ISO 27001

Voor ieder bedrijf is informatiebeveiliging van belang. De ISO 27001 standaard is een internationaal normenkader voor informatiebeveiliging. ISO 27001 kan gebruikt worden om de informatiebeveiliging in te richten. SASconsult heeft ruim 10 jaar ervaring met de inrichting van risicomanagement structuren, informatiebeveiliging en procesverbetering. Informatiebeveiliging moet altijd een toegevoegde waarde hebben, de organisatie wordt beter beheersbaar en ISO 27001 biedt mogelijkheden voor nieuwe klanten.

HLS Structuur

In 2013 is de laatste ISO 27001 norm gepubliceerd. Deze norm is gebaseerd op de HLS structuur. HLS staat voor High Level Structure en refereert aan het initiatief om een ‘structuur op hoofdlijnen’ voor de managementsysteemnormen te ontwikkelen. De HLS structuur is gebaseerd op het plug-in model. Dit plug in model is de reactie van ISO op wensen vanuit de markt om ervoor te zorgen dat de normen voor managementsystemen op elkaar aansluiten en logisch gerelateerd zijn.

Een belangrijk voordeel naast de modulaire inrichting is de vermindering van het aantal ‘dwingende’ voorschriften voor documentatie van het informatiebeveiligingssysteem.

Implementatieproces ISO 27001

Implementatie ISO 27001

Een ISO 27001 implementatie begint met een risicoanalyse. Op basis van deze risicoanalyse wordt vastgesteld welke maatregelen moeten worden ingericht. Vanuit SASconsult wordt altijd gebruik gemaakt van een projectplan waarin een aantal duidelijk gedefinieerde fasen worden onderscheiden. Tijdens deze fasen wordt onderscheid gemaakt naar beleidsvorming, implementatie beheersingssysteem en inrichting monitoring. Na de inrichting van de monitoring wordt een pre-audit verricht om vast te stellen of het informatiebeveiliging framework is ingericht zoals beschreven.

Implementatieproces ISAE3402

  1. Een ISO 27001 implementatie begint met het opstellen van een beleidsdocument met de doelstelling van informatiebeveiliging, de reikwijdte van het beleid en de betrokkenheid van het management wordt vastgelegd. Deliverable: beleidsdocument
  2. Voor de bepaling van de reikwijdte van het informatie beveiligingssysteem worden de processen, de uiteindelijke producten en diensten en de structuur van de organisatie geanalyseerd. Op basis van deze analyse worden de ISO 27001 vereisten ten aanzien van; beschikbaarheid, integriteit en privacy vastgesteld. Deze vereisten zijn de basis voor de risicoanalyse en de statement of applicability. Deliverable: scope ISO 27001 en Statement of applicability
  3. Voor de risicoanalyse wordt uitgegaan van ISO 31000 (zie HLS structuur) en het COSO 2013 framework. Op basis van de scope worden mogelijke gebeurtenissen ge├»dentificeerd die kunnen leiden tot een informatiebeveiligingsincident. Deze potentiële incidenten worden geanalyseerd op basis van kans en impact. Deze analyse is de basis voor de risico respons en de uiteindelijke inrichting van het Information Security Management System (ISMS). De uitgevoerde risicoanalyse wordt beoordeeld en geautoriseerd door het management. Deliverable: Risicoanalyse
  4. De ontwikkeling van het ISMS kent een drietal fasen; design, moduleren en de inrichting. In de designfase wordt de risicomanagement structuur ingericht (4A), de beheersmaatregelen worden tijdens fase 4B gemoduleerd zodat deze risico beheersen. Bij de inrichting hiervan is het van belang dat er geen layered-on controls worden ingericht, controls die niet nodig zijn om een specifiek risico te beheersen. Bij het moduleren is het tevens van belang dat discrete controls (controls die slechts één risico afdekken) worden vermeden. Hierbij is een geïntegreerde benadering cruciaal. Deliverable: ISMS (handboek)
  5. Na de inrichting van het ISMS wordt de monitoring van het informatiebeveiligingssysteem ingericht, waarbij SASconsult uitgaat van haar beproefde benadering die gericht is op effectiviteit en minimalisatie van de benodigde resources. Belangrijk in dit proces is ook de betrokkenheid van het management.
  6. Tijdens fase 6 wordt de ISO 27001 audit verricht door een certificerende instelling en het ISO 27001 certificaat verkregen.
Lees ook meer over de inrichting van een informatiebeveiliging framework volgens ISAE 3402 of ISAE 3000.