Stappenplan ISO27001 implementatie

Stappenplan ISO27001 implementatie

Inleiding

Om een ISO27001 implementatie uit te voeren en het certificaat te behalen dienen diverse stappen te worden doorlopen. Onderstaand een overzicht van de ISO27001 implementatie stappen en per fase een toelichting hierop.

Scope bepaling

Dit is de start van het ISO27001 implementatie traject. De scope bepaalt waar je voor gecertificeerd wilt worden. Deze scope wordt normaal gesproken met 5 tot 10 zinnen omschreven en dit is ook de tekst die op het ISO27001 certificaat zal worden afgedrukt. De scope bepaalt daarmee ook de begrenzingen. Wat buiten deze scope valt wordt niet meegenomen. Uiteraard is het noodzakelijk dat de scope aansluit bij de business / dienstverlening die je uitvoert voor je klantenkring.

Risico analyse

Op basis van de scope bepaal je welke assets of processen hier onder vallen. Vervolgens voer je hier een risico analyse op uit. Wil je weten hoe een risico analyse kan worden uitgevoerd, bekijk dan mijn eerdere artikelen hierover op deze website.

Gap analyse

Nu duidelijk is welke risico’s er worden gelopen moeten er maatregelen genomen worden om de risico’s onder controle te krijgen. Vaak zijn er al diverse zaken ingeregeld in een organisatie, hier moet nu een beeld van worden gevormd. Wat is er al en als blijkt dat dit efficiënt werkt dan worden deze reeds aanwezige maatregelen opgenomen in de ISO27001. Daar waar geen maatregelen, of niet in voldoende mate, maatregelen zijn getroffen moeten deze worden ontworpen of gekozen uit de ISO27002 normering. Daarnaast moet beoordeeld worden of de onderneming moet voldoen aan wettelijke verplichtingen en welke activiteiten nodig zijn om hiermee compliant te zijn.

Maatregelen uitwerken

Bestaande maatregelen worden in deze fase waar nodig beschreven. Nieuwe maatregelen moeten worden uitgewerkt. Bedenk niet alleen een maatregel, maar denk er van te voren ook over na hoe je deze kunt controleren. Zo voorkom je dat er een maatregel wordt bedacht, waarvan later blijkt dat controle niet tegen acceptabele voorwaarden mogelijk is.

ISO27001 implementatie fase

De nieuwe maatregelen moeten in de organisatie geïmplementeerd worden. Dit is afhankelijk van de grote van de organisatie meestal de fase die de meeste tijd in beslag gaat nemen.

ISMS opstellen

In een eerder artikel op deze site heb ik uitgelegd wat een ISMS is. In deze fase zorg je dat alle documentatie op orde komt, dat je de verplichte documenten die de norm voorschrijft beschikbaar hebt. Verder stel je het controle plan op dat je gaat uitvoeren om de borging en effectiviteit van de maatregelen te controleren. Daarnaast worden de rapportage lijnen uitgezet. Deze fase kan parallel lopen aan de ISO27001 implementatie fase.

Proefdraaien

Om tijdens de ISO27001 audit te kunnen laten zien dat hetgeen geïmplementeerd is ook daadwerkelijk functioneert in de praktijk moet er minimaal 3 maanden zijn gewerkt volgens het ISMS. Dit levert bewijs op waarmee de ISO27001 auditor kan beoordelen of hetgeen je beschrijft ook daadwerkelijk functioneert in de praktijk.

ISO27001 audit

De eerste ISO27001 audit zal bestaan uit twee delen. Tijdens het eerste deel wordt de documentatie onderzocht. Er wordt bijvoorbeeld beoordeeld of de scope toereikend is, of alle verplichte documenten aanwezig zijn en of bepaalde verplichte onderdelen zoals een ISMS review en uitvoering van een risico analyse hebben plaatsgevonden.

Het tweede deel van de audit bestaat grotendeels uit interviews door de auditor met de medewerkers van de onderneming. Dit gaat van management tot systeembeheerder. Tijdens deze gesprekken zal de auditor ook bewijs vragen die de beweringen moeten ondersteunen.

Het eindresultaat zal vervolgens hopelijk een geslaagde ISO27001 implementatie zijn.


Comments are closed.