ISO:27001 Norm Informatiebeveiliging

Inleiding ISO 27001

ISO 27001 certificering is ontstaan uit de Engelse “Code of Practice for Informations Security Management”. Hierin wordt verwezen naar een speciaal management systeem voor informatieveiligheid. Hierin wordt gespecificeerd hoe je security risico's aantoonbaar kunt beheersen.

• De ISO 27001 norm bevat de volgende aspecten met betrekking tot informatiebeveiliging:
• Beleidsmatig (management)
• Organisatorisch (verantwoordelijkheden)
• Bedrijfsmiddelen (infrastructuur, netwerk, systemen en overige bedrijfsmiddelen)
• Personeel (huisregels, fouten, diefstal, fraude, misbruik)
• Fysiek (sloten, brandbeveiliging)
• Communicatie en operatie (beheer van systemen, processen en procedures)
• Toegangscontrole (password, biometrie)
• Systeem- en softwareontwikkeling en onderhoud (documentatie, processen)
• Continuïteit (calamiteitenvoorzieningen)
• Regelgeving (Wet Computercriminaliteit, Wet Bescherming Persoonsgegevens)

De ISO 27001 norm stelt dat je een scope en beleid definieert, een risicoanalyse uitvoert, voor gevonden risico's maatregelen selecteert en deze implementeert en beheert. Dit is een continu proces om de ISO 27001 certificering te behalen en te behouden. Met de ISO 27001 certificering ben je ‘in control' voor wat betreft je security risico's.

Norm inhoud ISO 27001

De ISO 27001 is opgebouwd uit een aantal hoofdstukken. Elke ISO-norm die wordt uitgebracht vanaf 2017 zal dezelfde indeling hebben:

Inleiding

Verklaart het doel van de ISO 27001 en de comptabiliteit met andere managementnormen.

1. nderwerp en toepassingsgebied

Verklaart dat deze norm van toepassing is op iedere organisatie.

2. Normatieve verwijzingen

Verwijst naar ISO/IEC 27000 als een norm waar termen en definities worden gegeven.

3. Termen en definities

Wederom, verwijst naar ISO/IEC 27000.

Context van de organisatie

Dit hoofdstuk is onderdeel van de Planfase in de PDCA-cyclus en bepaalt vereisten voor het begrijpen van externe en interne issues, belanghebbende partijen en hun vereisten, en definiëren het ISMS-toepassingsgebied.

Leiderschap

Dit hoofdstuk is onderdeel van de Planfase in de PDCA- cyclus en definieert de verantwoordelijkheden van de directie, het stellen van rollen en verantwoordelijkheden, en inhoud van het top-level Informatie-beveiligingsbeleid.

Planning

Dit hoofdstuk is ook onderdeel van de Planfase in de PDCA-cyclus en definieert vereisten voor risicobeoordeling, risicobehandeling, Verklaring van Toepasselijkheid, en het stellen van informatiebeveiligingsdoelstellingen.

Ondersteuning

Dit hoofdstuk is onderdeel van de Planfase in de PDCA- cyclus en definieert vereisten voor de beschikbaarheid van middelen, competenties en bewustzijn, communicatie, en het beheer van documenten en registraties.

Uitvoering

Dit hoofdstuk onderdeel van de Do-fase in de PDCA-cyclus en definieert de implementatie van risicobeoordeling en -behandeling, als ook maatregelen en andere processen nodig om informatiebeveilingsdoelstellingen te behalen.

Evaluatie van de prestaties

Dit hoofdstuk is onderdeel van de Check-fase van de PDCA-cyclus en definieert vereisten voor bewaking, metingen, analyses, evaluatie, interne audit en directiebeoordelingen.

Verbetering

Dit hoofdstuk is onderdeel van de Act-fase van de PDCA-cyclus en definieert vereisten voor afwijkingen, correcties, correctieve maatregelen en constant verbetering.

Auditprotocol ISO 27001

Certificatie houdt in dat een externe, onafhankelijke partij *certificerende Instantie vaststelt of het kwaliteitsmanagementsysteem van de organisatie aan alle normeisen voldoet. Om dit vast te stellen voert een certificatie instelling (CI) een audit uit. Deze eerste (certificatie-audit) bestaat uit twee fasen.

De eerste fase dient;

• om de documentatie te beoordelen
• de locatie en de locatiespecifieke omstandigheden te evalueren en om gesprekken met medewerkers te hebben om te bepalen of de organisatie voorbereid is voor fase twee
• om te beoordelen in hoeverre de organisatie voldoet aan de eisen van de norm en de eisen van de norm begrijpt, in het bijzonder ten aanzien van de identificatie van de belangrijkste prestaties en aspecten, processen en de werking van het managementsysteem
• noodzakelijke informatie te verzamelen ten aanzien van de scope van het managementsysteem, de processen en locaties en relevante statutaire en wettelijke aspecten
• om te zien welke middelen beschikbaar zijn voor de tweede fase en om overeenstemming te bereiken met de organisatie over de uitwerking van de tweede fase audit
• om een goed begrip te krijgen van het managementsysteem van de organisatie, de activiteiten en significante aspecten die hierbij van belang zijn

Het doel van de fase twee audit is om de implementatie en de effectiviteit van het managementsysteem te beoordelen. De fase twee audit vindt plaats op de locatie(s) van de organisatie. De fase twee audit omvat in ieder geval het volgende:

• informatie en bewijs met betrekking tot conformiteit voor alle eisen van de norm
• prestatiebeoordeling, meting, rapportage en beoordelingen die gedaan zijn om vast te stellen in hoeverre doelen en doelstellingen bereikt zijn
• het managementsysteem van de organisatie en de manier waarop de organisatie voldoet aan wettelijke eisen
• de beheersing van de processen van de organisatie
• interne audits en management review (directiebeoordeling)
• betrokkenheid van de directie bij het kwaliteitsbeleid
• de verbinding en samenhang tussen de normeisen, het beleid van de organisatie, doelen en doelstellingen, wettelijke eisen, verantwoordelijkheden, bekwaamheid van medewerkers, de uitvoering, procedures, informatie over prestaties en bevindingen vanuit interne audits.

Vervolgens worden organisaties in de 2 jaren er na (half)jaarlijks getoetst om te beoordelen of deze bij voortduring voldoen aan de eisen van de norm. Een hercertificering bestaat weer uit 2 fasen en gebeurt in het derde jaar de eerste certificering. Deze cyclus blijft in stand.

Afwijkingen

Indien er bij een audit een non-conformity worden opgemerkt worden deze geregistreerd in de auditrapportage. De benaming kan per certificerende instantie verschillen maar komt op het volgende neer:

Major non-conformity (Categorie 1 afwijking):

- Het ontbreken van een doeltreffende implementatie m.b.t. een of meerdere systeemeisen van de norm, of een situatie waarbij niet of niet voldoende is geborgd dat het product of de dienstverlening zal voldoen aan eisen;

- Meerdere categorie 2 non-conformities m.b.t. een norm-eis waarvan is vastgesteld dat een doeltreffende implementatie binnen het managementsysteem ontbreekt

- Een categorie 2 non-conformity waarbij de vereiste corrigerende maatregelen niet hebben geleid tot een doeltreffende implementatie zal worden opgewaardeerd tot een bevinding categorie 1

De correctie, de oorzaakanalyse en een actieplan met corrigerende maatregelen, samen met voldoende bewijs van de uitvoering daarvan, moeten worden ingediend binnen 90 dagen na de laatste audit dag. Beoordeling van afwijkingen vindt plaats middels bureau-onderzoek. Echter, afhankelijk van de ernst van de bevindingen, kan de auditor een vervolgbezoek uitvoeren om te bevestigen dat de maatregelen zijn genomen, hun doeltreffendheid te evalueren en te bepalen of voordracht voor certificatie of voortzetting van het certificaat kan plaatsvinden.

Minor non-conformity (Categorie 2 afwijking):

Een gebrek in discipline of beheersing bij de implementatie van systeem- of procedurele eisen, dat geen invloed heeft op het functioneren van het systeem en/of op het voldoen aan de eisen betreffende het product / de dienstverlening.

Hierbij dient de correctie, de oorzaakanalyse en het actieplan met corrigerende maatregelen te worden goedgekeurd door de lead auditor en de verificatie van de uitvoering en beoordeling van de doeltreffendheid van de corrigerende maatregelen dienen bij het eerstvolgende bezoek plaats te vinden.

Observatie

Een observatie is in zichzelf niet een tekortkoming, maar kan wel duiden op een mogelijk toekomstige tekortkoming indien de situatie te weinig aandacht krijgt; een observatie kan ook betrekking hebben op een situatie waarbij geen passend bewijsmateriaal wordt gevonden om de vaststelling van een tekortkoming te ondersteunen

Aanbevelingen ter verbetering

Aanbevelingen ter verbetering hebben betrekking op gebieden en/of processen waar mogelijk wordt voldaan aan - minimum - normeisen, maar waar verbetering mogelijk is.