Checklist ISO 27001: maak je bedrijf toekomstproof

23 november 2023

Als ambitieuze organisatie sta je voor professionaliteit. Informatiebeveiliging speelt daarbij een cruciale rol. Het gevaar van datalekken en cyberaanvallen ligt altijd op de loer. En steeds meer opdrachtgevers eisen dat je voldoet aan de strengste eisen. Hoe toon je dat aan? ISO 27001 is de internationale norm voor informatiebeveiliging. Door je te certificeren, laat je zien dat je organisatie informatiebeveiliging de hoogste prioriteit geeft. Implementeer ISO 27001 nu en bereid je succesvol voor op certificering. Met deze onmisbare Checklist ISO 27001 maak je je organisatie toekomstproof.

Inhoud

  1. Wat is ISO 27001?
  2. ISO 27001 in 5 stappen
  3. Kosten en tijdsbestek
  4. Maak je organisatie toekomstproof

Wat is ISO 27001?

ISO 27001 is een internationale standaard voor informatiebeveiliging. De norm biedt een raamwerk voor het omgaan met vertrouwelijke informatie. Het raamwerk helpt organisaties om hun informatie te beschermen tegen ongeoorloofde toegang, onveilige werkprocessen, online aanvallen en meer.

Dit zijn grote voordelen van werken volgens ISO 27001:

  • Verklein de kans op datalekken en cyberaanvallen.
  • Verbeter de reputatie van je organisatie.
  • Voldoe aan strenge eisen van aanbestedingstrajecten.

Certificering met ISO 27001 laat zien dat je als organisatie serieus omgaat met informatiebeveiliging. Bij veel aanbestedingstrajecten is certificering een must, of wordt het dat. Voldoe je niet aan de eisen van opdrachtgevers? Dan kost je dat klanten.

ISO 27001 certificering in 5 stappen

Met ISO 27001 verklein je de kans op beveiligingsincidenten, verbeter je je reputatie en win je sneller aanbestedingen. Voor je certificering moet je eerst een audit succesvol doorlopen. Een onafhankelijke certificerende instelling voert deze uit. Bereid je voor op de audit, met deze ISO 27001 Checklist. Houd er rekening mee dat je voorafgaand aan deze checklist een nulmeting van je organisatie uitvoert.

Eerst delen we het stappenplan. Daarna werken we de stappen uit, met praktische voorbeelden.

  • Stap 1. Bepaal de scope van de certificering.
  • Stap 2. Bepaal de kernprocessen van je organisatie.
  • Stap 3. Identificeer de belangrijkste risico's op het gebied van informatiebeveiliging.
  • Stap 4. Breng genomen maatregelen in kaart.
  • Stap 5. Voer periodieke controles uit en zorg dat het systeem soepel draait.

Stap 1. Bepaal de scope van de certificering

Voordat je kunt beginnen met het certificeringsproces, moet je bepalen welke informatie en systemen je wilt certificeren. Dit is de zogenaamde scope van de certificering. De scope verschilt per organisatie. Daarom geven we een voorbeeld van een ziekenhuis en een bank.

Voor een ziekenhuis kan de scope er als volgt uitzien:

Informatie:

  • Patiëntengegevens, waaronder medische dossiers, persoonlijke gegevens en financiële gegevens
  • Gegevens over personeel, waaronder salarisgegevens en opleidingsgegevens
  • Gegevens over apparatuur en systemen

Systemen:

  • Patiënteninformatiesysteem
  • Personeelsinformatiesysteem
  • Financieel informatiesysteem
  • IT-infrastructuur

Voor een bank kan de scope er als volgt uitzien:

Informatie:

  • Klantgegevens, waaronder persoonsgegevens, financiële gegevens en transactiegegevens
  • Medewerkersgegevens, waaronder salarisgegevens en opleidingsgegevens
  • Gebruiksgegevens, waaronder documenten, e-mail en interne communicatie

Systemen:

  • Klantinformatiesysteem
  • Financieel informatiesysteem
  • Interne applicaties, waaronder HR-systeem, CRM-systeem en ERP-systeem
  • IT-infrastructuur, waaronder servers, netwerken en apparatuur

De uiteindelijke omvang van de certificering hangt af van de specifieke behoeften van de organisatie.

Een ziekenhuis kan ervoor kiezen alleen de informatie en systemen te certificeren die relevant zijn voor de zorgverlening. Zoals patiëntendossiers en medische apparatuur.

Een bank kan ervoor kiezen alleen de informatie en systemen te certificeren die relevant zijn voor zijn dienstverlening. Bijvoorbeeld bankrekeninggegevens en betaalsystemen.

Checklist stap 1

  1. Breng alle informatie en systemen binnen je organisatie in kaart.
  2. Identificeer de informatie en systemen die essentieel zijn voor je bedrijfsvoering.
  3. Beslis welke informatie en systemen je wilt laten certificeren.

 

Stap 2. Bepaal de kernprocessen van de organisatie

Kernprocessen zijn de belangrijkste processen binnen een organisatie. Ze zijn essentieel voor de bedrijfsvoering en leveren een belangrijke bijdrage aan de doelstellingen.

De kernprocessen van een organisatie zijn vaak:

  • Processen die waarde creëren voor klanten of gebruikers
  • Processen die een belangrijke rol spelen in de strategie van de organisatie
  • Processen die een aanzienlijke impact hebben op de financiële resultaten van de organisatie

Bij het beveiligen van informatie wil je je richten op deze processen. Ze zijn cruciaal om de bedrijfsvoering en continuïteit te waarborgen.

Breng kernprocessen in kaart met process mapping en interviews

De kernprocessen van een organisatie kun je op verschillende manieren bepalen. Veel gebruikte methodes zijn process mapping en interviews met betrokkenen.

Het bepalen van de kernprocessen is een belangrijke stap in het certificeringsproces voor ISO 27001. Door processen te identificeren kun je je richten op de informatie en systemen die onmisbaar zijn voor de bedrijfsvoering.

Dit zijn 3 voorbeelden van kernprocessen bij een ziekenhuis

  • Alle zorg die het ziekenhuis biedt aan patiënten.
  • Financiële middelen. Ze zijn essentieel voor het voortbestaan van een ziekenhuis.
  • Personeel. Werven, aannemen en opleiden van medewerkers is onmisbaar voor het uitvoeren van de andere kernprocessen.

Bij een verzekeraar zijn dit 3 voorbeelden van kernprocessen:

  • Verkoop en administratie van verzekeringen.
  • Beheer van de financiële middelen.
  • Behandeling van claims van klanten.

Checklist stap 2

  1. Breng alle processen binnen je organisatie in kaart.
  2. Analyseer de processen op basis van criteria als waardecreatie, strategische relevantie en financiële impact.
  3. Overleg met de leidinggevenden van je organisatie.
  4. Bepaal met elkaar de kernprocessen. Dit zijn de ‘kroonjuwelen’ van je organisatie.

Stap 3. Identificeer de belangrijkste risico's op het gebied van informatiebeveiliging

Door de belangrijkste risico's in kaart te brengen kun je je concentreren op de bedreigingen die het grootst zijn voor je organisatie.

Je kunt de belangrijkste risico's op verschillende manieren identificeren. Een veelgebruikte methode is het uitvoeren van een risicoanalyse. Daarbij zet je alle bedreigingen op een rij en evalueer je ze op basis van hun impact en waarschijnlijkheid.

De impact van een risico is de mogelijke schade die het risico kan veroorzaken. De waarschijnlijkheid is de kans dat het risico zich voordoet. Een risicoanalyse kun je uitvoeren met een team experts of door een extern bedrijf.

Bij een ziekenhuis zijn dit voorbeelden van belangrijke risico’s:

  • Ongeoorloofde toegang tot patiëntengegevens.
  • Diefstal van patiëntengegevens.

Dit zijn voorbeelden van risico’s bij een financiële dienstverlener:

  • Ongeoorloofde toegang tot klantgegevens.
  • Diefstal van klantgegevens.

De genoemde voorbeelden kunnen leiden tot identiteitsdiefstal, fraude en financiële schade.

Checklist stap 3

  1. Identificeer risico's en de mogelijke schade die dit veroorzaakt.
  2. Kies een inventarisatie-methode die geschikt is voor jouw organisatie.
  3. Betrek de juiste mensen, van verschillende afdelingen voor een goed beeld.
  4. Wees realistisch. Houd echt rekening met de middelen en mogelijkheden van de organisatie.

Stap 4. Implementeer beheersmaatregelen om risico’s te reduceren

Nadat je in de vorige stap de risico’s hebt geïdentificeerd is het tijd om passende maatregelen te koppelen aan deze risico’s om deze te reduceren. De ISO 27002 (Annex A) geeft een overzicht van alle beheersmaatregelen.

Bij een ziekenhuis zijn dit voorbeelden van genomen maatregelen:

  • Het installeren van een firewall om onbevoegde toegang tot het ziekenhuisnetwerk te voorkomen.
  • Het beperken van de toegang tot patiëntgegevens tot medisch personeel.
  • Het opstellen van ISO 27001-beleid dat de verantwoordelijkheden voor informatiebeveiliging vastlegt.

Bij een financiële dienstverlener ontbreken verschillende maatregelen:

  • Er is geen geavanceerd beveiligingssysteem dat cyberaanvallen detecteert en voorkomt.
  • Medewerkers krijgen onvoldoende training over informatiebeveiliging.
  • Een proces voor het beheren van toegangsrechten tot informatiesystemen ontbreekt.

Checklist stap 4

  1. Inventariseer alle informatiesystemen en informatie die je organisatie gebruikt. Zo kun je beter bepalen welke maatregelen nodig zijn om de informatie te beveiligen.
  2. Identificeer alle mogelijke risico's op het gebied van informatiebeveiliging.
  3. Verzamel informatie over de huidige maatregelen die je organisatie al heeft genomen. Dit kan met interviews, audits of documentenonderzoek.
  4. Documenteer de genomen maatregelen.

Stap 5. Voer periodieke controles uit en zorg dat het systeem altijd soepel draait

Het Information Security Management System is een management systeem waarbij de PDCA cyclus centraal staat (Plan, Do, Check, Act). Door regelmatig controles uit te voeren, zorg je ervoor dat het informatiebeveiligingssysteem up-to-date en effectief blijft.

Als organisatie moet je verschillende controles uitvoeren, zoals interne audits, externe audits en assessments.

Door periodieke controles uit te voeren, zorg je ervoor dat het informatiebeveiligingssysteem:

  • Voldoet en blijft voldoen aan de eisen van ISO 27001.
  • Voldoet aan de wettelijke vereisten.
  • Informatie effectief beschermt

Voor het uitvoeren van de controles is het belangrijk dat je alle belanghebbenden betrekt bij het proces. Kies daarnaast voor een gestructureerde aanpak en documenteer de bevindingen.

Voorbeelden van periodieke controles bij een ziekenhuis:

  • Effectiviteit van de geïmplementeerde beheersmaatregelen
  • Opgestelde jaardoestellingen en KPI’s op het gebied van informatiebeveiliging
  • Aantal informatiebeveiligingsincidenten
  • Controle van de firewalls en het weren van ongewenste bezoekers.
  • Controle van wachtwoorden voor toegang tot patiëntgegevens.
  • Controle van de fysieke beveiliging van het ziekenhuis, zoals toegangscontrole en camerabewaking.

Voorbeelden bij een financiële dienstverlener:

  • Controle van de gebruikte systemen voor het verwerken van financiële transacties
  • Controle of systemen voldoen aan de wettelijke vereisten
  • Controle van toegangsprocedures voor het beheer financiële informatie.

Checklist stap 5

  1. Bepaal het doel van de controle. Wat wil je met de controle bereiken?
  2. Kies de juiste controles. Welke controles zijn geschikt om het doel van de controle te bereiken?
  3. Plan de controle. Wanneer en hoe voer je de controle uit?
  4. Voer de controle uit. Volg het plan en verzamel de benodigde informatie.
  5. Documenteer de bevindingen. Wat zijn de resultaten van de controle?

Kosten en tijdsbestek

De totale kosten van ISO 27001 certificering zijn afhankelijk van diverse factoren, zoals de grootte en expertise van de organisatie en de complexiteit van de verwerkte informatie.

In het algemeen kun je de kosten voor ISO 27001 certificering onderverdelen in 2 categorieën:

  1. Interne kosten. Dit zijn de kosten die de organisatie zelf maakt, zoals de kosten voor personeel, materialen en diensten.
  2. Externe kosten. Dit zijn de kosten die de organisatie maakt voor externe diensten, zoals de kosten voor een certificeringsbureau en een consultant.

De interne kosten voor ISO 27001 certificering zijn in het algemeen hoger voor grotere organisaties met complexe processen. De externe kosten voor ISO 27001 certificering zijn afhankelijk van de expertise van de organisatie. Bij organisaties die weinig ervaring hebben met informatiebeveiliging liggen die vanzelfsprekend hoger. De totale tijdsbesteding voor de certificering hangt ook weer af van het type organisatie. In het algemeen duurt ISO 27001 certificering tussen de zes en twaalf maanden.

Begin nu met ISO 27001 en maak je organisatie toekomstproof

ISO 27001 is de internationale norm voor informatiebeveiliging. Door je te certificeren, toon je aan dat je organisatie voldoet aan de hoogste normen voor informatiebeveiliging. Dit is essentieel in een wereld waarin datalekken en cyberaanvallen steeds vaker voorkomen.

Begin nu met de voorbereidingen voor een ISO 27001 certificering en maak je organisatie toekomstproof. Deze checklist is daarvoor het perfecte startpunt.

 

Meer weten?

Wil je een veilige en betrouwbare IT-omgeving? Neem contact op voor meer informatie. We staan klaar om je te helpen! 

Arie van Boxsel

Security specialist

Neem contact op:

Arie van Boxsel

Security specialist