1. Blog
  2. ISO 27001 stappenplan: In 7 stappen succesvol certificeren

ISO 27001 stappenplan: In 7 stappen succesvol certificeren

  1. Blog
  2. ISO 27001 stappenplan: In 7 stappen succesvol certificeren

ISO 27001 stappenplanU bent verantwoordelijk voor het beschermen van gevoelige bedrijfsinformatie. Om dit doel te bereiken gaat u het ISO 27001 certificaat behalen. Dit is nog niet zo eenvoudig, want het behoeft specifieke kennis. Hoe implementeert u een managementsysteem én borgt u dat het systeem voldoet aan ISO 27001? Dit ISO 27001 stappenplan helpt u bij het uitzetten van de juiste koers naar uw eindbestemming. 

In 7 stappen naar ISO 27001 certificering: 

Iedere organisatie is anders. Misschien bent u al ISO 27001 gecertificeerd, of bevindt u zich in de beginfase; het is in beide situaties prettig om overzicht te hebben welke stappen nodig zijn om succesvol te certificeren.

U heeft veel zaken om scherp te houden als het gaat over de inrichting van informatiebeveiliging. Met behulp van deze 7 stappen kunt u regelmatig even uitzoomen om te zien waar u op dit moment staat en wat er nog moet gebeuren.

Geef succesvol invulling aan ISO 27001 in uw organisatie - Download het stappenplan 

1. Richt processen in voor ISO 27001 

Uw doel is om de informatiebeveiliging op een voor u acceptabel niveau te laten verkeren. Daarom gaat u in deze stap nadenken hoe u het managementsysteem gaat opzetten. Maar ook de uiteindelijke situatie waarin het systeem functioneert.

Denk onder andere na over welke activiteiten nodig zijn om het systeem te laten functioneren, hoe u deze gaat inrichten, wie het beleid opstelt, hoe u de naleving van het beleid handhaaft, hoe u de risico’s gaat beoordelen en hoe u deze gaat behandelen

2. Leg informatie vast zoals in de ISO 27001 norm vereist 

De ISO 27001 norm stelt dat er bepaalde informatie van het managementsysteem als gedocumenteerde informatie beschikbaar moet zijn en dat de organisatie gedocumenteerde informatie moet onderhouden. Daarnaast stelt de norm dat u gedocumenteerde informatie moet bijhouden.

Zorg dat u voldoende bewijslast verzamelt - in de vorm van documentaties en registraties - over het functioneren van het managementsysteem. De bewijslast legt u vast volgens een methode naar keuze (denk aan een handboek of digitale (intranet)applicaties). 

3. Stel het informatiebeveiligingsbeleid voor ISO 27001 op

Het informatiebeveiligingsbeleid helpt u bij het varen van de koers van de organisatie, welke uiteindelijk leidt tot ISO 27001 certificering. Daarom dient het beleid altijd richtinggevend te zijn.

Het beleid omvat over het algemeen richtlijnen rondom gegevensbescherming, de maatregelen om informatiebeveiligingsrisico’s te verminderen en hoe wordt omgegaan met incidenten.

Formuleer in deze fase ook de beoogde resultaten die uw organisatie wil behalen. Dit kunt u doen door SMART doelstellingen op te stellen. Dit zorgt ervoor dat u achteraf kunt meten of de doelstellingen zijn behaald. Bovendien staat er in de ISO 27001 norm dat doelstellingen meetbaar moeten zijn waar dit praktisch uitvoerbaar is.

4. Stel methoden en maatregelen vast voor ISO 27001

Om de doelstellingen omtrent informatiebeveiliging te behalen, dient u de risico’s in kaart te brengen. Dit gaat u doen middels de risicobeoordeling en behandeling. Hiervoor stelt u eerst methoden vast. Houd hierbij onder andere rekening met:

  • De waarde van de informatie
  • Kosten (in het geval van inbreuk op beveiligde informatie)
  • Imagoschade
  • Wettelijke, contractuele eisen en eisen van belanghebbenden

De norm ISO 27005 kunt u als uitgangspunt gebruiken om passende methoden te bedenken. Deze norm bevat richtlijnen voor het managen van informatiebeveiligingsrisico’s

Heeft u de methoden bepaalt? Dan gaat u de risico’s daadwerkelijk beoordelen. Dit zorgt voor inzicht in de huidige stand van zaken.

Vervolgens is het zaak hiervoor beheersmaatregelen op te stellen. Hiervoor kunt u de Bijlage A gebruiken uit de ISO 27001 norm. Deze bevat een lijst met beschikbare maatregelen.


Geef succesvol invulling aan ISO 27001 in uw organisatie - Download het stappenplan

5. De Verklaring van Toepasselijkheid opstellen om te voldoen aan ISO 27001

U dient ook een Verklaring van Toepasselijkheid (Engelse term: Statement of Applicability) op te stellen. Dit is een verplicht onderdeel uit de ISO 27001 norm. In paragraaf 6.1.3 (d) "Information security treatment" stelt de norm het volgende:

"Produce a Statement of Applicability that contains the necessary controls (see 6.1.3 b) and c)) and justification for inclusions, whether they are implemented or not, and the justification for exclusions of controls from Annex A.

Neem hierin alle maatregelen op die van toepassing zijn op uw situatie en geef per maatregel een argumentatie waarom dit zo is. Ook voor de maatregelen die niet van toepassing zijn dient u een argumentatie toe te voegen. Uiteindelijk resulteert de Verklaring van Toepasselijk een overzicht van de huidige situatie, het behandelplan en de gewenste situatie. Naast dat u voldoet aan het verplichte onderdeel uit de ISO 27001, geeft dit een overzicht van uw eigen situatie. 

6. De risico's behandelen volgens 
ISO 27001 

Nadat de nodige voorbereidingen zijn getroffen, is het moment daar om de risico’s voor informatiebeveiliging te gaan behandelen. U gaat hiervoor een behandelplan opstellen waarin u vastlegt welke acties u gaat uitvoeren, wie u hiervoor aanstelt en binnen welke termijn er resultaat moet worden geboekt.

Het is belangrijk, wanneer u acties gaat uitvoeren, rekening te houden met onvoorziene situaties. De kans is aanwezig dat er zaken moeten worden aangepast. Het is daarom aan te raden hier voldoende tijd voor in te bouwen


7. Behaal uw ISO 27001 certificaat

De implementatie is bijna gereed. Voordat u aan het ISO 27001 certificatietraject kunt beginnen, dient u het managementsysteem voor informatiebeveiliging te beoordelen middels interne audits en de directiebeoordeling. Daarna volgt het certificatie traject in samenwerking met uw certificerende instelling. Het certificaat wordt uitgereikt wanneer u aan de eisen uit de ISO 27001 norm voldoet.

Super snel de ISO 27001 norm doorgronden?

Het doorgronden van de norm vraagt van u veel tijd, energie en de nodige kennis. U dient als het ware te functioneren als een 'schaap met vijf poten'. Hoe zorgt u ervoor dat de organisatie veilig is van risico's op het gebied van cyber hacks én zorgt u dat de werknemers zich ook bewust zijn van de toegang tot belangrijke informatie?

Een hele opgave om voor elkaar te krijgen. Het verloopt een stuk soepeler als u weet wat de norm van u eist. Daarom hebben onze experts het 'Stappenplan ISO 27001: succesvol certificeren in 7 stappen' opgesteld. Dit praktisch stappenplan gaat u helpen succesvol te certificeren.

Download hier het ISO 27001 stappenplan.

 



New Call-to-action

Onderwerpen:

Alle onderwerpen ISO 27001 informatiebeveiliging

Abonneren

Schrijf u in voor maandelijkse blog updates

Social media

Volg ons op social media en blijf op de hoogte.

Onderwerpen

Alle onderwerpen Certificeren Kennis van KAM informatiebeveiliging bouw ISO 27001 veilig werken inspectie Bouwkwaliteit Normkennis Wkb Wetgeving cybersecurity privacywetgeving KAM-vaardigheden KAM-advies VCA AVG ISO 27701 ISO 9001 Veiligheidsladder ISO 14001 HKZ interne audit nen 7510 zorg Duurzaamheid IEC 62443 co2 CSRD Covid-19 MVO SNA Warenwetbesluit attractie- en speeltoestellen reporting was Cyberweerbaarheid SNF arbeidsmiddelen keuren speeltoestel Asbest ISAE 3000 ISAE 3402 Liften TISAX 6 feet office DPO F-gassenkeuring FG ISO 21434 Instrument NEN 4400-1 OT security Onderhoud PayChecked in Transport SMI TUVNORDNederland Veiligheid WTTA Warmtepomp Wkbpartner diversiteit herkeuring inclusie iso 27002 iso27001 kwaliteitsborger laadpaal sporttoestel verplicht
mail icons 2

Stel uw vraag over

Certificering van managementsystemen, keurmerken en andere schema's

0499 - 339 528 Contactformulier

Planning en service voor certificering

Customer Service Center Certificatie

TÜV Nederland