Is bij informatiebeveiliging ISO 27001 noodzakelijk?
1. Inleiding
Het nieuwe kapitaal is informatie. De nieuwe economie is bij uitstek een informatie-economie. De smartphones en apps zijn niet meer weg te denken uit ons dagelijks leven. Organisaties die zich bezig houden met informatie verzamelen en delen zijn levensgroot geworden en hebben een grote invloed op ons dagelijks leven. Denk aan Apple, Google, Facebook , Twitter e.d.
Dat vereist een andere invalshoek. Wij willen en kunnen niet alle informatie tot ons nemen maar ook willen wij onze informatie niet ongebreideld delen. Veel informatie is bestempeld als vertrouwelijk. Klanten en patiënten die organisaties informatie verstrekken, willen niet dat deze informatie met anderen gedeeld worden. Informatie heeft ‘waarde’ gekregen. Alles wat waarde heeft trekt ook criminaliteit aan. Cybercriminaliteit.
Een klant of een overheidsorgaan wil zeker weten dat er zorgvuldig met informatie wordt omgegaan en dat deze geborgd is binnen de organisatie. Daar is een ISO 27001 een aangewezen instrument voor.
2. Relatie ISO 27001 tot de HLS- structuur
De HLS structuur.
‘Plug in’
3. Algemene kenmerken ISO-managementsystemen
Alle ISO systemen, dus ook de 27001 zijn geënt op de volgende basisgedachten:
Bepaal je visie en missie
- Vertaal dat in beleidsdoelstellingen
- Maak deze doelstelling SMART (specifiek, meetbaar acceptabel, resultaatgericht, tijdgebonden)
- Formuleer KPI’s (kritische prestatie-indicatoren)
Schadebeheersing
- Bepaal je risico’s
- Bepaal wat het betekent voor de organisatie als een calamiteit zich voordoet
- Zorg voor een controlemechanisme (organisatiestructuur / techniek)
- Bouw controlemomenten in (audits, werkplekinspecties, overlegstructuur, onderhoud en beste techniek)
Voldoen aan wet- en regelgeving
- Ken de voor jou organisatie wettelijke eisen
- Ken de branchespecifieke eisen
- Ken overige normen en richtlijnen waar de organisatie of de brancheorganisatie zich aan heeft geconformeerd.
4. Specifieke kenmerken ISO 27001
Een ISMS is een systematische benadering voor beheersing van gevoelige bedrijfsinformatie opdat deze informatie gewaarborgd is. Een risk-managementsysteem beheerst:
- mensen
- processen
- IT systemen
Niet alleen de systemen worden beoordeeld, maar ook de werkprocessen en procedures en bovenal de competenties en verantwoordelijkheidsbesef van de medewerkers.
4.1 Mensen en processen
Om te borgen dat de medewerkers doen wat er van hun verwacht wordt en te zorgen dat de processen duidelijk en transparant zijn, moet de organisatie nadenken over de invulling van de navolgende checklist:
4.1.1 Beveiligingsbeleid
- Procedure voor Beheersing van Documenten en Registraties
- Procedure voor Identificatie van Eisen
- Veiligheidsprogramma en procedures voor leidinggevenden
- Informatiebeveiligingsbeleid
- Geheimhoudingsverklaringen
- Verklaring van Goedkeuring van ISMS -documenten
4.1.2 Organisatiebeleid
- Document Toepassingsgebied ISMS
- Organogram
- Netwerk en server-architectuur diagram
- Lijst van Wet- , Regelgeving, Contractuele en Andere Verplichtingen
- Pr-beleid dat rekening houd met informatiegevoeligheid
- Gedocumenteerde Directie Beoordelingen
- Procedure voor Corrigerende Maatregel
4.1.3 HRM-beleid
- Bepalen van functieomschrijvingen met taken, verantwoordelijkheden en bevoegdheden
- Vastlegging informatieoverdracht nieuwe medewerkers
- Plan voor Training en Bewustwording
4.2 Risicomanagement
Om te bepalen welke risico’s de organisatie heeft zij een Information Security Assesment & Treatment Plan. In dit plan geeft zij aan hoe zij denkt daar invulling te geven aan middels een:
- Tabel voor Risicobeoordeling
- Tabel voor Risicobehandeling
- Rapport van de Risicobeoordeling en Risicobehandeling
- Methodologie voor Risicobeoordeling en Risicobehandeling
- Plan voor Risicobehandeling
- Plan hoe de organisatie in de lucht te houden indien er sprake is van een calamiteit
Een uitstekend instrument om de risico’s en gevolgen inzichtelijk te maken is de Bow Tie methodiek:
Bow Tie (CGE Risk Management Solutions)
4.3 IT-systemen
Uiteraard moeten de IT-systemen op een dusdanig peil beveiligd zijn dat er geen lekken zijn en niet zomaar de informatie gehackt kan worden. De organisatie moet antwoorden en maatregelen treffen op de volgende vraagstukken:
- Beleid voor Bring Your Own Device (BYOD)
- Beleid voor Draagbare Apparatuur en Telewerken
- Analyse en scanmiddelen voor de IT-ondersteuning
- Goedgekeurd gebruik van software
- Inventarisatie van bedrijfsmiddelen
- Beleid voor Aanvaardbaar gebruik
- Beleid voor Geclassificeerde Informatie
- Toegangsbeleid
- Wachtwoordenbeleid
- Beleid Gebruik Cryptografische Beheersmaatregelen
- Clear Desk en Clear Screen Beleid
- Beleid voor Verwijdering en Vernietiging
- Procedures voor Werken in Beveiligde Ruimtes
- Bedieningsprocedures voor Beheersing van de Informatie en Communicatie Technologie
- Beleid voor Wijzigingsbeheer
- Beleid voor Back-up
- Beleid voor informatieoverdracht
- Beleid voor Beveiligde Ontwikkeling
- Beveiligingsbeleid Leverancier
- Beveiligingsclausules voor Leveranciers en Partners
- Procedure voor Incidentbeheer
- Incidentenlogboek
5. Opvolging
Om er zorg voor te dragen dat al deze punten die getackeld of geborgd moeten worden, geen papieren tijger wordt, zal er een auditprogramma moeten zijn die ook toetst of de organisatie haar beleid en maatregelen ook waar maakt.
- Procedure voor Interne Audit
- Jaarlijkse Interne Auditprogramma
- Rapport voor Interne Audit
- Checklist Interne Audit
6. PDCA- Cirkel
Een kenmerk van de ISO is dat er een voortdurend patroon van verbetering moet zijn. Een managementsysteem is een dynamisch proces.
De bevindingen uit de controlemomenten zoals: waarden uit je KPI’s , audits, werkplekinspecties, overlegstructuur, onderhoud en onderzoek naar de beste techniek, verandering in wet- en regelgeving zullen ongetwijfeld leiden tot bijsturen en wellicht zelfs herdefiniëren van de missie en visie van de organisatie.
De informatie moet wel tijdig en op de juiste plaats in de organisatie terechtkomen wil zij daarop kunnen sturen.
De combinatie met ISO 9001 is erg aan te bevelen. De 9001 heeft veel meer betrekking op procesverbetering en kwaliteitsbeheersing. Organisaties die aantoonbaar kwaliteit en informatie-veiligheid willen garanderen kiezen voor de combinatie.
7. Papier is geduldig
Je kunt nog zoveel mooie woorden wijden aan een (digitaal) handboek ISO 27001, maar het gaat natuurlijk om de praktijk. Naast de vastlegging in beleid en procedures moeten de IT-systemen ook daadwerkelijk beproefd worden. Dat moet dan ook aantoonbaar worden vastgelegd. Hoe vaak dat moet gebeuren heeft te maken met de gevoeligheid van de informatie. Een bank of een ziekenhuis zal een cyberaanval moeten kunnen weerstaan. Kun je dat niet aan, dan gaat de organisatie roemloos ten onder. Een bekend voorbeeld is Diginotar. Tot 2011 voor vrijwel iedere Nederlander een begrip totdat……….
8. Hulp nodig?
Ik kan je helpen met:
- het opstellen van het digitale handboek ISO 27001,
- of het opstellen van de combinatie ISO 27001 en ISO 9001 ,
- het opstellen van processen en procedures,
- in kaart brengen van de risico’s ,
- optuigen van een auditapparaat,
- daarnaast werk ik samen met partners zoals een advocaat gespecialiseerd in IT-recht en intellectuele eigendom en een IT-bedrijf gespecialiseerd in informatiebeveiliging.
Publicaties van dezelfde auteur: