met inbreuken op de informatiebeveiliging nu zijn de nieuwe normal, security teams gedwongen specifieke maatregelen te nemen om het risico op een schadelijke inbreuk te verminderen. ISO 27001 is een effectieve manier om dergelijke risico ‘ s te verminderen.
in deze blog leggen we uit hoe u ISO 27001-certificering kunt verkrijgen en kijken we naar het certificeringsproces.
voorbereiden
inzicht krijgen in ISO 27001
het lezen van de norm biedt een uitstekende achtergrond voor ISO 27001 en de vereisten ervan. Er zijn verschillende manieren om jezelf te verbeteren over ISO 27001:
- lees een gratis whitepaper over de norm
- lees IT Governance ‘ s free information about ISO 27001 and how to get started
- koop een exemplaar van de norm (het is niet vrij beschikbaar)
- u kunt een online introductiecursus ISO 27001 Foundation bijwonen
benoem een ISO 27001 kampioen
inzicht krijgen in ISO 27001 is een nuttige manier om vertrouwd te raken met het certificeringsproces, maar je hebt een echte expert nodig om het proces te voltooien.
dit kan iemand binnen uw organisatie zijn of een derde partij om het proces te beheren. Hoe dan ook, ze moeten ervaring hebben met het implementeren van een ISMS (information security management system) en begrijpen hoe de vereisten binnen uw organisatie te implementeren.
als u geen interne expertise hebt, kunt u zich inschrijven voor de ISO 27001 Online Lead Implementer training course.
Secure senior management support
geen enkel project kan succesvol zijn zonder de buy-in en steun van de leiding van de organisatie.
een gap-analyse, die een uitgebreide evaluatie omvat van alle bestaande informatiebeveiligingsregelingen aan de eisen van ISO/IEC 27001:2013, vormt een goed uitgangspunt.
een grondige gap-analyse dient idealiter een geprioriteerd plan van aanbevolen acties te bevatten en aanvullende richtsnoeren voor de scoping van uw ISMS.
de resultaten van de gap-analyse kunnen worden verstrekt om een sterke business case te ontwikkelen voor de implementatie van ISO 27001.
context, toepassingsgebied en doelstellingen vaststellen
het is van essentieel belang om de project-en ISMS-doelstellingen vanaf het begin vast te leggen, met inbegrip van de projectkosten en het tijdschema. U zult moeten overwegen of u Externe ondersteuning van een consultancy gaat gebruiken of over de vereiste interne expertise beschikt.
u wilt mogelijk de controle over het hele project behouden, terwijl u in kritieke stadia van het project afhankelijk bent van de hulp van een toegewijde online mentor.
het gebruik van een online mentor zal helpen ervoor te zorgen dat uw project op schema blijft, terwijl u de bijbehorende kosten bespaart van het gebruik van fulltime consultants voor de duur van het project.
u moet ook de reikwijdte van de ISMS ontwikkelen, die zich kan uitstrekken tot de gehele organisatie of slechts een specifieke afdeling of geografische locatie.
bij het definiëren van het toepassingsgebied moet u rekening houden met de organisatorische context en de behoeften en eisen van belanghebbenden (stakeholders, werknemers, overheid, regelgevers, enz.).
‘Context’ houdt rekening met interne en externe factoren die de informatiebeveiliging van uw organisatie kunnen beïnvloeden. Het omvat aspecten zoals de organisatiecultuur, risicoaanvaardingscriteria, bestaande systemen, processen, enz.
(overweeg een All-inclusive Do It Yourself-pakket dat vijf dagen gestructureerde consultancy omvat, naast tools, training en software).
Creëer een managementkader
het managementkader beschrijft de processen die een organisatie moet volgen om haar ISO27001-implementatiedoelstellingen te halen.
deze processen omvatten het afleggen van verantwoording over het ISMS, een schema van activiteiten en regelmatige auditing om een cyclus van voortdurende verbetering te ondersteunen.
voer een risicobeoordeling uit
hoewel ISO 27001 geen specifieke risicobeoordelingsmethode voorschrijft, moet de risicobeoordeling een formeel proces zijn.
dit houdt in dat het proces moet worden gepland en dat de gegevens, analyses en resultaten moeten worden geregistreerd.
voordat u een risicobeoordeling uitvoert, moet u uw basisveiligheidscriteria vaststellen. Dit verwijst naar de zakelijke, wettelijke en reglementaire vereisten van de organisatie, evenals haar contractuele verplichtingen met betrekking tot informatiebeveiliging.
vsRisk Cloud, de eenvoudigste en meest effectieve risicobeoordelingssoftware, biedt het kader en de middelen voor het uitvoeren van een ISO 27001-conforme risicobeoordeling.
controles uitvoeren om risico ’s te beperken
zodra de relevante risico’ s zijn vastgesteld, moet de organisatie beslissen of zij de risico ‘ s behandelt, tolereert, beëindigt of overdraagt.
het is van cruciaal belang om alle beslissingen met betrekking tot risicoreacties te documenteren, aangezien de auditor deze tijdens de registratie (certificatie) audit zal willen beoordelen.
de SoA (verklaring van Toepasselijkheid) en RTP (risk treatment plan) zijn twee verplichte verslagen die moeten worden overgelegd als bewijs van de risicobeoordeling.
training geven
de norm vereist dat er bewustmakingsprogramma ‘ s voor het personeel worden opgezet om het bewustzijn over informatiebeveiliging in de hele organisatie te vergroten.
u zult ook een beleid moeten voeren dat werknemers naar goede gewoonten leidt. Dit kan onder meer een clean desk beleid en de eis om computers te vergrendelen wanneer ze hun werkstations verlaten.
een bedrijfsbrede e-learning cursus voor personeel is de gemakkelijkste manier om de filosofie achter de standaard over te brengen en wat werknemers moeten doen om naleving te garanderen.
de vereiste documentatie herzien en bijwerken
documentatie is vereist om de noodzakelijke ISMS-processen, – beleid en-procedures te ondersteunen.
het opstellen van beleid en procedures is echter vaak een vrij vervelende en uitdagende taak. Gelukkig zijn documentatiesjablonen-ontwikkeld door ISO 27001 – experts-beschikbaar om het meeste werk voor u te doen.
deze sjablonen zijn opgemaakt en volledig aanpasbaar en bevatten deskundige begeleiding om elke organisatie te helpen aan alle documentatievereisten van ISO 27001 te voldoen.
de norm vereist ten minste de volgende documentatie:
- De reikwijdte van het ISMS
- Information security policy
- Information security risk assessment proces
- Informatie gevaar voor de veiligheid van de behandeling
- De Verklaring van Toepasselijkheid
- Informatie beveiliging doelstellingen
- Bewijs van bevoegdheid
- Gedocumenteerde informatie bepaald door de organisatie als nodig is voor de doeltreffendheid van het ISMS
- Operationele planning en control
- Resultaten van de beveiliging van informatie, de risicobeoordeling
- Resultaten van de information security risico behandeling
- bewijs van de monitoring en meting van resultaten
- een gedocumenteerd intern auditproces
- bewijs van de auditprogramma ‘ s en de auditresultaten
- bewijs van de resultaten van managementbeoordelingen
- bewijs van de aard van de non-conformiteiten en alle daaropvolgende genomen maatregelen
- bewijs van de resultaten van genomen corrigerende maatregelen
meten, monitoren en beoordelen
ISO 27001 ondersteunt een proces van voortdurende verbetering. Dit vereist dat de prestaties van de ISMS voortdurend worden geanalyseerd en beoordeeld op effectiviteit en naleving, naast het identificeren van verbeteringen aan bestaande processen en controles.
een interne audit uitvoeren
ISO / IEC 27001: 2013 vereist interne audits van het ISMS met geplande intervallen. Praktische praktische kennis van het lead audit proces is ook cruciaal voor de manager die verantwoordelijk is voor de implementatie en handhaving van ISO 27001 compliance.
de online gecertificeerde ISO 27001 Lead Auditor cursus leert u hoe u een effectieve informatiebeveiligingsaudit volgens ISO 27001:2013 kunt plannen en uitvoeren.
het leert u ook een team van auditors te leiden en externe audits uit te voeren. Als u nog geen registrar hebt geselecteerd, moet u wellicht een geschikte organisatie voor dit doel kiezen.
Registratieaudits (voor geaccrediteerde registratie, wereldwijd erkend) mogen alleen worden uitgevoerd door een onafhankelijke registrar die is geaccrediteerd door de bevoegde accreditatie-instantie in uw land.
registratie – /certificeringsaudits
tijdens de audit van de eerste fase beoordeelt de auditor of uw documentatie voldoet aan de eisen van ISO 27001. Zij zullen ook wijzen op gebieden waar sprake is van non-conformiteit en mogelijke verbetering van het beheersysteem.
zodra de vereiste wijzigingen zijn aangebracht, zal uw organisatie klaar zijn voor uw Fase 2 Registratie audit.
certificeringsaudit
tijdens een fase Tweeaudit zal de auditor een grondige beoordeling uitvoeren om vast te stellen of u voldoet aan de ISO 27001-norm.
hoe lang duurt het om gecertificeerd te worden?
het ISO 27001-implementatieproces zal afhangen van de omvang en complexiteit van het managementsysteem, maar in de meeste gevallen kunnen kleine tot middelgrote organisaties verwachten dat het proces binnen 6-12 maanden wordt voltooid.
Certificeringsondersteuning met IT-Governance USA
bent u klaar om met uw ISO 27001-project te beginnen? Als dat zo is, zijn onze reeks implementatiebundels het perfecte uitgangspunt.
met een combinatie van tools, software, handleidingen en training op basis van kwalificaties met maximaal 40 uur online consultancy, krijgt u de deskundige begeleiding die u nodig hebt om aan de eisen van uw organisatie te voldoen.
zij zullen u helpen de tijd en moeite die nodig is om een ISMS te implementeren te verminderen en de kosten van advieswerk, reizen en andere kosten in verband met traditionele consultancy te elimineren.
een versie van dit blog werd oorspronkelijk gepubliceerd op 13 maart 2019.