ZBC Kennisbank

Architectuur en aanpak ISO 27001

 

Laatst was ik bij een bedrijf, waar de directeur me vroeg om kort uiteen te zetten hoe ISO 27001 eigenlijk in elkaar zit. Dat heb ik gedaan door op een whiteboard een plaatje op te bouwen. Aan de hand daarvan gaf ik mijn uitleg.

Pas achteraf realiseerde ik me dat ik ISO 27001 gevangen had in één plaatje. Waarschijnlijk is dit ook voor u interessant. Daarom in dit artikel het plaatje en de uitleg, die we graag met u delen. Natuurlijk geven we hierbij ook aan op welke manier we de uitvoering ondersteunen met onze sjablonen en voorbeelddocumenten. Die praktische informatie stellen we beschikbaar in onze coachingstrajecten voor organisaties en bij onze cursus over informatiebeveiliging.
Inmiddels hebben we verschillende audits meegemaakt. Voor diverse auditors was het plaatje net te kort door de bocht. Daarom zijn nu, om problemen tijdens audits te vermijden, in het plaatje  een paar tussenstapjes ingebouwd, wat geleid heeft tot een verbeterde versie.

Bepalen van de scope en het beleid

De ISO norm schijft voor, dat de context van de organisatie en de bedrijfsrisico’s in kaart gebracht moeten worden om de scope van de verschillende managementsysteemsystemen te kunnen bepalen. Dit bepalen van de context van de organisatie en de bedrijfsrisico’s is generiek en  kan gebruikt worden in alle andere managementsystemen, zoals ISO 9001. 
Wanneer u de context van de organisatie en de bedrijfsrisico’s hebt bepaald, kunt u vervolgens de scope voor uw  IB management systeem scherp afbakenen. Hierdoor zal informatiebeveiliging niet belastend worden voor bedrijfsprocessen waarvoor het niet van belang is. 

Dia1a   

Voor de beschrijving van de context, de stakeholder analyse en de business risk assessment gebruiken we sjablonen die voorzien zijn van hulpmiddelen en checklists. De checklists zijn geen theoretische opsommingen van alle mogelijkheden, maar bevatten de punten die in de praktijk vaak voorkomen. Hierdoor worden theoretische discussies en keuzestress voorkomen. Alle essentiële zaken worden met behulp van de checklists kort beschreven en vervolgens vastgelegd in één standaarddocument.

De doelstellingen en ambities worden vertaald naar beleid en de scope en de bedrijfsrisico’s worden via IB-doelstellingen vertaald naar IB-risico’s, IB-doelstellingen en beleidsuitgangspunten, die vervolgens bepalend zijn voor het kiezen van maatregelen om de informatiebeveiliging gestalte te geven. (Zie ook ‘Business case als maatregel informatiebeveiliging’.)

architectuur_aanpak_ISO27001 (6)

Ook hiervoor zijn sjablonen en een checklist met 25 in de praktijk veel gebruikte beleidsuitgangspunten beschikbaar. Ze vormen de basis voor een pragmatische aanpak. (Zie ook ‘Informatiebeveiliging is helemaal niet zo moeilijk’.) Van belang is dat de beleidsuitgangspunten niet alleen beschrijven wat de directie wel wil, maar vooral ook wat de directie niet wil. Het gaat tenslotte om het afdekken van bedrijfsrisico’s. Tot dit punt participeert een directielid nadrukkelijk in het traject.

Kiezen en waarderen van maatregelen

Wanneer de beleidsuitgangspunten eenmaal zijn gekozen, kan er worden ingezoomd op de doelen en maatregelen voor informatiebeveiliging, die ISO 27001 in Appendix A aanreikt.
Voldoen aan ISO 9001 betekent twee dingen:

  • De organisatie is in control.
  • De organisatie heeft een continu verbeterproces geïmplementeerd.

Dat de organisatie in control is, betekent dat bij het afdekken van de bedrijfsrisico’s de lat zo hoog ligt, dat de  organisatie er altijd overheen kan springen, ook in geval van veranderingen en afwijkingen; en hoe hoog dat is, bepaalt de organisatie zelf. Gebruikelijk is, dat een organisatie de lat ongeveer op het niveau legt van wat zij nu al aan kan. Dan is het zeker dat zij ook werkelijk altijd over die lat heen  springt. Aantoonbaarheid speelt hierbij een belangrijke rol. Vooral de ICT-afdeling heeft hier doorgaans moeite mee. Zij is sterk oplossingsgericht en dus ook vaak gericht op het implementeren van technische maatregelen. Wanneer echter de vraag gesteld wordt of ze kan aantonen, dat er geen inbreuken plaatsvinden, dan wordt het vaak heel stil. (Zie ook ‘Techneut en gebruiker snappen beiden niet hoe informatiebeveiliging werkt’.) Het is dan ook niet aan te bevelen om een pure ICT’er aan te wijzen als Security Officer.
Met de doelen die in de ISO 27001 genoemd worden, kan geen weldenkend mens het oneens zijn. Die doelen worden dus overgenomen. Voor de maatregelen geldt dit niet. ISO 27001 reikt een waaier aan maatregelen aan, die elk afzonderlijk vaak gericht zijn op één aspect (technisch, organisatorisch, fysiek, personeel of juridisch). In veel gevallen is het niet nodig om informatie te beveiligen op al deze aspecten. Op grond van de bedrijfsrisico’s en de scope, die verwoord zijn in de beleidsuitgangspunten, wordt iedere beheersmaatregel uit ISO 27001 tegen het licht gehouden en het belang van de maatregel wordt bepaald (met een referentie naar de relevante beleidsuitgangspunten). Vervolgens wordt beschreven hoe de beveiliging nu is ingevuld (de huidige situatie)  en wordt aangegeven  welke tekortkomingen er in de komende drie jaar (de scope van een ISO-traject) opgelost moeten worden, vanwege maatregelen die er niet zijn of maatregelen die niet werken. (Zie ook ‘Pragmatische aanpak informatiebeveiliging‘).

architectuur_aanpak_ISO27001 (5)

Dit geheel wordt in één sjabloon vastgelegd. Daarin zit in feite al het denkwerk dat nodig is om te voldoen aan de eisen van ISO 27001. Uiteraard moet dit nog verder uitgewerkt worden.
Bij de sessies om het sjabloon in te vullen zullen ook andere medewerkers uit de organisatie geraadpleegd moeten worden. En ik zeg bewust geraadpleegd, want als iedereen die mogelijk een specifieke bijdrage kan leveren mee gaat praten over alle beheersmaatregelen, dan wordt dit een zeer tijdrovend proces.

Uitwerking van deze sjabloon

Zoals gezegd is de uitwerking van de sjabloon eigenlijk een kwestie van techniek. Er wordt een verklaring van toepasselijkheid opgesteld, waarin kort wordt aangegeven waarom een maatregel wel of niet toepasselijk is. De huidige situatie wordt vertaald naar de interne norm (die vaak een bredere scope heeft dan de scope van de ISO 27001-certificatie). De tekortkomingen worden vertaald naar risico’s (waarom is dit erg), te treffen maatregelen en een verbeterplan met een scope van 3 jaar.

architectuur_aanpak_ISO27001 (4)

Uiteraard zijn ook hier weer sjablonen voor beschikbaar.

De begeleidingstrajecten van ZBC lopen doorgaans tot dit punt. Het managementsysteem staat nu op papier en het is vervolgens de verantwoordelijkheid van de organisatie om te laten zien, dat dit werkend gemaakt kan worden. Zie ook ‘Informatiebeveiliging invullen volgens ISO 27001 kunt u beter zelf doen’. Uiteraard is ZBC bereid om ook het vervolg te ondersteunen. Dat is echter niet standaard en wordt veelal beperkt tot alleen ‘training on the job’ (bijvoorbeeld bij het voor de eerste keer uitvoeren van de interne audit).

Implementatie IB management systeem

De meeste acties uit het verbeterplan zullen uitgevoerd worden na de certificeringsactie. Uitzondering hierop zijn de acties die nodig zijn om het managementsysteem te laten werken, dus acties die nodig zijn om in control te zijn. Belangrijk zijn dan  vooral de procedures om ook bij incidenten en veranderingen in control te blijven.

architectuur_aanpak_ISO27001 (3)

Hiertoe worden incidenten beoordeeld en op grond hiervan worden verbetervoorstellen gedefinieerd.  Als deze de informatiebeveiliging betreffen, worden ze opgenomen in het verbeterplan voor ISO 27001. Voorstellen voor kwaliteitsverbetering komen terecht in het ISO 9001 verbeterplan. Deze procedures dienen generiek te zijn en moeten kunnen worden toegepast bij ieder incident dat de organisatie treft en bij iedere verandering die de organisatie wil. Uiteraard zijn voor deze procedures meerdere voorbeelddocumenten beschikbaar.
Verder zal het vaak nodig zijn om contracten met klanten en toeleveranciers aan te passen om werkelijk in control te komen en te blijven. Dit hoeft echter pas na de audit te worden gedaan. Wel is er nog een aantal documenten verlicht, om aan te tonen dat de organisatie in control is. Deze documenten gaan onder andere over documentbeheer, beheer van de kwalificaties van medewerkers en betreffen een set van gedragsregels (bijvoorbeeld een geheimhoudingsverklaring en een document over de omgang met bedrijfsmiddelen). Maar dat is geen rocket science. Zo nodig heeft ZBC hiervoor ook voorbeelddocumenten beschikbaar.

Interne audit

De interne audit is gericht op de toetsing van de werking van het IB management systeem. (Zie ook ‘Interne audit belangrijker dan externe audit bij ISO 9001, ISO 27001 en NEN 7510‘).

architectuur_aanpak_ISO27001 (2)

Natuurlijk zullen er tijdens de audit tekortkomingen aan het licht komen. Dat is niet erg, want er is al beschreven hoe gecontroleerd omgegaan wordt met incidenten. Wat wel erg is, als straks de externe auditor belangrijke tekortkomingen vaststelt, die u zelf niet geconstateerd heeft. Want dat betekent, dat u op een belangrijk punt niet in control bent. Dus vraag tijdens de interne audit aan  medewerkers die geïnterviewd worden, om vooral te helpen dit risico te vermijden.

Planning inspanning van een dergelijk traject

ZBC heeft het in dit artikel beschreven traject in de afgelopen 12 maanden ruim 20 keer uitgevoerd en op basis van die ervaring komt ZBC tot de volgende inspanning en planning.
Het bepalen van de bedrijfsrisco’s, de scope en het beleid en het opzetten van het IB management systeem leidend tot een interne norm en een verbeterplan kunnen in organisaties met 3-100 medewerkers met deze pragmatische aanpak en het gebruik van de sjablonen en voorbeelddocumenten in 5 sessies van een dagdeel. Vrijwel iedere sessie levert huiswerk op en dit moet geschat worden op gemiddeld ook een dagdeel per sessie.
Als we uitgaan van één sessie per week (er zijn immers in de organisatie ook andere dingen dan informatiebeveiliging van belang), dan is de doorlooptijd van deze fase 5 weken voor de PLAN-fase. Voor grotere organisaties moet vaak wat meer worden gerekend.
Voor de implementatie en de toepassing van de maatregelen die nodig zijn voor het laten werken van het management systeem (DO-fase) moet ook gerekend worden op ca. een maand.
Vervolgens wordt de interne audit gedaan in 1-2 weken en moet  voor de externe audit 2-4 weken  doorlooptijd gerekend worden. Een doorlooptijd van 3-4 maanden voor het geheel is meestal realistisch. (Zie ‘Binnen drie maanden een ISO 27001 certificaat halen’.)
Uiteraard zal wel eerst de vraag beantwoord moeten worden of u een ISO 27001 certificaat wilt hebben. Overwegingen voor dienstverleners vindt u in het artikel ‘Moet ik als dienstverlener een ISO 27001 certificaat hebben’.

ZBC helpt organisaties via coaching of cursussen om hun informatiebeveiliging conform ISO 27001 te verbeteren en desgewenst daarvoor gecertificeerd te worden.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 2 april 2016


2 Responses to “Architectuur en aanpak ISO 27001”

  1. Tom van Ruitenbeek schreef:

    Goedemorgen,

    In dit artikel gaat het over sjablonen die voorzien zijn van hulpmiddelen en checklists (zie het onderwerp: ‘Bepalen van de scope en het beleid’). Welke checklists zijn dit en waar kan ik deze vinden? Hetzelfde geldt voor de tekst een stukje verder in dit onderwerp: ‘Ook hiervoor zijn sjablonen en een checklist met 25 in de praktijk veel gebruikte beleidsuitgangspunten beschikbaar’.

    Met vriendelijke groet,

    Tom van Ruitenbeek

    • Tom van Ruitenbeek schreef:

      Nogmaals een goedemorgen,

      Ook de voorbeelddocumenten die benoemd worden hebben mijn aandacht getrokken. Als u mij daarmee zou kunnen helpen, hoor ik dat graag. U kunt mij ook benaderen via mijn e-mailadres.

      Met vriendelijke groet,

      Tom van Ruitenbeek

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *