Probeert u uw ISO 27001-certificering te behalen, maar bent u nog niet bekend met de stappen die hiervoor nodig zijn? Onze ISO 27001 checklist omvat alles van het toewijzen van rollen tot het implementeren van de benodigde maatregelen, het beoordelen van risico’s en het documenteren van uw processen voor toekomstige audits.
Meer weten over ISO 27001? Neem vrijblijvend contact op met een specialist.
Inhoud
Over de ISO 27001 checklist
De ISO 27001-norm (International Standards Organization) is een van de 12 informatiebeveiligingsnormen die steeds relevanter worden in een wereld waarin bedrijven moeten laten zien dat ze intellectueel eigendom, gevoelige gegevens en persoonlijke informatie van klanten veilig willen houden.
Certificering gebeurt langzaam, in de loop van meerdere ISO 27001-fasen. De eerste stap is beslissen of een bedrijf het meeste baat heeft bij een SOC 2-certificering versus een ISO 27001-certificering, zich voorbereiden op de kosten van certificering en een overzicht krijgen van het proces bij het uitvoeren van uw ISO 27001-nalevingschecklist.
Het implementeren van ISO 27001 certificering met of zonder een ISO 27001 checklist kan echter een overweldigend proces zijn met veel bewegende delen. En na het downloaden van de normen kunnen bedrijven nog steeds niet weten hoe ze deze moeten implementeren en door een audit heen komen.
Waarom is een ISO 27001 checklist dan belangrijk? Het leidt informatiebeveiligingsteams stap voor stap naar praktische informatie over wat ze nodig hebben om zich voor te bereiden op de certificering. Een ISO 27001 auditchecklist stroomlijnt het certificeringsproces en zorgt ervoor dat teams niet iets over het hoofd zien in de loop van vier maanden (voor kleine teams) tot meer dan een jaar (voor grote bedrijven).
Tot slot geeft een ISO 27001 nalevingschecklist u een overzicht van de aanbevolen stappen, zodat u vanaf het begin uw middelen daarop kunt afstemmen en zo tijd en energie kunt besparen.
ISO 27001 Checklist: 10 stappen naar naleving
Het implementeren van ISO 27001 is een aanzienlijke investering in tijd, moeite en middelen: als u probeert te veel tegelijkertijd te doen, raakt u misschien overweldigd. Daarom is het verstandig om uw ISO 27001 implementatie in kleinere, beter haalbare werkpakketten op te splitsen, zodat u de norm doelmatig kunt implementeren zonder de weg kwijt te raken. Enshore’s ISO 27001 checklist is ontwikkeld om het implementatieproces makkelijker voor u te maken.
1. Wijs rollen toe
Sommige organisaties kiezen voor een interne implementatieleider en laten medewerkers beveiligingsdocumentatie maken en interne audits uitvoeren. Anderen geven de voorkeur aan een externe consultant of aannemers. De eerste stap op uw ISO 27001 checklist is om deze belangrijke beslissing te nemen op basis van de expertise van uw werknemers. Ook moet u nadenken over uw vermogen om uw teams van hun huidige werkzaamheden te om te leiden tot langdurig, diepgaand beveiligingswerk.
2. Voer een ”Gap Analysis” uit
Bij een Gap Analysis wordt gekeken naar uw bestaande ISMS en documentatie en worden deze vergeleken met de ISO 27001-normen. Als u een Gap Analysis uitvoert, kunt u een beter idee krijgen van waar u op moet letten om de verschillen tussen uw huidige situatie en een scenario waarin u ISO-27001 compliant bent te overbruggen.
Met behulp van deze analyse krijgt u inzicht in de verschillen tussen uw huidige beveiligingsbeleid en de vereisten van de ISO 27001 norm, en hoe lang het ongeveer zal duren om compliant te worden. Zonder dit persoonlijke stappenplan kunnen organisaties mogelijk tijd en geld besteden aan projecten die niet direct bijdragen aan ISO 27001 compliance.
3. Ontwikkel en documenteer de onderdelen die vereist zijn voor ISO 27001 compliance
Bedrijven die voor de eerste keer gecertificeerd worden, moeten delen van hun ISMS opzetten en de gebieden identificeren die bescherming nodig hebben. Uw ISMS bestaat uit al het interne ISO 27001-beleid en de interne procedures voor Cybersecurity. Het bestaat uit mensen, processen en technologie, dus er moet worden gekeken naar hoe, wanneer en door wie toegang wordt verkregen tot informatie.
U moet alle locaties vinden waar gegevens worden opgeslagen, documenteren hoe ze worden benaderd en beleid maken om ze te beschermen op deze contactpunten (hint: u kunt ISO 27001-sjablonen vinden voor veel van het werk dat u tijdens uw audit moet presenteren). Houd in deze stap rekening met zowel fysieke als digitale gegevens.
4. Voer een interne risicoanalyse uit
Nu u alles weet over uw gegevens, is het tijd om de bekende risico’s voor die gegevens te documenteren. Een ISO 27001 asset management checklist, ISO 27001 netwerkbeveiligingschecklist, ISO 27001 firewall beveiligingsaudit checklist of een ISO 27001 risicobeoordelingschecklist kan u helpen deze risico’s te identificeren en te documenteren.
Hoe groot is de kans dat ze zich voordoen? Hoe ernstig zou de impact zijn als ze zich voordoen? Hoe neemt u een beslissing? Het proces begint met het bepalen hoe u risico’s identificeert en beoordeelt. Een risicomatrix kan u helpen bij het prioriteren van risico’s met een hoge waarschijnlijkheid en een grote impact om ze op die manier te sorteren. Ontwikkel voor elk risico een responsplan en wijs teamleden aan die verantwoordelijk zijn voor de follow-up. Voor externe datacenters kan een ISO 27001 datacenter audit checklist helpen bij het documenteren van kwaliteitscontrole en beveiligingsprocedures.
Note: Wij zien vaak dat het ISMS te ingewikkeld wordt gemaakt. Eenvoud is belangrijk om de maatregelen beheersbaar te houden. Focus daarom op de belangrijkste risico’s uit de risicoanalyse.
ISO 27001 risicoanalyse uitvoeren?
Bent u bezig met het realiseren van ISO 27001 compliance? Wij hebben een hulpmiddel voor uw risicoanalyse ontwikkeld dat gratis en vrijblijvend te gebruiken is. De informatie die u invoert kunt u downloaden als PDF, maar wordt niet opgeslagen.
Open de Risicoanalysetool
5. Stel een Verklaring van Toepasselijkheid (VvT) op
Het is tijd om in de ISO 27001-richtlijnen te duiken. In Bijlage A vindt u een lijst met 114 mogelijke maatregelen. Selecteer de maatregelen die betrekking hebben op de risico’s die u hebt geïdentificeerd in uw risicobeoordeling. Schrijf vervolgens een verklaring over welke maatregelen u gaat toepassen. U hebt dit document nodig voor het auditproces.
Kijk voor meer informatie op onze pagina over de Verklaring van Toepasselijkheid van ISO 27001.
6. Implementeer uw maatregelen
Nu u uw beleid en systemen hebt vergeleken met de ISO 27001 maatregelen en maatregelen hebt toegepast op uw eigen ISMS, is het tijd om de systemen op uw werkplek te laten weerspiegelen wat u hebt gedocumenteerd.
Mogelijk moet u software, procedures of beleid bijwerken met betrekking tot de manier waarop mensen met gegevens omgaan. Als u bijvoorbeeld hebt bevestigd dat uw organisatie cryptografie gebruikt om de vertrouwelijkheid van informatie te beschermen, moet u die laag toevoegen aan uw software stack.
7. Train het interne team op uw ISMS en beveiligingsmaatregelen
Training is een veel voorkomende valkuil in het implementatieproces, ondanks het feit dat gegevensbeveiliging relevant is aan diverse rollen binnen een organisatie en de dagelijkse activiteiten van veel werknemers. Regelmatige training is een manier om uw betrokkenheid bij Cybersecurity te laten zien en een cultuur van veiligheid bij uw team te creëren. Werknemers moeten training krijgen over het ISMS, beveiligingsrisico’s, het “waarom” achter processen en de gevolgen van het niet naleven van de regels.
8. Voer een interne audit uit
Een interne audit bereidt u voor op de officiële audit en test uw nieuwe systemen. Werken uw maatregelen naar behoren? Dit kan worden uitgevoerd door een intern team dat geen deel uitmaakte van het opzetten en documenteren van uw ISMS, of door een externe auditor.
Een interne audit brengt verbeterpunten in kaart voorafgaand de officiële ISO 27001 audit, en geeft u de gelegenheid om deze tijdig door te voeren. Om te beginnen kunt u een ISO 27001 checklist voor zelfbeoordeling of een ISO 27001 checklist voor interne audits gebruiken.
Note: Overweeg de ISO 27001-certificering te stroomlijnen met automatisering. Indien er tekortkomingen aangepakt moeten worden, kan dit een uitgelezen kans zijn om bedrijfsprocessen in zijn geheel te optimaliseren.
9. Laat een ISO 27001 audit uitvoeren door een geaccrediteerde auditor
U hebt een geaccrediteerde ISO 27001-auditor van een erkende accreditatie-instelling nodig om een tweestapsaudit uit te voeren: eerst beoordelen ze uw documentatie en maatregelen. Zorg dat u dit deel van de audit van tevoren onder de knie hebt door een ISO 27001 fase 1 audit checklist door te nemen.
Vervolgens voert de auditor een audit op locatie uit. Ze zullen uw maatregelen testen om er zeker van te zijn dat ze naar behoren werken. U raadt het al: ook deze stap kunt u voor zijn met een ISO 27001 fase 2 audit checklist. U krijgt een lijst met belangrijke en minder belangrijke tekortkomingen voor elke stap en zodra de belangrijke tekortkomingen zijn verholpen, krijgt u het ISO 27001-certificaat.
10. Plan voor het behoud van uw ISO 27001 certificering
De ISO 27001-certificering is voor drie jaar geldig, maar u moet elk jaar risicobeoordelingen en bewakingsaudits uitvoeren en nieuwe documentatie voorbereiden voor de verlengingsaudit in het derde jaar. Naast het bijwerken van uw beleid en systemen en het beheren van uw ISMS, moet u jaarlijks trainingen voor uw medewerkers plannen.
In het algemeen kunnen de stappen die u nodig hebt om te voldoen aan de ISO 27001-richtlijnen worden onderverdeeld in meerdere kleinere checklists. Afhankelijk van de behoeften van uw organisatie kunt u gebruik maken van hulpmiddelen zoals een ISO 27001 Annex A checklist, ISO 27001 evidence checklist, ISO 27001 gap analysis checklist of ISO 27001 surveillance audit checklist.
Kijk voor meer informatie op onze pagina over ISO 27001 certificering.
3 tips voor ISO 27001 implementatie
ISO 27001 is een gedetailleerde norm en het is onmogelijk om vooraf bekend te zijn met de best practices in uw branche. Enkele eenvoudige tips kunnen u echter op weg helpen met uw ISO 27001 checklist.
1. Bestudeer de ISO 27001 en ISO 27002 normen
De ISO 27002 normen hebben aanvullende informatie over elke maatregel in Bijlage A die u kunt gebruiken om een VvT voor experts te schrijven (stap 5 op uw ISO 27001 checklist).
2. Bereid van tevoren voor
Voorbereiding op de officiële audit is een groot deel van het certificeringsproces. Zelfs met al dat voorbereidende werk kunnen audits ervoor zorgen dat uw team zich op het laatste moment haast om meer informatie te vinden ter ondersteuning van hun processen.
Zorg dat u in een vroeg stadium input krijgt voor je documentatie. Noteer en volg vergaderingen en implementeer een projectmanagementsysteem dat aangeeft wie welke taken uitvoert en wanneer taken zijn voltooid. Uw projectmanagementteam kan de controle nemen over uw ISO 27001-checklist en ervoor zorgen dat alles in orde is voor een compleet ISO 27001-implementatiedraaiboek.
3. Raadpleeg betrouwbare experts
Tegen het einde van het proces hebben veel werknemers het gevoel dat ze experts in het proces zijn geworden. Maar aan het begin en onderweg kan het een uitdaging zijn om de behoeften van uw branche en organisatie met betrekking tot certificering te extrapoleren. Gissen betekent tijd en energie besteden aan taken die niet leiden tot certificering. Dus of het nu gaat om een consultant, het inhuren van talent om de certificering te leiden of het inschakelen van uw certificeringsinstantie, kies voor duidelijkheid in plaats van veronderstellingen.
Hoe kan Enshore Security u helpen met ISO 27001-certificering?
Bereid u eerst goed voor op een audit door de stappen van deze ISO 27001-checklist te doorlopen. Vervolgens kunt u Enshore Security vragen u te helpen bij het ontwerpen en implementeren van betere beveiligings- en systeemaudits die nodig zijn om ISO 27001-conform te worden en te blijven.
Wij beheren en controleren de toegang tot uw databases, servers, clusters en webapplicaties om alle contactpunten die u in uw risicobeoordeling hebt geïdentificeerd, te dekken, te beheren en te documenteren. We kunnen u helpen bij het bepalen van de maatregelen die nodig is en helpen u deze zo doelmatig mogelijk te implementeren.
ISO 27001 Checklist FAQ
Hoe implementeer ik een ISMS?
Om een ISMS met succes te implementeren, moeten organisaties het PDCA-model volgen. Dit omvat de volgende stappen:
Plan: Stel het toepassingsgebied en de doelstellingen van het ISMS vast. Identificeer de risico’s en kwetsbaarheden van de informatiemiddelen van de organisatie. Ontwikkelen van een risicomanagementplan en definiëren van beleid, procedures en maatregelen om de geïdentificeerde risico’s te beperken.
Do: Het plan implementeren. Medewerkers trainen in het ISMS-beleid en de ISMS-procedures. De beveiligingsmaatregelen implementeren en een raamwerk opzetten voor het bewaken en meten van de effectiviteit van het ISMS.
Check: Controleer het ISMS om ervoor te zorgen dat het aan de vastgestelde doelstellingen voldoet. De prestaties van het ISMS evalueren aan de hand van de vastgestelde maatstaven. Regelmatig interne audits uitvoeren om mogelijke verbeterpunten te identificeren.
Act: Corrigerende maatregelen nemen om vastgestelde kwetsbaarheden in het ISMS aan te pakken. Verbeteringen aan het systeem doorvoeren op basis van de bevindingen van de audits. De PDCA-cyclus herhalen om de effectiviteit van het ISMS voortdurend te verbeteren.
Wat zijn de onderdelen van ISO 27001?
ISO 27001:2022 bevat 93 maatregelen op het gebied van informatiebeveiliging die zijn onderverdeeld in 4 ’thema’s’ in plaats van de voorheen bekende 14 onderwerpen. De 4 thema’s zijn:
1. Organisatorische maatregelen – Definieert organisatorische regels plus verwacht gedrag van gebruikers, apparatuur, software en systemen. Bijvoorbeeld toegangscontrolebeleid, BYOD-beleid.
2. Menselijke maatregelen – Gebruikt om werknemers te trainen en op te leiden over veilige manieren om met gegevens om te gaan binnen de organisatie. Bijvoorbeeld ISO 27001-bewustzijnstraining, ISO 27001-training voor interne controleurs.
3. Fysieke maatregelen – Maakt gebruik van hulpmiddelen die fysiek in wisselwerking staan met mensen. Bijvoorbeeld CCTV-camera’s, alarmsystemen, sloten.
4. Technologische maatregelen – Voegt software-, hardware- en firmwarecomponenten toe aan het huidige ISMS. Bijv. back-up, antivirussoftware
Wat is het verschil tussen ISO 27001 en ISO 27002?
ISO 27001 specificeert de vereisten voor een managementsysteem voor informatiebeveiliging. Dit omvat de vereiste om 114 industriestandaard beveiligingsmaatregelen te overwegen, die worden gespecificeerd in Bijlage A van ISO 27001.
ISO 27002 biedt implementatierichtlijnen voor elk van de maatregelen in ISO 27001 Annex A. Deze richtlijnen zijn een nuttige aanvulling op de vereisten in Annex A en bieden organisaties best practice-richtlijnen voor beveiliging.
Dit betekent dat er een belangrijk verschil is in terminologie. In Bijlage A zijn de maatregelen geformuleerd als ‘De organisatie zal…’, terwijl in ISO 27002 dezelfde maatregelen zijn geformuleerd als ‘De organisatie zou…’. Zullen verwijst naar een verplichte eis, terwijl zouden een richtlijn omvat.
Organisaties kunnen worden gecertificeerd voor ISO 27001, maar niet voor ISO 27002.
Dekt ISO 27001 de vereisten van de AVG?
De AVG (Algemene Verordening Gegevensbescherming) verwijst naar persoonlijke gegevens, een soort informatie. ISO 27001 is een norm voor informatiebeveiliging. Een organisatie die ISO 27001-gecertificeerd is, heeft de beveiligingsrisico’s voor de persoonlijke gegevens die ze verwerkt in de context van AVG overwogen. In dat opzicht is ISO 27001 een maatstaf voor naleving van AVG Artikel 5.1 (d), (e) en (f), en Artikel 32 (Beveiliging van de verwerking).
Voor een volledige dekking van AVG, voor zover het betrekking heeft op de verwerkingsactiviteiten van een organisatie en als maatregel om naleving aan te tonen, zou ISO 27701 moeten worden geïmplementeerd naast ISO 27001. Dit is een aanvulling op ISO 27001 en implementeert een Privacy Information Management System.
Dit is een citaat uit een persbericht in april 2020 van het Franse equivalent van de Autoriteit Persoonsgegevens, de CNIL: “De norm is opgesteld op internationaal niveau met bijdragen van deskundigen uit alle continenten en de deelname van verschillende autoriteiten in gegevensbescherming. Deskundigen van de CNIL hebben actief bijgedragen aan deze norm, met de steun van het Europees Comité voor gegevensbescherming. De norm vertegenwoordigt de laatste stand van zaken op het gebied van privacybescherming en zal organisaties die de norm implementeren in staat stellen een actieve benadering van gegevensbescherming te demonstreren.