ISO 27001 stappenplan

Fase 1: Oriëntatie en commitment

Voordat je aan de slag gaat, is het essentieel dat de organisatie begrijpt waar ze aan begint. ISO 27001 implementatie vraagt tijd, geld en aandacht van mensen op alle niveaus. Zonder steun van het management wordt het een strijd tegen de stroom in.

Begin met een gesprek met de directie. Waarom willen jullie dit? Is het omdat klanten erom vragen, omdat de concurrentie het heeft, of omdat jullie oprecht de beveiliging willen verbeteren? Al deze redenen zijn valide, maar het is belangrijk om de verwachtingen helder te hebben.

De International Organization for Standardization  benadrukt in de norm zelf het belang van “leadership commitment”. De directie moet niet alleen akkoord geven, maar ook actief betrokken zijn en de benodigde middelen vrijmaken. In de praktijk betekent dit: budget reserveren, iemand aanwijzen die het project trekt, en tijd inruimen voor medewerkers om mee te werken.

Stel in deze fase ook vast wat de scope van je ISMS wordt. Welke delen van de organisatie vallen eronder? Welke locaties, systemen en processen? Je kunt ervoor kiezen om te beginnen met een beperkte scope, bijvoorbeeld alleen je softwareontwikkelingsafdeling, en later uit te breiden. Een te brede scope maakt het traject onnodig complex; een te smalle scope kan betekenen dat je certificaat weinig waarde heeft voor klanten.

Resultaat van deze fase: Een projectplan met scope, budget, tijdlijn en projectorganisatie. Formeel commitment van de directie.

Fase 2: Gap-analyse en huidige situatie

Nu je weet dat je door wilt gaan, is de volgende stap begrijpen waar je staat. Een gap-analyse vergelijkt je huidige situatie met wat ISO 27001 vraagt. Dit geeft je inzicht in hoeveel werk er nog te doen is.

Loop de eisen van de norm systematisch langs. Heb je al een informatiebeveiligingsbeleid? Worden risico’s geïdentificeerd en beheerst? Zijn er procedures voor incidentrespons? Worden medewerkers getraind in beveiligingsbewustzijn?

Kijk ook naar de 93 beheersmaatregelen in Annex A. Welke daarvan heb je al geïmplementeerd, misschien zonder het zo te noemen? Veel organisaties hebben al firewalls, antivirussoftware, toegangsbeheer en back-ups. De uitdaging is vaak niet het ontbreken van maatregelen, maar het ontbreken van documentatie en systematiek.

Veel organisaties kiezen ervoor om een externe adviseur in te schakelen voor de gap-analyse. Dit heeft voordelen: een frisse blik van iemand die de norm door en door kent. Maar het is geen must. Met de norm in de hand en voldoende tijd kun je het ook zelf doen.

BSI  en andere certificerende instanties bieden vaak pre-assessments aan: een informele audit voorafgaand aan de echte certificeringsaudit. Dit kan een waardevol ijkpunt zijn, al zijn hier kosten aan verbonden.

Resultaat van deze fase: Een gap-analyserapport dat aangeeft waar je staat en wat er nog moet gebeuren. Een geprioriteerde actielijst.

Fase 3: Risicobeoordeling

De risicobeoordeling is het hart van ISO 27001. Waar andere managementsysteemnormen risicogericht denken als principe hanteren, maakt ISO 27001 het expliciet: je moet een formele risicobeoordeling uitvoeren en documenteren.

Begin met het identificeren van je informatie-assets: welke informatie is er in je organisatie, waar wordt die opgeslagen, en hoe waardevol is die? Denk aan klantgegevens, financiële informatie, intellectueel eigendom, personeelsgegevens, en operationele data.

Vervolgens identificeer je de bedreigingen die deze assets kunnen raken. NCSC , het Nationaal Cyber Security Centrum, publiceert regelmatig overzichten van actuele dreigingen die als startpunt kunnen dienen. Denk aan malware, phishing, ongeautoriseerde toegang, maar ook aan niet-digitale bedreigingen als brand, wateroverlast, of het vertrek van een sleutelmedewerker.

Voor elke combinatie van asset en bedreiging bepaal je het risico: hoe waarschijnlijk is het dat dit gebeurt, en wat is de impact als het gebeurt? Er bestaan diverse methodieken voor risicobeoordeling. ISO 27005  geeft richtlijnen, en frameworks als OCTAVE of FAIR bieden gestructureerde aanpakken. De norm schrijft geen specifieke methodiek voor, zolang je aanpak consistent en reproduceerbaar is.

Het resultaat is een risico-inventarisatie met voor elk risico een classificatie (bijvoorbeeld laag, middel, hoog of kritiek) en een beslissing: accepteer je het risico, ga je het mitigeren, draag je het over (bijvoorbeeld via een verzekering), of vermijd je het door de activiteit te staken?

Resultaat van deze fase: Een gedocumenteerde risicobeoordeling met geïdentificeerde risico’s, classificaties en behandelbeslissingen.

Fase 4: Statement of Applicability (SoA)

Het Statement of Applicability is een document dat uniek is voor ISO 27001. Het bevat een overzicht van alle 93 beheersmaatregelen uit Annex A, met per maatregel de vermelding of deze van toepassing is, en zo ja, hoe je die hebt geïmplementeerd.

Dit document dwingt je om bewust na te denken over elke maatregel. Niet elke maatregel is relevant voor elke organisatie. Als je geen fysieke serverruimte hebt omdat alles in de cloud draait, zijn bepaalde fysieke beveiligingsmaatregelen niet van toepassing. Maar je moet wel uitleggen waarom je ze niet toepast.

Het SoA is ook een belangrijk document voor de auditor. Het geeft een overzicht van hoe jij de norm hebt geïnterpreteerd en geïmplementeerd. De auditor zal tijdens de audit controleren of je werkelijkheid overeenkomt met wat je in het SoA hebt geschreven.

Een goed SoA is niet alleen een afvinklijst, maar bevat ook verwijzingen naar de relevante procedures, werkinstructies of technische documentatie. Zo kan de auditor, en je eigen medewerkers, snel de details vinden.

Resultaat van deze fase: Een compleet Statement of Applicability dat alle 93 controls behandelt.

Fase 5: Maatregelen implementeren

Nu begint het echte werk: het implementeren van de beheersmaatregelen die je hebt geselecteerd. Dit is vaak de meest tijdrovende fase, omdat het zowel technische als organisatorische veranderingen kan omvatten.

Technische maatregelen kunnen variëren van het implementeren van multi-factor authenticatie, het versleutelen van data, het opzetten van een SIEM-systeem voor security monitoring, tot het hardenen van servers en het inrichten van netwerksegmentatie. De specifieke maatregelen hangen af van je risicoprofiel en je bestaande infrastructuur.

Organisatorische maatregelen zijn minstens zo belangrijk. Denk aan het opstellen van beleidsdocumenten, het inrichten van een proces voor toegangsbeheer, het trainen van medewerkers in security awareness, en het opstellen van procedures voor incidentrespons.

Voor veel maatregelen bestaan goede bronnen en richtlijnen. Het Center for Internet Security (CIS)  publiceert de CIS Controls, een prioriteitslijst van technische maatregelen. NIST  biedt met het Cybersecurity Framework een complementair raamwerk. Deze bronnen kunnen helpen bij het concreet invullen van de ISO 27001 eisen.

Documenteer wat je implementeert. De auditor wil niet alleen zien dat je maatregelen hebt, maar ook dat je kunt aantonen hoe ze werken en wie verantwoordelijk is.

Resultaat van deze fase: Geïmplementeerde beheersmaatregelen, gedocumenteerd in procedures en werkinstructies.

Fase 6: Bewustzijn en training

Een ISMS kan nog zo goed ontworpen zijn, als medewerkers er niet naar handelen is het waardeloos. Security awareness is daarom een cruciaal onderdeel van ISO 27001.

Training moet verder gaan dan een eenmalige presentatie bij indiensttreding. Effectieve awareness-programma’s zijn continu en gevarieerd: regelmatige communicatie, phishing-simulaties, interactieve workshops, en reminders bij relevante momenten.

Zorg dat medewerkers begrijpen waarom informatiebeveiliging belangrijk is, niet alleen wat de regels zijn. Leg uit wat de gevolgen kunnen zijn van een beveiligingsincident: voor de organisatie, voor klanten, en potentieel voor henzelf. Maak het persoonlijk en relevant.

SANS  en KnowBe4  zijn bekende aanbieders van security awareness trainingen, maar er zijn ook Nederlandse alternatieven. Welke aanpak je ook kiest, het belangrijkste is consistentie en relevantie.

Resultaat van deze fase: Een awareness-programma met getrainde medewerkers en registraties daarvan.

Fase 7: ISMS documentatie afronden

Tegen deze tijd heb je waarschijnlijk al veel documentatie geproduceerd: beleid, procedures, risicobeoordeling, SoA. Nu is het moment om alles samen te brengen en te zorgen dat je documentatie compleet en consistent is.

ISO 27001 vereist specifieke gedocumenteerde informatie, waaronder:

• Scope van het ISMS
• Informatiebeveiligingsbeleid
• Risicobeoordeling en risicobehandeling
• Statement of Applicability
• Doelstellingen voor informatiebeveiliging
• Bewijs van competentie
• Operationele planning en beheersing
• Resultaten van risicobeoordelingen
• Resultaten van interne audits
• Resultaten van directiebeoordelingen

Daarnaast zijn er registraties nodig: bewijs dat processen worden gevolgd, dat training heeft plaatsgevonden, dat incidenten worden afgehandeld.

Organiseer je documentatie zo dat ze vindbaar en onderhoudbaar is. Veel organisaties gebruiken een wiki of documentmanagementsysteem. Zorg voor versiebeheer: de auditor wil zien dat documenten worden beheerst en dat medewerkers de actuele versies gebruiken.

Resultaat van deze fase: Complete, georganiseerde ISMS-documentatie.

Fase 8: Interne audit

Voordat je de externe auditor uitnodigt, voer je een interne audit uit. Dit is niet alleen een eis van de norm, maar ook een slimme zet: je ontdekt nu wat er niet klopt, zodat je het kunt repareren voordat het een probleem wordt.

De interne auditor moet onafhankelijk zijn van wat geaudit wordt. Een IT-manager kan niet zijn eigen afdeling auditen. Voor kleinere organisaties betekent dit vaak dat je een externe partij inschakelt, of dat je een collega van een andere afdeling traint als interne auditor.

De interne audit loopt alle eisen van de norm langs en controleert of je ISMS daaraan voldoet. Net als bij een externe audit resulteert dit in bevindingen: zaken die niet in orde zijn of verbeterd kunnen worden.

Neem de bevindingen serieus. Los afwijkingen op voordat je de certificeringsaudit plant. Documenteer wat je hebt gedaan om ze op te lossen; de externe auditor zal hiernaar vragen.

Resultaat van deze fase: Intern auditrapport met bevindingen en uitgevoerde corrigerende maatregelen.

Fase 9: Directiebeoordeling

De directie moet het ISMS periodiek beoordelen. Dit is een formele vergadering waarin het management kijkt naar hoe het systeem functioneert, of doelstellingen worden gehaald, en welke verbeteringen nodig zijn.

De directiebeoordeling moet vóór de certificeringsaudit hebben plaatsgevonden. De auditor vraagt naar de notulen en wil zien dat het management actief betrokken is, niet alleen op papier.

Bespreek in de directiebeoordeling onder andere:

• Resultaten van audits (intern en eventueel extern)
• Feedback van belanghebbenden
• Status van de risicobeoordeling
• Voortgang van doelstellingen
• Beveiligingsincidenten en trends
• Benodigde middelen en verbeteringen

Leg de resultaten vast, inclusief genomen beslissingen en toegewezen acties.

Resultaat van deze fase: Notulen van de directiebeoordeling met beslissingen en acties.

Fase 10: Certificeringsaudit

Nu is het moment van de waarheid: de certificeringsaudit door een geaccrediteerde certificerende instantie. Kies een instantie die is geaccrediteerd door de Raad voor Accreditatie (RvA)  of een vergelijkbare nationale accreditatie-instelling. Bekende instanties in Nederland zijn Kiwa , BSI , TÜV , DNV , Bureau Veritas , en LRQA .

De audit verloopt in twee fasen. In Fase 1 beoordeelt de auditor je documentatie: is je ISMS op papier compleet en consistent? Dit kan op afstand of op locatie gebeuren en duurt meestal een dag. Je krijgt feedback over eventuele tekortkomingen die je moet adresseren voor Fase 2.

In Fase 2 komt de auditor op locatie om te controleren of je ISMS ook in de praktijk werkt. De auditor spreekt met medewerkers, bekijkt systemen, vraagt naar bewijzen. Dit duurt enkele dagen, afhankelijk van de omvang van je organisatie.

Na afloop krijg je een auditrapport met bevindingen. Bij een positief resultaat met hooguit minor afwijkingen krijg je het certificaat, meestal binnen enkele weken na het oplossen van eventuele afwijkingen.

Lees meer over het auditproces.

Resultaat van deze fase: ISO 27001 certificaat!