Op weg naar ISO 27001 certificering is het een uitdaging om voor uw organisatie een juiste en praktische werkwijze te vinden om een passend informatiebeveiligingssysteem op te zetten. Een praktische werkwijze betekent dat het vooral geen onoverzichtelijke papieren rompslomp wordt. Hoe documenteert u uw beleid op een praktische en passende manier? Wij helpen u middels deze blog op weg.
Deze blog in anderhalve minuut:
Documentatie vereisten ISO 27001
In de ISO 27001 norm wordt beschreven hoe u procesmatig uw informatie kunt beveiligen. Hiermee stelt u de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen uw organisatie zeker. De ISO 27001 norm stelt dat er bepaalde informatie van het managementsysteem “als gedocumenteerde informatie beschikbaar” moet zijn en dat de organisatie gedocumenteerde informatie moet onderhouden. Daarnaast stelt de norm dat u gedocumenteerde informatie moet bijhouden. Wat wordt hiermee bedoeld?
Dit zijn de documenten die het functioneren van het managementsysteem voor informatiebeveiliging uitleggen en ondersteunen. Middels registratie geeft u vervolgens aan dat deze informatie is bijgehouden; de bewijslast. Naast het feit dat de norm dit vereist, is het voor uzelf ook nog eens een stuk gemakkelijker om activiteiten aantoonbaar te maken, bijvoorbeeld richting een certificerende instelling.
Informatie vastleggen
De norm vereist dat u deze informatie vastlegt. Dat mag via elke gewenste methode, zolang deze voor uw organisatie geschikt is. Een handboek met procedures is een veelvoorkomende manier, maar digitale (intranet)applicaties zijn een oplossing. Denk bijvoorbeeld aan SharePoint of Google Drive. Een bijkomend voordeel van het vastleggen van informatie is dat u het kunt inzetten als communicatiemiddel m.b.t. het communiceren van de procedures naar collega’s, leveranciers en, eventueel, klanten. Het helpt u bij het creëren van eenduidigheid en transparantie binnen de organisatie. Informatiebeveiliging heeft immers effect op uw gehele organisatie. Het afdeling overstijgende karakter van informatiebeveiliging vraagt om kaders, procedures en richtlijnen op veel verschillende gebieden.
Documentatie binnen iso27001, hoe pak ik het aan?
Het documenteren van processen is een goede basis voor de analyse en verbetering van deze processen. De normenkaders toepassen binnen uw organisatie en het beleid vervolgens omzetten in leesbare documentatie, is echter wel een behoorlijke uitdaging. Hoe start u ermee, hoe weet u of het voldoende is, is alles wel even belangrijk, hoe is het werkbaar voor uw collega’s? Zo maar wat vragen die spelen binnen het proces van documentatie. Kortom, hoe zorgt u ervoor dat uw informatiebeveiligingsbeleid niet onder in een stoffige bureaulade verdwijnt, maar daadwerkelijk toegepast wordt?
Het documenteren van processen is een goede basis voor de analyse en verbetering van processen
Welke methodiek kunt u gebruiken?
1. Uitgaan van de huidige situatie
Binnen uw organisatie zijn vast al de nodige processen omschreven met betrekking tot informatiebeveiliging. Ga daarom eerst uit van de huidige documentatie en pas deze aan volgens de normkaders. Het is zonde om de ‘oude’ documentatie links te laten liggen. En zo hoeft u vaak niet opnieuw het wiel uit te vinden.
2. Stel vragen
Het stellen van de standaard vragen wat, waarom, waar, wie, wanneer en hoe, kunnen een goede leidraad geven voor het opstellen van de documentatie:
WAT : Welke informatie moet beveiligd zijn?
WAAROM : Waarom moet deze informatie beschermd worden?
WAAR : Waar staat deze informatie?
WIE : Wie is betrokken bij deze informatie?
HOE : Welke activiteiten onderneem ik daarvoor?
WANNEER Welke periode moet de informatie beschermd worden, of uit welke periode komt de informatie? Maar ook wanneer moeten de activiteiten plaatsvinden?
Door de informatie zo te classificeren en uit te schrijven, ontstaat er een duidelijk framework van documentatie.
3. Platforms voor managementsystemen en compliance tools
Er zijn diverse platforms die u kunnen helpen bij het inrichten van het ISO 27001 systeem en waarmee ook uw meteen uw documentatie op orde heeft. Het NEN heeft bijvoorbeeld een webtool managementsystemen ontwikkeld. Hiermee heeft u toegang tot ISO 27001 en ISO 27002, u kunt taken toekennen, notities maken en actielijsten exporteren. Verder zijn er gespecialiseerde compliance platforms en –tools die organisaties helpen te voldoen aan allerlei wet- en regelgeving. Een onderdeel daarvan is vaak ook het op ISO 27001 gebaseerde ISMS als ondersteunend managementsysteem.
4. Algemene platformen en document managementsystemen
Er worden steeds meer systemen gebruikt die het mogelijk maken om informatie samen te stellen, te delen en bij te houden. De meest bekende zijn de eerder genoemde Microsoft ShapePoint en Google Drive. Dat zijn echter niet de enige. Er zijn bijvoorbeeld bedrijven die zelf software ontwikkelen en zij gebruiken regelmatig een afgeleide van hun eigen software om een ISMS mee op te zetten. Vaak wordt dit gecombineerd met functionaliteit om taken te verdelen en of activiteiten te managen.
Hou houdt u documentatie hanteerbaar?
De crux van goede documentatie zit het in een goed hanteerbaar houden van informatie. Zorg ervoor dat de juiste informatie bij de juiste mensen op het netvlies komt, maar overspoel ze er vooral niet mee. Oftewel: beperk het aantal documenten tot zover kan en maak ze zo compact en leesbaar mogelijk.
Bovendien is het een aanrader om documentatie op een bepaalde manier te structureren. Door een eenvoudige identificatie van documenten zijn ze ook snel vindbaar voor de juiste collega’s. Daarvoor kunnen allerlei tips gegeven worden, maar elke organisatie heeft zijn eigen systematiek. Zorg dus dat de documentatie voor ISO 27001 past binnen systematiek van uw organisatie.
Voorkom dubbelingen van informatie. Zorg dat bepaalde instructies alleen in de benodigde instructie staan en niet ook nog in een samenvatting in het personeelshandboek of iets dergelijks. Het maken van verwijzingen kan daarbij helpen. Door versnippering van informatie kan het zijn dat bij een ge-update versie, informatie op een bepaalde plek niet wordt bijgewerkt en dat zorgt voor risico’s dat collega’s met verouderde informatie aan de slag gaan.
Stuur daarnaast de informatie alleen naar degene voor wie het van toepassing is. Hoe verleidelijk het ook is om een instructieformulier te verzenden naar een bestaande mailinglist van de hele organisatie, dit is niet verstandig. Wanneer de informatie relevant is voor de ontvanger wordt deze ook op waarde geschat en goed gelezen. Bovendien wordt zijn of haar inbox niet vervuild met nutteloze informatie.
Gestructureerd aan de slag met ISO 27001
Wanneer u op een gestructureerde wijze met ISO 27001 aan de slag gaat, legt u meteen een basis voor gestructureerde documentatie. Door middel van een stappenplan, legt u in fases uw route richting certificering af. Bovendien heeft u met een stappenplan op voorhand alvast een beeld van welke stappen u moet doorlopen voor het opstellen van een ISO 27001 systeem. In ons stappenplan voor ISO 27001 certificering geven we niet alleen een uitleg en afbakening van de onderwerpen waar u mee te maken krijgt, maar doorlopen we ook de te nemen stappen om tot certificering te komen. Onze experts delen bovendien hun waardevolle kennis om u te laten slagen.
Download het ISO 27001 Stappenplan
Onderwerpen:
Alle onderwerpen Certificeren ISO 27001 informatiebeveiliging privacywetgeving cybersecurity
