1. Inleiding

Het nieuwe kapitaal is informatie.  De nieuwe economie is bij uitstek een informatie-economie. De smartphones en apps zijn niet meer weg te denken uit ons dagelijks leven. Organisaties die zich bezig houden met informatie verzamelen en delen zijn levensgroot geworden en hebben een grote invloed op ons dagelijks leven. Denk aan Apple, Google, Facebook , Twitter e.d.

Dat vereist een andere invalshoek. Wij willen en kunnen niet alle informatie tot ons nemen maar ook willen wij onze informatie niet ongebreideld delen. Veel informatie is bestempeld als vertrouwelijk.  Klanten en patiënten die organisaties informatie verstrekken,  willen niet dat deze informatie met anderen gedeeld worden. Informatie heeft  ‘waarde’ gekregen.  Alles wat waarde heeft trekt ook criminaliteit aan. Cybercriminaliteit.

Een klant of een overheidsorgaan wil zeker weten dat er zorgvuldig met informatie wordt omgegaan en dat deze geborgd is binnen de organisatie. Daar is een ISO 27001 een aangewezen instrument voor.

2. Relatie ISO 27001 tot de HLS- structuur

De  ISO 27001 informatiemanagementsysteem is in de nieuwe HLS (high level structure) een generieke norm. Dat wil zeggen dat het een managementsysteem betreft. Daarnaast zijn er sectornormen, specifieke richtlijnen en generieke richtlijnen. In de nieuwe HLS-structuur passen al deze normen en richtlijnen in elkaar (plug in). Het is nu gemakkelijk (en aan te bevelen) om 2 normen te certificeren. Bijvoorbeeld ISO 9001 kwaliteitsmanagementsysteem en de ISO 27001.

plug in

De HLS structuur.

       ‘Plug in’

3. Algemene kenmerken ISO-managementsystemen

Alle ISO systemen, dus ook de 27001 zijn geënt op de volgende basisgedachten:

Bepaal je visie en missie

  • Vertaal dat in beleidsdoelstellingen
  • Maak deze doelstelling SMART (specifiek, meetbaar acceptabel, resultaatgericht, tijdgebonden)
  • Formuleer KPI’s (kritische prestatie-indicatoren)

Schadebeheersing

  • Bepaal je risico’s
  • Bepaal wat het betekent voor de organisatie als een calamiteit zich voordoet
  • Zorg voor een controlemechanisme (organisatiestructuur / techniek)
  • Bouw controlemomenten in (audits, werkplekinspecties, overlegstructuur, onderhoud en beste techniek)

Voldoen aan wet- en regelgeving

  • Ken de voor jou organisatie wettelijke eisen
  • Ken de branchespecifieke eisen
  • Ken overige normen en richtlijnen waar de organisatie of de brancheorganisatie zich aan heeft geconformeerd.

4. Specifieke kenmerken ISO 27001

Een ISMS is een systematische benadering voor beheersing van gevoelige bedrijfsinformatie opdat deze informatie gewaarborgd is. Een risk-managementsysteem beheerst:

  1. mensen
  2. processen
  3. IT systemen

Niet alleen de systemen worden beoordeeld, maar ook de werkprocessen en procedures en bovenal de competenties en verantwoordelijkheidsbesef van de medewerkers.

ISO 27001

4.1 Mensen en processen

Om te borgen dat de medewerkers doen wat er van hun verwacht wordt en te zorgen dat de processen duidelijk en transparant zijn, moet de organisatie nadenken over de invulling van de navolgende checklist:

4.1.1 Beveiligingsbeleid

  1. Procedure voor Beheersing van Documenten en Registraties
  2. Procedure voor Identificatie van Eisen
  3. Veiligheidsprogramma en procedures voor leidinggevenden
  4. Informatiebeveiligingsbeleid
  5. Geheimhoudingsverklaringen
  6. Verklaring van Goedkeuring van ISMS -documenten

4.1.2 Organisatiebeleid

  1. Document Toepassingsgebied ISMS
  2. Organogram
  3. Netwerk en server-architectuur diagram
  4. Lijst van Wet- , Regelgeving, Contractuele en Andere Verplichtingen
  5. Pr-beleid dat rekening houd met informatiegevoeligheid
  6. Gedocumenteerde Directie Beoordelingen
  7. Procedure voor Corrigerende Maatregel

4.1.3 HRM-beleid

  1. Bepalen van functieomschrijvingen met taken, verantwoordelijkheden en bevoegdheden
  2. Vastlegging informatieoverdracht nieuwe medewerkers
  3. Plan voor Training en Bewustwording

 4.2 Risicomanagement

Om te bepalen welke risico’s de organisatie heeft zij een Information Security Assesment & Treatment Plan. In dit plan geeft zij aan hoe zij denkt daar invulling te geven aan middels een:

  1. Tabel voor Risicobeoordeling
  2. Tabel voor Risicobehandeling
  3. Rapport van de Risicobeoordeling en Risicobehandeling
  4. Methodologie voor Risicobeoordeling en Risicobehandeling
  5. Plan voor Risicobehandeling
  6. Plan hoe de organisatie in de lucht te houden indien er sprake is van een calamiteit

Een uitstekend instrument om de risico’s en gevolgen inzichtelijk te maken is de Bow Tie methodiek:

tiebow

Bow Tie (CGE Risk Management Solutions)

4.3 IT-systemen

Uiteraard moeten de IT-systemen op een dusdanig peil beveiligd zijn dat  er geen lekken zijn  en niet zomaar de informatie gehackt kan worden. De organisatie moet antwoorden en maatregelen treffen op de volgende vraagstukken:

  1. Beleid voor Bring Your Own Device (BYOD)
  2. Beleid voor Draagbare Apparatuur en Telewerken
  3. Analyse en scanmiddelen voor de IT-ondersteuning
  4. Goedgekeurd gebruik van software
  5. Inventarisatie van bedrijfsmiddelen
  6. Beleid voor Aanvaardbaar gebruik
  7. Beleid voor Geclassificeerde Informatie
  8. Toegangsbeleid
  9. Wachtwoordenbeleid
  10. Beleid Gebruik Cryptografische Beheersmaatregelen
  11. Clear Desk en Clear Screen Beleid
  12. Beleid voor Verwijdering en Vernietiging
  13. Procedures voor Werken in Beveiligde Ruimtes
  14. Bedieningsprocedures voor Beheersing van de Informatie en Communicatie Technologie
  15. Beleid voor Wijzigingsbeheer
  16. Beleid voor Back-up
  17. Beleid voor informatieoverdracht
  18. Beleid voor Beveiligde Ontwikkeling
  19. Beveiligingsbeleid Leverancier
  20. Beveiligingsclausules voor Leveranciers en Partners
  21. Procedure voor Incidentbeheer
  22. Incidentenlogboek

5. Opvolging

Om er zorg voor te dragen dat al deze punten die getackeld of geborgd moeten worden, geen papieren tijger wordt, zal er een auditprogramma moeten zijn die ook toetst of de organisatie haar beleid en maatregelen ook waar maakt.

  1. Procedure voor Interne Audit
  2. Jaarlijkse Interne Auditprogramma
  3. Rapport voor Interne Audit
  4. Checklist Interne Audit

6. PDCA- Cirkel

Een kenmerk van de ISO is dat er een voortdurend patroon van verbetering moet zijn.  Een managementsysteem is een dynamisch proces.

De bevindingen uit de controlemomenten zoals:  waarden uit je KPI’s , audits, werkplekinspecties, overlegstructuur, onderhoud en onderzoek naar de beste techniek, verandering in wet- en regelgeving zullen ongetwijfeld leiden tot bijsturen en wellicht zelfs herdefiniëren van de missie en visie van de organisatie.

De informatie moet wel tijdig en op de juiste plaats in de organisatie terechtkomen wil zij daarop kunnen sturen.

De combinatie met ISO 9001 is erg aan te bevelen. De 9001 heeft veel meer betrekking op procesverbetering en kwaliteitsbeheersing. Organisaties die aantoonbaar kwaliteit en informatie-veiligheid willen garanderen kiezen voor de combinatie.

PDCA

PDCA-cirkel (Wikipedia)

 7. Papier is geduldig

Je kunt nog zoveel mooie woorden  wijden aan een (digitaal) handboek ISO 27001, maar het gaat natuurlijk om de praktijk.  Naast de vastlegging in beleid en procedures moeten de IT-systemen ook daadwerkelijk beproefd worden. Dat moet dan ook aantoonbaar worden vastgelegd. Hoe vaak dat moet gebeuren heeft te maken met de gevoeligheid van de informatie. Een bank of een ziekenhuis zal een cyberaanval moeten kunnen weerstaan. Kun je dat niet aan, dan gaat de organisatie roemloos ten onder. Een bekend voorbeeld is Diginotar. Tot 2011 voor vrijwel iedere Nederlander een begrip totdat……….

 8. Hulp nodig?

Ik kan je helpen met:

  1. het opstellen van het digitale handboek ISO 27001,
  2. of het opstellen van de combinatie ISO 27001 en ISO 9001 ,
  3. het opstellen van processen en procedures,
  4. in kaart brengen van de risico’s ,
  5. optuigen van een auditapparaat,
  6. daarnaast werk ik samen met partners zoals een advocaat gespecialiseerd in IT-recht en intellectuele eigendom en een IT-bedrijf gespecialiseerd in informatiebeveiliging.

 
 
Publicaties van dezelfde auteur:

 
Categorie Organisatie Advies