Het is van groot belang om te inventariseren welke informatie binnen een organisatie aanwezig is. Andere bedrijven hebben ook andere vormen van informatie ter beschikking. Of informatie bijvoorbeeld betrekking heeft op de privacy van medewerkers of klanten, of om stukken die in principe voor iedereen toegankelijk zijn, maakt al een groot verschil. Denk hierbij aan paspoorten van klanten, vertrouwelijke correspondentie of aan de andere kant wetgeving van de overheid. De ISO-norm geeft richtlijnen waaraan voldaan moet worden. Hierbij moet ook gekeken worden naar de manieren waarop de informatie wordt verwerkt. Dus zorg ervoor dat niemand anders bij een dossier kan die daar geen toegang tot heeft, zorg voor adequate beveiliging van gebouwen, archiefkasten, laptops, servers ed.
Een onderneming welke de ISO 27001 wil introduceren in haar organisatie moet rekening houden met enkele vaste onderwerpen die in de norm de revue passeren.
- Aandacht aan de interne organisatie en haar omgeving;
- Leiderschap binnen de organisatie;
- Analyse van de informatiegegevens;
- Beleidsstukken van de organisatie;
- Rapportage van incidenten;
- Frequente review van het geheel aan maatregelen.
Hoe wordt de ISO 27001 toegepast binnen een organisatie?
Om aan de norm te voldoen, moet kunnen worden aangetoond dat er grip is op de organisatie en de informatieverwerking. Dat kan gedaan worden door een document op te stellen waarin alle stukken worden beschreven die uit de norm naar voren komen. Aan te tonen dat er beleidsstukken zijn opgesteld en dat volgens deze beleidsstukken wordt gewerkt. Tot slot, en zeker niet onbelangrijk, moet bewijsmateriaal worden bewaard over de manier waarop controles op het beleid worden toegepast en de manier van werken. Ook zijn er online tools die de herleidbaarheid en controles eenvoudiger maken voor een organisatie.
Als je overweegt de ISO 27001 toe te passen binnen jouw organisatie, hebben we hieronder een handige checklist voor je opgesteld.
- Zijn de normen aangekocht bij de ISO?
- Heeft het bedrijf een strategie gepubliceerd?
- Zijn er Informatiebeveiligingsdoelstellingen geformuleerd?
- Is de strategie in lijn met de Informatiebeveiligingsdoelstellingen?
- Zijn de processen in kaart gebracht van de organisatie?
- Is er een risicoanalyse gemaakt?
- Is er een verklaring van toepasselijkheid ingevuld?
- Zijn de relevante rollen toebedeeld aan mijn medewerkers?
- Is de BIV-classificatie op orde voor middelen en informatie?
- Is er een algemeen IT-beleid?
- Is er een beleid voor mobiele apparatuur?
- Is er beleid voor cryptografie?
- Is er een clean desk policy?
- Is er een back-up geregeld?
- Is er beveiligingsbeleid voor leveranciers aanwezig?
- Zijn de leveranciers beoordeeld?
- Is er een proces ingericht voor incidentenrapportage?
- Is er een proces voor het aanstellen en uit dienst treden van personeel?
- Is er een overkoepelend systeem of document wat omschrijft hoe de norm is ingericht?
- Is er een interne controle ingericht?
- Staat een audit gepland?
- Zijn de nieuwe beleidsstukken goedgekeurd door de organisatie?