ISO 27001 Implementatie
Ook al heeft een organisatie haar zaken prima op orde, het implementeren van een ‘certificaatwaardig’ managementsysteem voor informatiebeveiliging kost doorgaans behoorlijk wat tijd. Natuurlijk kan een set met standaarddocumenten u een heel eind op weg helpen, maar een managementsysteem is veel meer dan een handboek met beleid, processen en procedures. Het opzetten van een certificaatwaardig managementsysteem duurt in de praktijk meestal ongeveer een half jaar.
Avensus heeft de kennis en expertise in huis om je te helpen bij het inrichten en implementeren van jouw ISO/IEC 27001-managementsysteem:
- Implementatie van een certificaatwaardig systeem, inclusief het leveren van templates, bijvoorbeeld voor beleid en procedures.
- Begeleiding bij het uitvoeren van een gap-analyse en/of risicobeoordeling volgens de eisen van de norm.
- Het uitvoeren van een interne audit volgens de eisen van de norm en op het niveau van een certificatie-audit.
- Begeleiding bij het uitvoeren van een directiebeoordeling volgens de eisen van de norm.
- Ondersteuning bij het opstellen van gedocumenteerde informatie.
ISO 27001 Norm
De norm ISO/IEC 27001 is een document van ongeveer 30 pagina’s dat te koop is via de website van NEN. Vooral voor beginners is de norm niet eenvoudig te doorgronden. Hij bevat geen lijstjes met onderwerpen die je kunt afvinken en geeft nauwelijks uitleg over wat je precies moet doen. Het is de bedoeling dat je zelf betekenis geeft aan de norm, een betekenis die past bij jouw specifieke activiteiten, verplichtingen, risico’s en doelstellingen.
In de hoofdstukken 0 t/m 3 van de norm ISO/IEC 27001 vindt u inleidende teksten. Het kan verhelderend zijn om deze teksten te lezen. In de hoofdstukken 4 t/m 10 van de norm staan de eisen beschreven waaraan je moet voldoen ‘om conformiteit met de norm te kunnen claimen’, ofwel, om te mogen beweren dat jouw managementsysteem voor informatiebeveiliging aan de norm voldoet. De norm kent ook nog een Bijlage-A met 114 beheersmaatregelen die je kunt toepassen om risico’s te beheersen.
Soms denken organisaties dat ze aan de norm ISO/IEC 27001 voldoen omdat ze (een deel van) de 114 beheersmaatregelen hebben geïmplementeerd die in Bijlage-A staan. In werkelijkheid voldoet een organisatie pas aan de norm als er ook een managementsysteem voor informatiebeveiliging is geïmplementeerd volgens de eisen in de hoofdstukken 4 t/m 10.
ISO 27001 certificering
Voor het laten certificeren van jouw managementsysteem voor informatiebeveiliging moet je een certificatie-instelling (CI) inschakelen. Daarvoor kunt kiezen uit meerdere CI’s. Op het moment dat je CI uitnodigt voor het uitvoeren van een certificatie-audit, dan moet je klaar zijn om te kunnen aantonen dat jouw managementsysteem aan alle eisen van de norm voldoet. Avensus begeleidt je stap-voor-stap naar dat belangrijke moment.
Een initiële certificatie-audit is de audit die uitgevoerd moet worden om voor de eerste keer een ISO/IEC 27001-certificaat te kunnen ontvangen. Implementaties die onder begeleiding van Avensus plaatsvinden, komen in de praktijk gemakkelijk en probleemloos door certificatie-audits. Dat betekent niet dat er nooit afwijkingen zijn, tenslotte zijn er altijd mogelijkheden voor verbetering, maar die punten lossen we samen met je op.
Nadat je het ISO/IEC 27001-certificaat heeft behaald, start een driejarige certificatiecyclus, waarvan jouw certificaat de ingangsdatum en vervaldatum vermeldt. De driejarige certificatiecyclus omvat controle-audits in het eerste en tweede jaar na de certificatiebeslissing, en een hercertificatieaudit in het derde jaar voordat de certificatie verloopt.