
  • Logboek van gebruikersactiviteiten, uitzonderingen, en beveiligingsgebeurtenissen (clausules A.12.4.1 en A.12.4.3)

Natuurlijk, een bedrijf kan beslissen additionele beveiligingsdocumenten te schrijven indien het dat noodzakelijk vindt.

Hoe gecertificeerd te worden?

Twee soorten van ISO 27001 certificaten bestaan: (a) voor organisatie, en (b) voor individuen. Organisaties kunnen worden gecertificeerd door te bewijzen dat zij in lijn zijn met alle verplichte clausules van de norm; individuen kunnen de opleiding volgen en slagen om te worden gecertificeerd.

Om als organisatie te worden gecertificeerd, dient het de norm te implementeren als is uitgelegd in de voorgaande secties, en dan de certificatie audit ondergaan die wordt uitgevoerd door een certificerende instantie. De certificatie audit wordt uitgevoerd in de volgende stappen:

  • Fase 1 audit (Documentatiebeoordeling) – de auditors beoordelen alle documentatie
  • Fase 2 audit (Hoofdaudit) – de auditors voeren een on-site audit uit om te checken of alle activiteiten in een bedrijf in lijn zijn met de ISO 27001 en met de ISMS-documentatie
  • Visitatiebezoeken – nadat het certificaat is afgegeven, zullen gedurende zijn 3-jaars geldigheid, de auditors checken of het bedrijf zich houdt aan zijn ISMS

Zie ook Word ISO 27001 gecertificeerd – Hoe voor te bereiden op de certificatieaudit.

Individuen kunnen ook verschillende opleidingen volgen om de certificaten te verkrijgen – de meest populaire zijn:

  • ISO 27001 Lead Auditor Opleiding – deze 5-daagse cursus leert u hoe certificatieaudits uit te voeren en het is bedoeld voor auditors en consultants.
  • ISO 27001 Lead Implementator Opleiding – deze 5-daagse cursus leert u hoe de norm te implementeren en is bedoeld voor informatiebeveiliging practioners en voor consultants.
  • ISO 27001 Interne Auditor Opleiding – deze 2 of 3-daage cursus leert u de basis van de norm en hoe een interne audit uit te voeren – het is bedoeld voor voor dit onderwerp en voor interne auditors.

Zie ook: Hoe te leren over ISO 27001.

2005 en 2013 herziene versies van ISO 27001

Als eerder genoemd, ISO 27001 werd voor het eerst gepubliceerd in 2005 en was herzien 2013 – Dus, de huidig geldige versie is ISO/IEC 27001:2013.

De meest belangrijke veranderingen in de herziene versie van 2013 hangen samen met de structuur van het hoofdgedeelte van de norm, belanghebbende partijen, doelstellingen, bewaking en metingen; ook, in de Bijlage A is het aantal beheersmaatregelen verminderd van 133 naar 114 en is het aantal secties verhoogd van 11 naar 14. Enkele vereisten zijn verwijderd uit de herziene versie van 2013, zoals preventieve maatregelen en de vereisten om bepaalde procedures te documenteren.

Zie ook Infographic: New ISO 27001 2013 revisie – Wat is veranderd?

Echter, al deze wijzigingen veranderde de norm eigenlijk niet veel over het geheel genomen – de basis filosofie is nog steeds gebaseerd op risicobeoordeling en -behandeling, en de zelfde fasen in de the Plan-Do-Check-Act fasen werden gehandhaafd. Deze nieuwe herziening van de norm is makkelijker te lezen en te begrijpen, en het is veel gemakkelijker te integreren met andere managementnormen zoals ISO 9001, ISO 22301, enz.

De bedrijven die gecertificeerd zijn tegen de ISO/IEC 27001:2005 dienen een overgang te maken naar de herziening van nieuwe 2013 tot september 2015 indien men het certificaat geldig wil houden. Zie hier hoe dat te doen: Hoe de transitie te maken van de ISO 27001 2005 revisie naar de 2013 versie.

Gerelateerd Informatiebeveiligings- en andere normen

ISO/IEC 27002 levert richtlijnen voor de implementatie van maatregelen aangegeven in ISO 27001. ISO 27001 onderscheidt 114 beheersmaatregelen die kunnen worden ingezet om beveiligingsrisico’s te verminderen, en ISO 27002 kan heel bruikbaar zijn omdat het details levert over hoe deze maatregen in te voeren. ISO 27002 stond eerder bekend als ISO/IEC 17799, en kwam voort uit de Britse norm BS 7799-1.

ISO/IEC 27004 levert richtlijnen voor het meten van de informatiebeveiliging – het past goed bij de ISO 27001 omdat het uitlegt hoe het ISMS de doelstellingen heeft behaald.

ISO/IEC 27005 levert richtlijnen voor informatiebeveiliging risicomanagement. Het is een erg goed supplement voor ISO 27001 omdat het geeft details over hoe een risicobeoordeling en risicobehandeling uit te voeren, waarschijnlijk de meest moeilijke fase van de implementatie.  ISO 27005 komt voort uit de Britse norm BS 7799-3.

ISO 22301 definieert de vereisten voor bedrijfscontinuïteits-managementsystemen – het past goed bij de ISO 27001 omdat A.17 van de ISO 27001 bedrijfscontinuïteit vereist om te worden geïmplementeerd alhoewel het niet al teveel details geeft. Leer hier meer over de ISO 22301

ISO 9001 definieert de vereisten voor kwaliteitsmanagementsystemen – alhoewel op het eerste gezicht hebben kwaliteitsmanagement en informatiebeveiliging niet zoveel gemeen, het feit is dat circa 25% van de ISO 27001 en ISO 9001 vereisten zijn hetzelfde: documentbeheer, interne audit, directiebeoordeling, corrigerende maatregelen, doelstellingen bepalen, en beheer van competenties. Dit betekent dat indien een bedrijf ISO 9001 heeft geïmplementeerd, het er een gemakkelijker klus aan heeft om de ISO 27001 te implementeren. Leer hier meer over de

dejan-circle-new

Dejan Kosutic
Lead ISO 27001/22301 Expert

Vragen over één of meerdere stappen?

Spreek gratis met onze consultant

PLAN EEN GRATIS ADVIESGESPREK IN

Gratis Return on Security Investment Calculator

Liep u ooit tegen een situatie aan dat uw beveiligingsmaatregen te duur waren? Of waar u het lastig vond om uw directie uit te leggen wat de consequenties konden zijn als er een incident optrad? Vooropgesteld dat het investeren in beveiliging zwaar is, maar onze Return on Security Investment (ROSI) calculator kan u helpen. Het is volledig gratis.

ZIE HOE HET WERKT

ONZE KLANTEN

ONZE PARTNERS

  • Advisera is een voorbeeld gecertificeerde wereldwijd TPECS-aanbieder voor de IS, QM, EM en AU bevoegdheidseenheden.
  • ITIL® is een geregistreerd merk van AXELOS Limited. Gebruik onder de licentie van AXELOS Limited. Alle rechten voorbehouden.
  • DNV GL Business Assurantie is een van de leidende leveranciers van geaccrediteerde management certificeringssystemen.