1. Blog
  2. Doorloop soepel een ISO 27001 audit met deze 5 tips

Doorloop soepel een ISO 27001 audit met deze 5 tips

  1. Blog
  2. Doorloop soepel een ISO 27001 audit met deze 5 tips

ISO_27001_audit

Je volgende ISO 27001 audit staat gepland en je bent druk bezig om de organisatie zo goed mogelijk voor te bereiden. De externe audit is immers het moment van de waarheid. je wil dat jouw harde werk erkent wordt en dat je de verlossende woorden te horen krijgt: het certificaat is binnen. Hoe zorg je ervoor dat je tijdens de audit geen onverwachte obstakels tegenkomt? We geven 5 tips die je gaan helpen dit te voorkomen zodat je soepel je ISO 27001 audit gaat doorlopen:


Wat is ISO 27001? 

ISO 27001 is de norm die beschrijft hoe je als organisatie om kunt gaan met jouw waardevolle informatie en hoe je deze beschermt. De norm helpt je om invulling te geven aan en het opzetten van een managementsysteem voor informatiebeveiliging (ISMS) voor jouw organisatie. Je kan het systeem onafhankelijk laten beoordelen waardoor je kunt aantonen dat je de informatie binnen uw organisatie goed organiseert en je er alles aan doet om risico's te verminderen. Hiermee zet je jezef als betrouwbare partner op de kaart. 

5 tips voor een geoliede ISO 27001 audit: 

1. Hanteer een nuchtere aanpak

Wanneer je verantwoordelijk bent voor het behalen van het ISO 27001 certificaat of je bent nauw betrokken bij het traject, komt het documenteren van zaken vast niet onbekend voor. Het is niet gek wanneer je een managementsysteem voor informatiebeveiliging opzet. Echter schuilt hier achter een belangrijk gevaar.

Het papierwerk wordt gezien als doel, in plaats van als middel. Jouw doel is om de informatie binnen de organisatie te beveiligen. Het lijkt voor de hand liggend om veel documenten voor te bereiden, alleen moeten deze wel waarde toevoegen. Houdt daarom scherp waarom je doet wat je doet en houdt het klein en concreet. Het gaat er uiteindelijk om wát je zegt en niet met hoeveel woorden je dit zegt. 

Download het stappenplan

 


2. Timmer niet alles dicht 

Ga je de organisatie helpen om alle informatiestromen te beheersen, dan ga je dit in het DNA van het bedrijf proberen te krijgen. Natuurlijk komen hier een hele hoop technische aspecten bij kijken, zoals firewalls en toegang tot computers. De zwakke schakel zit hem tussen de stoel en het computerscherm.

Hiermee bedoelen we hoe medewerkers omgaan met situaties waar de informatie kwetsbaar is. Hanteren ze een clean desk policy? Vergrendelen medewerkers het computerscherm wanneer ze van de werkplek weglopen? Dit is waar de grootste uitdaging ligt om informatiebeveiliging goed te organiseren.  

Focus daarom niet enkel en alleen op het technische aspect, want hoe dichter je alles dichttimmert, hoe groter de kans dat omwegen worden gecreëerd. Voorkom dat het technische verhaal een belemmering vormt voor de medewerkers. Besteed daarentegen veel tijd aan jouw mensen en de bewustwording rondom het onderwerp. Dit is het juiste startpunt om jouw waardevolle informatie te beschermen, de basis van jouw ISO 27001 audit.
  

Lees ook eens het blog: Succesvol certificeren in 7 stappen

3. Maak ISO 27001 certificering een gedeelde verantwoordelijkheid

Informatiebeveiliging gaat over het beschermen van gegevens die waardevol zijn. Om deze gegevens te beveiligen en om ervoor te zorgen dat informatie beschermt blijft, is het verstandig om het een eigenaar te geven. Iemand die zorg draagt voor de veiligheid en eindverantwoordelijk is voor de bescherming. Wie zou deze rol kunnen vervullen?

Wanneer je mensen hiervoor verantwoordelijk stelt, is het belangrijk om mensen te selecteren die verstand hebben van de business. Kies daarom idealiter voor mensen uit de operationele organisatie, denk bijvoorbeeld aan de lijnverantwoordelijken.

Uiteindelijk is hiervan het doel dat iedereen een deel van de informatie beheert en beschermt. Op die manier wordt het automatisch een gedeelde verantwoordelijkheid en dit vergroot de kans op goede beveiliging waarmee je risico's sterk terugdringt. Je zal jezelf hier dankbaar voor zijn tijdens de ISO 27001 audit.  

4. Classificeer de informatie 

Voordat je de ISO 27001 audit ingaat, heb je de norm al doorgrond. Hierin vormt het classificeren van de informatie een belangrijke basis om goede keuzes te maken. In de bijlage A van de ISO 27001 norm staan drie beheersmaatregelen die men kan inzetten om 'de informatie een passend beschermingsniveau te geven dat in overeenstemming is met het belang ervan voor de organisatie': 

  • A.8.2.1 Classificatie van informatie 
    Informatie moet worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.

  • A.8.2.2 Informatie labelen 
    Om informatie te labelen moet een passende reeks procedures worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.

  • A.8.2.3 Behandelen van bedrijfsmiddelen 
    Procedures voor het behandelen van bedrijfsmiddelen moeten worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.

De norm geeft opties wat je kan doen om de informatie te classificeren. Maar hoe pak je dit aan zodat je ten tijde van de audit een stevige basis heeft staan?

Om de informatie binnen jouw organisatie goed te classificeren, bepaal je allereerst welke informatie de meeste waarde heeft. Kijk welke informatie de grootste gevolgen kan hebben op jouw business wanneer hier iets mee gebeurt dat niet de bedoeling is. Bijvoorbeeld schadelijke gevolgen voor het imago van jouw bedrijf. Stel jezelf de vraag: Welke impact heeft het verliezen van informatie op mijn business?

Betrek de eigenaar van de informatie die je gaat classificeren en laat hem/haar een inschatting maken. Vergelijk het daarnaast ook met de andere verantwoordelijken en laat iemand hoger in de rang ernaar kijken vanuit zijn/haar invalshoek. Dit helpt je scherpe prioriteiten te stellen en de juiste investeringen te doen. Als bonus helpt het tijdig betrekken van sleutelpersonen met het creëren van draagvlak voor je certificatie activiteiten.  


Geef succesvol invulling aan ISO 27001 in uw organisatie - Download het stappenplan

5. Breng in kaart welke beheersmaatregelen je al hebt

Jouw bedrijf draait al enige tijd mee. Negen van de tien keer zijn er daarom al maatregelen genomen die relevant zijn voor informatiebeveiliging. Deze zijn ontstaat vanuit gezond verstand, of omdat zaken in het verleden misliepen. Denk bijvoorbeeld aan:

  • Wachtwoordbeheer
  • Virusscans
  • Firewalls
  • Back-ups

Ga daarom eens goed na welke beheersmaatregelen je tegenkomt die iets te maken hebben met informatiebeveiliging. Kijk wel kritisch naar de maatregelen die je al hebt ingevoerd, want het wil niet altijd zeggen dat de bestaande maatregelen ook het juiste doel bereiken. Sommige zijn misschien al maanden geleden ingevoerd en hebben een update nodig. Beoordeel daarom altijd of ze voldoende presteren of zorg dat ze dat weer gaan doen.

In de bijlage A in de ISO 27001 norm staat een opsomming van beheersmaatregelen die je kunt gebruiken. Leg deze naast de zaken die je al in place hebt en je hebt een eerste indicatie van waar je staat en wat er nog moet gebeuren om de risico's - door middel van beheersmaatregelen - te minimaliseren.

Ben verzekerd van je eigen expertise tijdens de ISO 27001 audit 

De externe audit is het moment van de waarheid en hier wordt je harde werk dan ook extra op de proef gesteld. Je hebt je hier al voldoende op voorbereid, maar het blijft een spannend moment. Je wil niet door de mand vallen of er achter komen dat je zaken vergeten bent. Zorg daarom dat je voldoende gewicht meebrengt zodat aan jouw expertise niet te twijfelen valt. In het stappenplan voor ISO 27001 certificering delen onze experts hun waardevolle kennis om jou te laten slagen. 

Download hier het ISO 27001 stappenplan. 

  

New Call-to-action

Onderwerpen:

Alle onderwerpen Certificeren ISO 27001 informatiebeveiliging

Abonneren

Schrijf u in voor maandelijkse blog updates

Social media

Volg ons op social media en blijf op de hoogte.

Onderwerpen

Alle onderwerpen Certificeren Kennis van KAM informatiebeveiliging bouw ISO 27001 veilig werken inspectie Bouwkwaliteit Normkennis Wkb Wetgeving cybersecurity privacywetgeving KAM-vaardigheden KAM-advies VCA AVG ISO 27701 ISO 9001 Veiligheidsladder ISO 14001 HKZ interne audit nen 7510 zorg Duurzaamheid IEC 62443 co2 CSRD Covid-19 MVO SNA Warenwetbesluit attractie- en speeltoestellen reporting was Cyberweerbaarheid SNF arbeidsmiddelen keuren speeltoestel Asbest ISAE 3000 ISAE 3402 Liften TISAX 6 feet office DPO F-gassenkeuring FG ISO 21434 Instrument NEN 4400-1 OT security Onderhoud PayChecked in Transport SMI TUVNORDNederland Veiligheid WTTA Warmtepomp Wkbpartner diversiteit herkeuring inclusie iso 27002 iso27001 kwaliteitsborger laadpaal sporttoestel verplicht
mail icons 2

Stel uw vraag over

Certificering van managementsystemen, keurmerken en andere schema's

0499 - 339 528 Contactformulier

Planning en service voor certificering

Customer Service Center Certificatie

TÜV Nederland