ISO 27001

Nieuwe dienst: begeleiden ISO 27001 certificering

Sinds 2016 heeft Quality Vision een nieuwe dienst ingevoerd. Het begeleiden van de ISO 27001 certificering. Een van onze medewerkers heeft een opleiding gevolgd tot ISO 27001 Lead Implementor.

Hierdoor zijn wij in staat om uw bedrijf bij dit traject te begeleiden.

Informatiebeveiliging is tegenwoordig voor elk bedrijf van groot belang. De ISO 27001 is een internationale Code voor informatiebeveiliging en een best-practice dat gebruikt kan worden om de informatiebeveiliging van een organisatie in te richten. Op basis van een risicoanalyse stelt u vast welke maatregelen van de 27001 van toepassing zijn en kunt u de juiste set van maatregelen implementeren.

We hebben onze aanpak gestandaardiseerd zodat we elke organisatie in een korte tijd kunnen laten voldoen aan ISO 27001.

Om te komen tot het uiteindelijke doel maken wij gebruik van een stappenplan. Onderstaand zijn de verschillende stappen en producten beschreven.

Stap 1 Informatiebeveiligingsbeleid bepalen

Het opstellen van een document, waarin het doel van de informatiebeveiliging en de scope waarin de reikwijdte voor certificering is vastgelegd. Het informatiebeveiligingsbeleid beschrijft de weg om het doel te bereiken, de reikwijdte van die weg, de definitie, verantwoordelijkheden en andere kaders. In de Code voor informatiebeveiliging (ISO27001) is beschreven welke items moeten worden benoemd in het beleid. De risicoanalyse die nog moet worden doorlopen in stap 3 zal leiden tot een revisie van het beleid.

Opgeleverd na deze stap:

  • Informatiebeveiligingsbeleid.

Stap 2 De scope van het ISMS vaststellen

Na het formuleren van het informatiebeveiligingsbeleid is de volgende stap het analyseren van de gevolgen van het manifest worden van bedreigingen. Dit is de zogenaamde businessimpactanalyse (BIA). Die analyse maakt het mogelijk in een latere stap voor de processen waarvan uw bedrijf het meest afhankelijk is een passende risicoanalyse uit te voeren. Teneinde de BIA uit te kunnen voeren worden de bedrijfsprocessen geïnventariseerd en hun onderlinge afhankelijkheden. Daardoor kan later de impact van een bedreiging worden ingeschat. Na het inventariseren van de bedrijfsprocessen moeten de eisen met betrekking tot beschikbaarheid, integriteit en exclusiviteit worden vastgesteld.

Na het uitwerken van meest essentiële processen worden de processen verder uitgewerkt in detail. Hierbij wordt de methodiek MAPGOOD gebruikt: Mensen, apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Nadat op basis van MAPGOOD de meest essentiële processen zijn uitgewerkt worden de assets gescored op basis van de asset classificatie referentiekaart.

Opgeleverd na deze stap:

  • Procesmodel op hoofdlijnen.
  • Waardering van de bedrijfsprocessen op de betrouwbaarheidseisen van beveiliging.
  • Door het management geaccordeerde essentiële processen.
  • Asset impactanalyse op basis van MAPGOOD.
  • Door het management geaccordeerde BIA en afhankelijkheidsanalyse.

Stap 3 Uitvoeren van de risicoanalyse

Uitvoeren van Risicoanalyse en definitie eisen waaraan de beveiliging moet voldoen. Hierbij worden de bedreigingen voor de bedrijfsmiddelen, kwetsbaarheden en de invloed op de organisatie bepaald.

In de BIA en de afhankelijkheidsanalyse zijn de eisen bepaald met betrekking tot de beschikbaarheid, integriteit en exclusiviteit aan de bedrijfsprocessen. Dit betreft echter interne eisen. Deze eisen moeten worden aangevuld met externe eisen. Nadat het overzicht van partijen die een rol spelen in kaart is gebracht moeten de afzonderlijke eisen die de partijen stellen worden geanalyseerd.
Op basis van de BIA, de afhankelijkheidsanalyse en de interne en externe eisen zal de kwetsbaarheidsanalyse worden uitgevoerd. Hierbij wordt een analyse gemaakt van de bedreigingen die relevant zijn voor de bedrijfsprocessen van uw bedrijf. Nadat alle bedreigingen in kaart zijn gebracht zal worden ingeschat hoe groot de kans is dat een bedreiging manifest wordt. De risicoanalyse wordt kwalitatief uitgevoerd op basis van onderstaande tabel.

Na het vaststellen van de bedreigingen zal op basis van ISO 27001 worden vastgesteld welke normen moeten worden geïmplementeerd.

Opgeleverd na deze stap:

  • Overzicht van externe partijen en relevante wet- en regelgeving die eisen stellen aan de informatiebeveiliging.
  • Door het management geaccordeerde kwetsbaarheidsanalyse.
  • Door het management geaccordeerde risicoanalyse.
  • Overzicht van de te nemen maatregelen.
  • Besluitenlijst van de stuurgroep van de maatregelenset.

Stap 4 Ontwerp van het ISMS

Opstellen van het ontwerp van het beveiligingssysteem, gedocumenteerd in het beveiligingsplan. Dit plan vertaalt de normen naar concrete maatregelen. Op basis van de normen worden maatregelen gekozen, deze kunnen preventief, detectief, repressief of correctief zijn van aard. Op basis van de kosten en baten zal een goede afweging worden gemaakt. De lijst met te nemen maatregelen zal middels een besluitenlijst worden aangeboden aan de stuurgroep. Per maatregelen kan worden gekozen om deze:

  • te implementeren per direct, korte termijn of lange termijn.
  • de maatregel niet te implementeren.
  • vast te stellen dat de maatregel al is genomen.
  • de maatregel niet van toepassing te verklaren.
  • het risico te accepteren en geen maatregelen te treffen.
  • de maatregel nog te willen bediscussiëren.

Opgeleverd na deze stap:

  • Overzicht van de te nemen maatregelen.
  • Besluitenlijst van de stuurgroep van de maatregelenset.
  • Het ISMS.

Stap 5 Implementatie van maatregelen en procedures

Aan de hand van het ontwerp worden in deze stap technische, fysieke en organisatorische beveiligingsmaatregelen getroffen. Hieraan ten grondslag ligt een implementatieplan.Website Quality Vision

Stap 6 Verklaring van Toepasselijkheid

De conformiteitsverklaring, ook wel Verklaring van Toepasselijkheid genoemd, zal worden opgesteld door het management van uw bedrijf. De Verklaring is het vertrekpunt voor de uiteindelijke certificatie en mede bedoeld voor externe communicatiedoeleinden. In de verklaring worden vanwege de vertrouwelijkheid geen specifieke informatie over de getroffen maatregelen opgenomen, maar worden alleen de doelstellingen van de Code, voor zover relevant voor uw bedrijf, beschreven. De Verklaring zal worden opgebouwd op basis van onderstaande indeling:

  1. Bedrijfsnaam:
  2. Organisatie eenheid:
  3. Werkend onder de naam:
  4. Toepassingsgebied: specificatie van de te certificeren bedrijfsactiviteiten:
  5. De relevante selectie van doelstellingen uit de Code op basis van de risicoanalyse
  6. Ondertekening

Opgeleverd na deze stap:

  • Verklaring van Toepasselijkheid

Stap 7 Uitvoeren interne audit(s)

Nadat het ISMS is ingericht en de maatregelen zijn geïmplementeerd moet de PDCA-cyclus worden gecontinueerd door het uitvoeren van audits. Op basis van de audits kunnen aanpassingen en verbeteringen worden doorgevoerd in het ISMS.interne auditor

Opgeleverd na deze stap:

  • Intern auditplan.
  • Auditresultaten met verbeteracties benoemd.


Stap 8 Certificering

Nadat de voorgaande stappen zijn doorlopen wordt de certificering door Bureau Veritas Nederland uitgevoerd. Het certificeringstraject zal plaatsvinden volgens de volgende stappen:

  1. Aanvraag tot certificatie.
  2. Een optioneel proefonderzoek.
  3. Documentatieonderzoek.
  4. Implementatieonderzoek.
  5. Evalueren van de verzamelde informatie.
  6. Beslissing tot certificatie.

Opgeleverd na deze stap:

  • ISO 27001 Certificaat