Net zoals bij het bouwen van een huis begint een ISO certificering met een ontwerp, ook wel de scope van het Information Security Management System (ISMS) genoemd. Met deze scope wordt bepaald welke delen van uw organisatie onder het ISMS zullen vallen en welke informatie u wil beschermen. U beschrijft dus in feite hoe het huis eruit gaat zien, waar de muren komen (afgrenzing van je scope), waar de deuren en ramen komen en hoe de leidingen komen te liggen.
Wanneer het ontwerp klaar is, wordt het fundament van het ISMS gelegd: de risicoanalyse. De risicoanalyse vormt de basis van het ISMS. Tijdens de risicoanalyse worden potentiële bedreigingen en kwetsbaarheden die van invloed kunnen zijn op de informatiebeveiliging binnen de scope geïdentificeerd. Dit omvat zowel interne als externe risico's. Op basis hiervan kan bepaald worden welke maatregelen getroffen moeten worden om deze bedreigingen en kwetsbaarheden tegen te gaan. Anders dan bij een fundament van een huis, kan de risicoanalyse periodiek geëvalueerd en bijgesteld worden wanneer dat nodig is. Risico’s kunnen namelijk veranderen.
En dan begint het metselen! Steen voor steen wordt op basis van het ontwerp (de scope) en het fundament (de risicoanalyse) uw beheersingskader rondom het ISMS opgebouwd. Dit wordt ook wel het risicobehandelplan genoemd. In dit plan wordt beschreven op welke wijze de geïdentificeerde risico’s worden beheerst, gemitigeerd of geaccepteerd. En net zoals bij het bouwen van een huis, moet er rekening gehouden worden met de besteding van het budget. Gaat u voor die mooie Romeinse zuilen aan de voorkant, of besteed u liever tijd, aandacht en geld aan het verstevigen van het hang- en sluitwerk? Afhankelijk van bij welke risico’s de hoogste prioriteit gelegd moet worden, wordt er bepaald waar de middelen naartoe gaan.
Bij het bouwen van een huis komt veel papierwerk kijken. Zo moeten vergunningen worden aangevraagd en contracten worden afgesloten. Dit is cruciaal binnen het bouwproces om voor iedereen de gemaakte afspraken en werkmethoden duidelijk vastgelegd te hebben. Zo is het ook met het bouwen van het ISMS. Er zijn een aantal belangrijke zaken die vastgelegd moeten worden, waaronder het informatiebeveiligingsbeleid. Hierin worden de uitgangspunten omtrent de wijze waarop u uw informatiebeveiliging hebt ingericht binnen uw organisatie beschreven. Daarnaast zullen er beleidsstukken en procedures moeten worden opgesteld om de dagelijkse uitvoering van het ISMS te ondersteunen op verschillende vlakken, zoals toegangsbeveiliging, wijzigingsbeheer, incidentbeheer en continuïteit. En net zoals bij het papierwerk van een huis, is het raadzaam om een expert in te schakel die hierbij kan ondersteunen.
Wij hebben het ontwerp, het fundament, de stenen en al het papierwerk. Voordat wij de sleutels van het huis kunnen overdragen missen er nog twee belangrijke bouwelementen. U wil namelijk niet alleen comfortabel wonen, maar vooral ook veilig. Een alarmsysteem die binnen en buiten uw huis de boel monitort is cruciaal. Zo ook voor het ISMS. De risico’s en maatregelen zijn geïdentificeerd, maar het is wel zaak om deze te blijven monitoren. Zo blijven de risico’s actueel en kunt u nagaan of de maatregelen effectief zijn. Daarbij wordt niet alleen gebruikgemaakt van het interne alarmsysteem (monitoringtaken en interne audits), maar ook externe monitoring is van belang (externe audits) om ISO 27001 gecertificeerd te worden en blijven. En loop ook af en toe een rondje om het huis heen om na te gaan of alles nog stevig staat en werkt. Dit heet binnen het ISMS het uitvoeren van de directiebeoordeling en is bedoeld om na te gaan of onder andere de doelstellingen van het ISMS nog behaald worden.
Of het nou een ouder huis of nieuwbouw is, onderhoud is altijd belangrijk. De kraan gaat net lekken wanneer het niet uitkomt en de dakgoten raken verstopt wanneer het buiten koud en miezerig is. Om hierop voorbereid te zijn is een gereedschapskist waarmee het huis kan worden onderhouden om het woonplezier te vergroten essentieel. Het ISMS zit net zo in elkaar. Ook hier gaan weleens dingen mis die gerepareerd moeten worden om de levensduur van uw managementsysteem te verlengen. Vaak komt dit naar voren vanuit incidenten, of een rondje rondom het huis lopen (directiebeoordeling) maar ook de monitoring vanuit (interne of externe) audits kan zulke gebreken aan het licht brengen. Los zulke problemen op doormiddel van correcties, voordat deze de kans krijgen om erger te worden.
Wij zijn klaar met bouwen en er staat een stevig huis met een evenzo stevig ISMS. Ook hebben wij de Plan, Do, Check en Act (PDCA) cyclus die onderdeel uitmaakt van je ISMS doorlopen:
Bewaar stenen die overblijven goed, deze kunnen wellicht gebruikt worden voor het bouwen van het ISAE raamwerk. In het volgende deel zal ik meer vertellen over het bouwen van een ISAE raamwerk, voor nu is het tijd om lekker in de tuin te zitten en genieten van het huis wat wij gebouwd hebben.
Recent was ik met een klant aan het praten over hun informatiebeveiliging en een mogelijke ISO 27001 certificeringsaudit. Hij zei tegen mij: “Wij laten al een ISAE audit uitvoeren in het kader van informatiebeveiliging, waarom hebben wij dan nog een ISO 27001 certificaat nodig?”. Ikzelf als ISAE auditor had voordat ik begon met ISO 27001 certificeringsaudits ongeveer dezelfde mening. Ik kijk daar...
Klanten vragen mij wel eens: ‘Achmed, waar moeten we voor gaan: een ISO 27001 certificering of een ISAE 3000/ 3402 assurance-rapport?’ Dit is net zoiets als kiezen voor een nieuwe computer en als computerliefhebber kreeg ik vroeger altijd de vragen voorgeschoteld vanuit familie en vrienden welke computer beter was om aan te schaffen. Het antwoord dat ik altijd gaf en dat ook hier van toepassing is:...
Na het afronden van een ISAE assurance audit vragen klanten mij vaak wat zij nog moeten doen om ook een ISO 27001-certificaat te verkrijgen. Is dat dan nog veel werk? Dat hoeft het niet te zijn. Door efficiënt om te gaan met een aantal zaken kan het zowel voor de organisatie als voor de auditor aanzienlijk makkelijker worden gemaakt om beide auditinstrumenten te behalen. Aan de hand van vijf stappen...
In het laatste deel van deze serie over ISO en ISAE ga ik in op de vraag die klanten mij ook wel eens stellen: ’Hoe moet ik nou starten als ik een ISAE audit wil ondergaan?’. Vorige keer heb ik een ISO 27001 certificering vergeleken met het bouwen van een huis en aangezien een huis niet compleet is zonder een mooie auto op de oprit zal ik deze keer een ISAE audit vergelijken met het ontwikkelen van...
IT is niet meer weg te denken uit onze huidige maatschappij. IT-gerelateerde hulpmiddelen worden steeds meer ingezet als onderdeel van de primaire dienstverlening en zijn cruciaal voor het voortbestaan van een organisatie. Het beschikken over de juiste systemen, adequate managementinformatie en een goede beveiliging van bedrijfsinformatie, persoonsgegevens en intellectuele eigendommen is een absolute...
Deze website maakt gebruik van cookies.
Sommige zijn noodzakelijk, andere helpen ons bij het analyseren van het gebruik van de website, dienen advertenties of zorgen voor een gepersonaliseerd websitebezoek.
In onze privacy policy vindt u meer informatie over de cookies die wij gebruiken.
Zonder deze cookies functioneert deze website niet optimaal.
Deze cookies helpen ons deze website te verbeteren door informatie te vergaren over het gebruik hiervan.
Met behulp van deze cookies kunnen wij de relevantie van onze advertenties vergroten.