MENU

ISO 27001 stappenplanU bent verantwoordelijk voor het beschermen van gevoelige bedrijfsinformatie. Om dit doel te bereiken gaat u het ISO 27001 certificaat behalen. Dit is nog niet zo eenvoudig, want het behoeft specifieke kennis. Hoe implementeert u een managementsysteem én borgt u dat het systeem voldoet aan ISO 27001? Dit ISO 27001 stappenplan helpt u bij het uitzetten van de juiste koers naar uw eindbestemming. 

In 7 stappen naar ISO 27001 certificering: 

Iedere organisatie is anders. Misschien bent u al ISO 27001 gecertificeerd, of bevindt u zich in de beginfase; het is in beide situaties prettig om overzicht te hebben hoe de route eruit gaat zien.

U heeft veel zaken om scherp te houden als het gaat over de inrichting van informatiebeveiliging. Met behulp van deze 7 stappen kunt u regelmatig even uitzoomen om te zien waar u op dit moment staat en wat er nog moet gebeuren.

Sla geen cruciale stappen over in de route naar certificering - Download het  ISO 27001 stappenplan 

1. Richt processen in voor ISO 27001 

Uw doel is om de informatiebeveiliging op een voor u acceptabel niveau te laten verkeren. Daarom gaat u in deze stap nadenken hoe u het managementsysteem gaat opzetten. Maar ook de uiteindelijke situatie waarin het systeem functioneert.

Denk onder andere na over welke activiteiten nodig zijn om het systeem te laten functioneren, hoe u deze gaat inrichten, wie het beleid opstelt, hoe u de naleving van het beleid handhaaft, hoe u de risico’s gaat beoordelen en hoe u deze gaat behandelen

2. Leg informatie vast zoals in de ISO 27001 norm vereist 

De ISO 27001 norm stelt dat er bepaalde informatie van het managementsysteem als gedocumenteerde informatie beschikbaar moet zijn en dat de organisatie gedocumenteerde informatie moet onderhouden. Daarnaast stelt de norm dat u gedocumenteerde informatie moet bijhouden.

Zorg dat u voldoende bewijslast verzamelt - in de vorm van documentaties en registraties - over het functioneren van het managementsysteem. De bewijslast legt u vast volgens een methode naar keuze (denk aan een handboek of digitale (intranet)applicaties). 

3. Stel het informatiebeveiligingsbeleid voor ISO 27001 op

Het informatiebeveiligingsbeleid helpt u bij het varen van de koers van de organisatie, welke uiteindelijk leidt tot ISO 27001 certificering. Daarom dient het beleid altijd richtinggevend te zijn.

Het beleid omvat over het algemeen richtlijnen rondom gegevensbescherming, de maatregelen om informatiebeveiligingsrisico’s te verminderen en hoe wordt omgegaan met incidenten.

Formuleer in deze fase ook de beoogde resultaten die uw organisatie wil behalen. Dit kunt u doen door SMART doelstellingen op te stellen. Dit zorgt ervoor dat u achteraf kunt meten of de doelstellingen zijn behaald. Bovendien staat er in de ISO 27001 norm dat doelstellingen meetbaar moeten zijn waar dit praktisch uitvoerbaar is.

4. Stel methoden en maatregelen vast voor ISO 27001

Om de doelstellingen omtrent informatiebeveiliging te behalen, dient u de risico’s in kaart te brengen. Dit gaat u doen middels de risicobeoordeling en behandeling. Hiervoor stelt u eerst methoden vast. Houd hierbij onder andere rekening met:

  • De waarde van de informatie
  • Kosten (in het geval van inbreuk op beveiligde informatie)
  • Imagoschade
  • Wettelijke, contractuele eisen en eisen van belanghebbenden

De norm ISO 27005 kunt u als uitgangspunt gebruiken om passende methoden te bedenken. Deze norm bevat richtlijnen voor het managen van informatiebeveiligingsrisico’s

Heeft u de methoden bepaalt? Dan gaat u de risico’s daadwerkelijk beoordelen. Dit zorgt voor inzicht in de huidige stand van zaken.

Vervolgens is het zaak hiervoor beheersmaatregelen op te stellen. Hiervoor kunt u de Bijlage A gebruiken uit de ISO 27001 norm. Deze bevat een lijst met beschikbare maatregelen.


Sla geen cruciale stappen over in de route naar certificering - Download het  ISO 27001 stappenplan

5. De Verklaring van Toepasselijkheid opstellen om te voldoen aan ISO 27001

U dient ook een Verklaring van Toepasselijkheid (Engelse term: Statement of Applicability) op te stellen. Dit is een verplicht onderdeel uit de ISO 27001 norm. In paragraaf 6.1.3 (d) "Information security treatment" stelt de norm het volgende:

"Produce a Statement of Applicability that contains the necessary controls (see 6.1.3 b) and c)) and justification for inclusions, whether they are implemented or not, and the justification for exclusions of controls from Annex A.

Neem hierin alle maatregelen op die van toepassing zijn op uw situatie en geef per maatregel een argumentatie waarom dit zo is. Ook voor de maatregelen die niet van toepassing zijn dient u een argumentatie toe te voegen. Uiteindelijk resulteert de Verklaring van Toepasselijk een overzicht van de huidige situatie, het behandelplan en de gewenste situatie. Naast dat u voldoet aan het verplichte onderdeel uit de ISO 27001, geeft dit een overzicht van uw eigen situatie. 

6. De risico's behandelen volgens 
ISO 27001 

Nadat de nodige voorbereidingen zijn getroffen, is het moment daar om de risico’s voor informatiebeveiliging te gaan behandelen. U gaat hiervoor een behandelplan opstellen waarin u vastlegt welke acties u gaat uitvoeren, wie u hiervoor aanstelt en binnen welke termijn er resultaat moet worden geboekt.

Het is belangrijk, wanneer u acties gaat uitvoeren, rekening te houden met onvoorziene situaties. De kans is aanwezig dat er zaken moeten worden aangepast. Het is daarom aan te raden hier voldoende tijd voor in te bouwen


7. Behaal uw ISO 27001 certificaat

De implementatie is bijna gereed. Voordat u aan het ISO 27001 certificatietraject kunt beginnen, dient u het managementsysteem voor informatiebeveiliging te beoordelen middels interne audits en de directiebeoordeling. Daarna volgt het certificatie traject in samenwerking met uw certificerende instelling. Het certificaat wordt uitgereikt wanneer u aan de eisen uit de ISO 27001 norm voldoet.

 

Zelf aan de slag met ISO 27001? 

Bent u verantwoordelijk voor het verbeteren van de informatiebeveiliging en het behalen van het ISO 27001 certificaat? Het opzetten van een managementsysteem kost veel tijd en energie. Het is dan prettig vooraf te weten welke stappen nodig zijn om uw doel te bereiken. In het stappenplan ISO 27001 helpen onze experts u in 7 stappen succesvol te certificeren.

Download hier het ISO 27001 stappenplan.



New Call-to-action

Onderwerpen:

informatiebeveiliging ISO 27001 Alle onderwerpen

Auteur

Deel deze pagina

Algemene vragen en opmerkingen

Tüv kantoor

TÜV Nederland

0499 - 339 500

Voor al uw algemene vragen en opmerkingen