Volg het stappenplan voor de certificatie van ISO 27001
Informatiebeveiliging is een belangrijker voorwaarde in de procesbeheersing. Voor een deel schrijft de wet het zelfs voor als het bijvoorbeeld gaat om de Wet bescherming persoonsgegevens (Wbp) en de meldplicht datalekken, maar afgezien van de wetgeving, verwachten ook klanten dat hun leveranciers zorgvuldig met data omgaan en niet in de laatste plaats wil uw eigen organisatie zelf data veilig opslaan en gebruiken. De norm ISO 27001 is een kwaliteitsnorm - familie van de kwaliteitsmanagementnorm ISO 9001 - die u kunt gebruiken om informatie te beheersen en de organisatie te certificeren. Hieronder volgt een stappenplan voor de opbouw van het kwaliteitsmanagementsysteem dat voldoet aan ISO 27001.
Wat is de beste manier voor certificatie ISO 27001 van uw organisatie?
Uiteraard zijn er meer manieren en wegen om uw organisatie te certificeren voor ISO 27001. Het stappenplan dat hieronder is geschetst, is een voorbeeld. Sommige organisatie hebben al een uitgebreid systeem voor informatiebeveiliging, andere nog niet. Wilt u specifieke informatie of advies over uw eigen situatie en organisatie? Neem dan even contact op met een van onze adviseurs.
Stappenplan ISO 27001 en certificatie van uw organisatie:
- Voldoe aan de kwaliteitsmanagementnorm ISO 9001
- Beoordeel de omgeving en de stakeholders in relatie tot informatie
- Evalueer de IT infrastructuur en het gedrag van medewerkers
- Evalueer de juridische context van informatie
- Classificeer informatie naar het niveau van veiligheid
- Beoordeel de beschikbaarheid van informatie
- Werk toe naar certificatie voor ISO 27001
1. Voldoe aan de kwaliteitsmanagementnorm ISO 9001
Het moet niet, maar is wel heel erg handig en efficiënt als uw organisatie al voldoet aan de norm ISO 9001. De norm verwijst namelijk voor alle algemene managementrichtlijnen naar de norm ISO 9001. Denk procesbeheersing met de PDCA cirkel, werken met prestatie indicatoren, preventief management, output sturing, management review, et cetera. ISO 27001 is feitelijk een verdieping op ISO 9001 op het onderwerp informatiebeveiliging in processen. U kunt de parallel trekken met ISO 14001, wat op dezelfde manier een verdieping is op ISO 9001 voor milieumanagement onderwerpen. Advies: Implementeer ISO 9001 en ISO 27001 samen en tegelijkertijd. Dat is het meest efficiënt.
2. Beoordeel de omgeving en de stakeholders in relatie tot informatie
De eis om informatie zorgvuldig op te slaan en te bewaren komt vaak in eerste instantie van stakeholders. Klanten verwachten dat leveranciers informatie vertrouwelijk behandelen, medewerkers verwachten dat persoonsgegevens veilig bij de HR afdeling liggen en de organisatie zelf wil de organisatie na een calamiteit, zoals brand of diefstal, weer snel operationeel zijn. Nooit eerder was de omgeving zo kritisch richting organisaties over de wijze waarop informatie is beveiligd. Het is zelfs een unique selling point geworden. Klanten doen tegenwoordig leveranciersaudits specifiek gericht op de beveiliging van informatie. Tip: Nodig klanten uit voor een leveranciersaudit of vraag hen naar hun eisen. De vraag stellen is al onderscheidend. Bovendien moet ook voor ISO 9001 moet een stakeholderanalyse worden gemaakt. Zie hier al een voordeel van de integratie van de twee normen.
3. Nulmeting op de IT infrastructuur en het gedrag van medewerkers
Genoeg redenen om processen onder de loep te nemen en de kwaliteit te beoordelen. Nu de criteria dankzij stap 1 bekend zijn, kan de nulmeting starten. Voer zo’n onderzoek per processtap uit. Informatie komt namelijk in alle processtappen voor. Verkopers beschikken over klantinformatie, HR over personeelsinformatie, productie over technische tekeningen en softwareontwikkelaars over testdata van klanten. Informatie kan beschikbaar worden gesteld via ERP of CRM systemen, maar ook via een dropbox, USB drive of Google Drive. Data gaat zowel door handen als door routers en servers. IT speelt een belangrijke rol, maar de medewerkers soms nog meer. Medewerkers kopiëren files naar laptops, naar persoonlijke e-mail accounts of eigen memory sticks. Maak een evaluatie van de processtappen, maar beperk dat onderzoek niet tot firewalls en routers protocollen. Er zijn veel meer lekken en informatiestromen in een organisatie. Tip: Voer interne audits uit op de aanwezigheid van informatie in processen. Tevens ook een eis van ISO 9001.
4. Evalueer de juridische context van informatie
Vervolgens is de juridische context relevant. Algemene voorwaarden, overeenkomsten van opdracht, geheimhoudingsverklaringen en bedrijfsreglementen zijn officiële documenten, die een juridische betekenis hebben. Overtredingen van gemaakte afspraken kunnen verstrekkende gevolgen hebben. Een goede evaluatie zorgt voor zuiverheid en gemeenschappelijk inzicht over de status van informatie en de verantwoordelijkheid van de functionaris die met die informatie omgaat. Hier wordt gemiddeld te makkelijk aan voorbij gegaan. Bijvoorbeeld, medewerkers hebben vaak geheimhoudingsverklaringen in hun arbeidscontract en ook in de overeenkomst van opdracht met een klant zijn geheimhoudingsbepalingen opgenomen. Een medewerker kan daardoor niet zomaar data delen met derden of een verhaal vertellen op een verjaardag. Ook geschreven teksten in e-mails of op sociale media kunnen forse gevolgen hebben als ze verkeerd terecht komen. Tip: Beoordeel officiële documenten en voer audits uit ten aanzien van de naleving door medewerkers en leidinggevende.
5. Classificeer informatie naar het niveau van veiligheid
Dan volgt de classificatie van de informatie. Niet alle informatie is geheim of gevoelig. Adresgegevens van klanten zijn misschien wat minder bijzonder, maar tekeningen van innovaties zijn vaak wel classified. Classificeer de informatie per processtap. Klasse I informatie hoeft niet te worden beveiligd. Klasse II informatie wel en Klasse III mag niet in verkeerde handen terecht komen. Vervolgens is het belangrijk te bepalen in welke processtap informatie nodig is om medewerkers het werk goed te laten uitvoeren. Het gaat dus om de combinatie van beveiliging en het werk kunnen uitvoeren. Tip: Definieer in eerste instantie drie Klassen en specificeer veiligheidsmaatregelen per klasse. Daarna kan bepaald worden op welke manier per processtap wordt voldaan aan de gestelde veiligheidseisen. Zo ontstaat het eerste deelontwerp van een Information Security Management System (ISMS).
6. Beoordeel de beschikbaarheid van informatie
Een accountmanager moet een offerte kunnen maken, een managers een functioneringsgesprek kunnen voeren en een directeur moet financiële informatie hebben. Het klinkt zo logisch en dat is het ook, maar de vraag is op welke manier die informatie beschikbaar wordt gesteld. We hebben een klant waar bepaalde informatie alleen op papier beschikbaar wordt gesteld in een kluis voor een beperkt aantal medewerkers. Er zijn daarentegen ook kanten waar medewerkers vol trots foto’s maken op hun privé telefoon van het werk dat ze hebben gemaakt. Wat we met deze voorbeelden duidelijk willen maken, is dat in ERP systemen natuurlijk allerlei niveaus van toegang en veiligheid is geregeld, maar dat eenvoudige work arounds tot onaangename verrassingen kunnen leiden. Denk aan het schrijven op social media over een klantbezoek. Tip: zorg dat per processtap duidelijk wordt gemaakt hoe wordt gewerkt en welke informatie maximaal nodig is.
7. Werk toe naar certificatie voor ISO 27001
Als alle voorgaande stappen zijn doorlopen en er is gewerkt aan de borging van informatie in processen, dan voldoet uw organisatie al voor een groot deel aan de kwaliteitsmanagementnorm ISO 27001. Met nog enkele extra maatregelen, zoals deze in ISO 9001 zijn opgenomen, komt certificatie in de buurt en kan procesmanagement worden geïmplementeerd. Denk daarbij aan de uitvoering van interne audits, meldingsprocedures, risicoanalyses, de management review en de overige verplichtingen. Tip: Werk met ons uitgewerkte format kwaliteitshandboek waar alle onderdelen in zitten en u kunt zo uw eigen systeem samenstellen en implementeren. Of volg de Training ISO 27001.
Certificatie voor ISO 27001 is een license to operate geworden
Zo'n certificatietraject is niet alleen commercieel nuttig, maar ook heel goed om inzicht te krijgen in wat er in uw organisatie allemaal gebeurt met data en informatie. Het stroomt overal heen en regelmatig naar plekken, waar u het liever niet heeft. Omdat informatie lang niet altijd zichtbaar is, zijn we er soms minder mee bekend of mee vertrouwd. We denken dat hackers alleen bij anderen inbreken, maar dat is helaas niet zo. Bovendien, zijn hackers soms niet eens het grootste gevaar. ISO 27001 gaat natuurlijk ook over ICT, over firewalls en virusscanners, maar toch vooral over de beheersing van processen. U hoeft geen kennis te hebben van ICT, maar van procesbeheersing. Er moet een kwaliteitsmanagementsysteem ontstaan, dat vooral een goed mechanisme heeft van melden, leren, oorzaakanalyse en herstellen. Als dat goed werkt, wordt uw organisatie sterker, dalen de kosten en dat zijn een unique selling points richting uw klanten en andere stakeholders.
Wilt u beginnen en informatie ontvangen? Vul dan onderstaande formulier in. U kunt natuurlijk ook even bellen met onze adviseurs via 088 33 666 66 of een e-mail sturen naar info@patagonia-bv.com.
Certificatie ISO 27001
- Stappenplan uitvoeren
- Kwaliteitsmanagementsysteem opzetten
- Evaluatie informatiebeveiliging
- Classificatie van informatie
- Evaluatie Annex A ISO 27001
- Uitvoering risicoanalyse
- Uitvoering processen
- Informatie beveiligen
- Certificatie ISO 27001