ISO 27001-implementatie

ISO 27001-compliance is een gestructureerd proces voor het beheren van informatiebeveiliging binnen een organisatie. De norm bestaat uit verschillende domeinen, controls en deliverables die effectief moeten worden geïmplementeerd en beheerd om certificering te behalen. Hier volgt een gedetailleerd overzicht van de rol van de project manager bij ISO 27001 en een samenvatting van de 93 deliverables.

Rol van de Project Manager bij ISO 27001-implementatie

1. Project Planning: Ontwikkel een gedetailleerd projectplan voor de ISO 27001-implementatie. Dit omvat het vastleggen van tijdlijnen, middelen en budget, afgestemd op de bedrijfsdoelstellingen.
2. Stakeholder Engagement: Coördineer met stakeholders, waaronder het senior management, afdelingshoofden, IT en juridische zaken, om de afstemming op de compliance-doelstellingen en de beschikbaarheid van middelen te waarborgen.
3. Risicobeoordeling en -management: Toezien op het proces van risicobeoordeling om informatiebeveiligingsrisico's te identificeren, te evalueren en te prioriteren.
4. Implementatie van Controls: Ervoor zorgen dat de noodzakelijke controls (beschreven in ISO 27001 Annex A) effectief worden geïmplementeerd in de hele organisatie.
5. Documentatie van Beleid en Procedures: Beheer het documentatieproces en zorg ervoor dat beleid, procedures en normen voldoen aan de ISO 27001-vereisten.
6. Training en Bewustwording: Organiseer trainingsprogramma's om ervoor te zorgen dat werknemers hun rol begrijpen bij het handhaven van ISO 27001-compliance.
7. Monitoring en Review: Beoordeel regelmatig de effectiviteit van de geïmplementeerde controls, houd toezicht op de interne audits en faciliteer management reviews.
8. Continue Verbetering: Pak bevindingen uit audits en reviews aan en voer verbeteringen door waar nodig om het Information Security Management System (ISMS) te onderhouden en te versterken.

Overzicht van ISO 27001 Deliverables

De structuur van ISO 27001 en Annex A bevatten 14 domeinen en 93 controls. Hier volgt een samenvatting van elke control (georganiseerd per domein) en enkele voorbeeldtemplates voor belangrijke deliverables:

1. Informatiebeveiligingsbeleid

• Control A.5.1: Directie-sturing voor informatiebeveiliging.

2. Organisatie van Informatiebeveiliging

• Controls A.6.1 – A.6.2: Rollen en verantwoordelijkheden voor informatiebeveiliging, scheiding van taken, contact met autoriteiten en belangengroepen.

3. Veiligheid van Personeel

• Controls A.7.1 – A.7.3: Screening, arbeidsvoorwaarden, bewustwording inzake informatiebeveiliging, onderwijs, training en disciplinaire processen.

4. Asset Management

• Controls A.8.1 – A.8.3: Inventarisatie van activa, aanvaardbaar gebruik en teruggave van activa.

5. Toegangsbeveiliging

• Controls A.9.1 – A.9.4: Bedrijfsvereisten, beheer van gebruikerstoegang, verantwoordelijkheden van gebruikers en toegangscontroles voor systemen.

6. Cryptografie

• Control A.10.1: Beleid inzake cryptografische controls en sleutelbeheer.

7. Fysieke Beveiliging en Beveiliging van de Omgeving

• Controls A.11.1 – A.11.2: Beveiligde zones, beveiliging van apparatuur en bescherming tegen omgevingsrisico's.

8. Operationele Beveiliging

• Controls A.12.1 – A.12.7: Operationele procedures, change management, capaciteitsbeheer, bescherming tegen malware, back-up en logging.

9. Communicatiebeveiliging

• Controls A.13.1 – A.13.2: Netwerkbeveiliging en beleid voor informatieoverdracht.

10. Verwerving, Ontwikkeling en Onderhoud van Systemen

• Controls A.14.1 – A.14.3: Beveiligingseisen voor informatiesystemen, beveiliging bij ontwikkeling, en testen en wijzigingen.

11. Leveranciersrelaties

• Controls A.15.1 – A.15.2: Informatiebeveiliging in leveranciersovereenkomsten en monitoring.

12. Beheer van Informatiebeveiligingsincidenten

• Controls A.16.1: Incidentmanagementprocedures en rapportage.

13. Informatiebeveiligingsaspecten van Business Continuity Management

• Controls A.17.1 – A.17.2: Continuïteit van de informatiebeveiliging en redundantie.

14. Compliance

• Controls A.18.1 – A.18.2: Naleving van wettelijke en contractuele vereisten en beoordelingen van de informatiebeveiliging.

Belangrijkste Templates

Om te helpen bij de implementatie van deze controls zijn hier enkele downloadbare templates die veel gebruikt worden bij ISO 27001-implementaties:

1. Informatiebeveiligingsbeleid – Beschrijf de aanpak en doelstellingen van het management.
2. Risicobeoordelingstabel – Identificeer, evalueer en prioriteer risico's.
3. Verklaring van Toepasselijkheid (SoA) – Motiveer geselecteerde controls en uitsluitingen.
4. Inventaris van Activa Template – Documenteer alle informatie-activa.
5. Beleid voor Toegangscontrole – Definieer normen voor toegangsbeheer.
6. Incident Response Procedure – Stappen voor de afhandeling van beveiligingsincidenten.
7. Business Continuity Plan – Waarborg de veerkracht bij ontrichtende gebeurtenissen.
8. Audit Checklist – Volg en beoordeel de effectiviteit van de controls.

Voor templates en documenten op maat van ISO 27001 bieden de volgende bronnen betrouwbare hulpmiddelen:

• ISOTemplates – Betaalde templates voor ISO 27001.
• CertiKit – Volledige toolkits voor ISO 27001.
• ComplianceForge – Uitgebreide documentatietemplates.

Neem contact op met Rob Gielen of Pieter Gielen voor meer informatie over het ISO 27001-implementatietraject.