MENU

ISO_27001_audit

Uw ISO 27001 audit staat gepland en u bent druk bezig om de organisatie zo goed mogelijk voor te bereiden. De externe audit is immers het moment van de waarheid. U wilt dat uw harde werk erkent wordt en dat u de verlossende woorden te horen krijgt: het certificaat is binnen. Hoe zorgt u ervoor dat u tijdens de audit geen onverwachte obstakels tegenkomt? We geven u 5 tips die u gaan helpen dit te voorkomen zodat u soepel uw ISO 27001 audit gaat doorlopen:


Wat is ISO 27001? 

ISO 27001 is de norm die beschrijft hoe u als organisatie om kunt gaan met uw waardevolle informatie en hoe u deze beschermt. De norm helpt u om invulling te geven aan en het opzetten van een managementsysteem voor informatiebeveiliging (ISMS) voor uw organisatie. U kunt het systeem onafhankelijk laten beoordelen waardoor u kunt aantonen dat u de informatie binnen uw organisatie goed organiseert en u er alles aan doet om risico's te verminderen. Hiermee zet u uzelf als betrouwbare partner op de kaart. 

5 tips voor een geoliede ISO 27001 audit: 

 

1. Hanteer een nuchtere aanpak

Wanneer u verantwoordelijk bent voor het behalen van het ISO 27001 certificaat of u bent nauw betrokken bij het traject, komt het documenteren van zaken u vast niet onbekend voor. Het is niet gek wanneer u een managementsysteem voor informatiebeveiliging opzet. Echter schuilt hier achter een belangrijk gevaar.

Het papierwerk wordt gezien als doel, in plaats van als middel. Uw doel is om de informatie binnen de organisatie te beveiligen. Het lijkt voor de hand liggend om veel documenten voor te bereiden, alleen moeten deze wel waarde toevoegen. Houdt daarom scherp waarom u doet wat u doet en houdt het klein en concreet. Het gaat er uiteindelijk om wát u zegt en niet met hoeveel woorden u dit zegt. 

Geef succesvol invulling aan ISO 27001 in uw organisatie - Download het  stappenplan


2. Timmer niet alles dicht 

Gaat u de organisatie helpen om alle informatiestromen te beheersen, dan gaat u dit in het DNA van het bedrijf proberen te krijgen. Natuurlijk komen hier een hele hoop technische aspecten bij kijken, zoals firewalls en toegang tot computers. De zwakke schakel zit hem tussen de stoel en het computerscherm.

Hiermee bedoelen we hoe medewerkers omgaan met situaties waar de informatie kwetsbaar is. Hanteren ze een clean desk policy? Vergrendelen medewerkers het computerscherm wanneer ze van de werkplek weglopen? Dit is waar de grootste uitdaging ligt om informatiebeveiliging goed te organiseren.  

Focus u daarom niet enkel en alleen op het technische aspect, want hoe dichter u alles dichttimmert, hoe groter de kans dat omwegen worden gecreëerd. Voorkom dat het technische verhaal een belemmering vormt voor de medewerkers. Besteed daarentegen veel tijd aan uw mensen en de bewustwording rondom het onderwerp. Dit is het juiste startpunt om uw waardevolle informatie te beschermen, de basis van uw ISO 27001 audit.
  

Lees ook eens het blog: Succesvol certificeren in 7 stappen

3. Maak ISO 27001 certificering een gedeelde verantwoordelijkheid

Informatiebeveiliging gaat over het beschermen van gegevens die waardevol zijn. Om deze gegevens te beveiligen en om ervoor te zorgen dat informatie beschermt blijft, is het verstandig om het een eigenaar te geven. Iemand die zorg draagt voor de veiligheid en eindverantwoordelijk is voor de bescherming. Wie zou deze rol kunnen vervullen?

Wanneer u mensen hiervoor verantwoordelijk stelt, is het belangrijk om mensen te selecteren die verstand hebben van de business. Kies daarom idealiter voor mensen uit de operationele organisatie, denk bijvoorbeeld aan de lijnverantwoordelijken.

Uiteindelijk is hiervan het doel dat iedereen een deel van de informatie beheert en beschermt. Op die manier wordt het automatisch een gedeelde verantwoordelijkheid en dit vergroot de kans op goede beveiliging waarmee u risico's sterk terugdringt. U zult uzelf hier dankbaar voor zijn tijdens de ISO 27001 audit.  

4. Classificeer de informatie 

Voordat u de ISO 27001 audit ingaat, heeft u de norm al doorgrond. Hierin vormt het classificeren van de informatie een belangrijke basis om goede keuzes te maken. In de bijlage A van de ISO 27001 norm staan drie beheersmaatregelen die men kan inzetten om 'de informatie een passend beschermingsniveau te geven dat in overeenstemming is met het belang ervan voor de organisatie': 

  • A.8.2.1 Classificatie van informatie 
    Informatie moet worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.

  • A.8.2.2 Informatie labelen 
    Om informatie te labelen moet een passende reeks procedures worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.

  • A.8.2.3 Behandelen van bedrijfsmiddelen 
    Procedures voor het behandelen van bedrijfsmiddelen moeten worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.

De norm geeft opties wat u kunt doen om de informatie te classificeren. Maar hoe pakt u dit aan zodat u ten tijde van de audit een stevige basis heeft staan?

Om de informatie binnen uw organisatie goed te classificeren, bepaalt u allereerst welke informatie de meeste waarde heeft. Kijk welke informatie de grootste gevolgen kan hebben op uw business wanneer hier iets mee gebeurt dat niet de bedoeling is. Bijvoorbeeld schadelijke gevolgen voor het imago van uw bedrijf. Stel uzelf de vraag: Welke impact heeft het verliezen van informatie op mijn business?

Betrek de eigenaar van de informatie die u gaat classificeren en laat hem/haar een inschatting maken. Vergelijk het daarnaast ook met de andere verantwoordelijken en laat iemand hoger in de rang ernaar kijken vanuit zijn/haar invalshoek. Dit helpt u scherpe prioriteiten te stellen en de juiste investeringen te doen. Als bonus helpt het tijdig betrekken van sleutelpersonen u met het creëren van draagvlak voor uw certificatie activiteiten.  


Geef succesvol invulling aan ISO 27001 in uw organisatie - Download het  stappenplan

5. Breng in kaart welke beheersmaatregelen u al hebt

Uw bedrijf draait al enige tijd mee. Negen van de tien keer zijn er daarom al maatregelen genomen die relevant zijn voor informatiebeveiliging. Deze zijn ontstaat vanuit gezond verstand, of omdat zaken in het verleden misliepen. Denk bijvoorbeeld aan:

  • Wachtwoordbeheer
  • Virusscans
  • Firewalls
  • Back-ups

Ga daarom eens goed na welke beheersmaatregelen u tegenkomt die iets te maken hebben met informatiebeveiliging. Kijk wel kritisch naar de maatregelen die u al hebt ingevoerd, want het wil niet altijd zeggen dat de bestaande maatregelen ook het juiste doel bereiken. Sommige zijn misschien al maanden geleden ingevoerd en hebben een update nodig. Beoordeel daarom altijd of ze voldoende presteren of zorg dat ze dat weer gaan doen.

In de bijlage A in de ISO 27001 norm staat een opsomming van beheersmaatregelen die u kunt gebruiken. Leg deze naast de zaken die u al in place hebt en u hebt een eerste indicatie van waar u staat en wat er nog moet gebeuren om de risico's - door middel van beheersmaatregelen - te minimaliseren.


Ben verzekerd van uw expertise tijdens de ISO 27001 audit 

De externe audit is het moment van de waarheid en hier wordt uw harde werk dan ook extra op de proef gesteld. U hebt u hier al voldoende op voorbereid, maar het blijft een spannend moment. U wilt niet door de mand vallen of er achter komen dat u zaken vergeten bent. Zorg daarom dat u voldoende gewicht met u meebrengt zodat aan uw expertise niet te twijfelen valt. In het stappenplan voor ISO 27001 certificering delen onze experts hun waardevolle kennis om u te laten slagen. 

Download hier het ISO 27001 stappenplan. 

  

New Call-to-action

Onderwerpen:

Alle onderwerpen Certificeren ISO 27001 informatiebeveiliging

Auteur

Deel deze pagina

Algemene vragen en opmerkingen

Tüv kantoor

TÜV Nederland

0499 - 339 500

Voor al uw algemene vragen en opmerkingen