Blog | Topicus KeyHub

ISO 27001 Checklist | Topicus KeyHub

Geschreven door Jennifer Greving | 24/04/2023

Vermijd stress en download de ISO 27001 checklist. De ISO 27001 norm is een belangrijke standaard voor informatiebeveiliging. Met de ISO 27001 checklist wordt duidelijk hoe je organisatie aan deze veiligheidsnorm voldoet. In de checklist staat beschreven waar een auditor op let en waar KeyHub jou zou bij kunnen helpen. Kijk snel wat je moet doen om compliant te zijn.

 

Wat is de ISO 27001?

De ISO 27001 norm is een internationale norm voor informatiebeveiliging. Het beschrijft de eisen voor een Information Security Management System (ISMS). Zo’n managementsysteem voor informatiebeveiliging draait om het beveiligen van vertrouwelijke informatie.  

ISO 27001 is in 2005 gepubliceerd door de International Organization for Standardization (ISO). Af en toe wordt de norm bijgewerkt. Technologie en werkmethodes veranderen namelijk. Maar ook de bedreigingen van vandaag zijn anders dan die van 2005. En daarmee ook de risicoanalyse. De recentste ISO 27001 update was in 2022. 

De norm is van toepassing op alle soorten organisaties die gevoelige informatie verwerken, opslaan of verzenden. Dit kan variëren van grote multinationale bedrijven tot kleine start-ups en non-profitorganisaties. 

Een ISO 27001 certificaat biedt duidelijke voordelen. Het kan bijvoorbeeld helpen bij het verbeteren van de reputatie en bij het verkrijgen van nieuwe klanten. Daarnaast kan het helpen bij het naleven van de wetgeving op het gebied van gegevensbescherming. Denk daarbij aan de Algemene Verordening Gegevensbescherming (AVG) in de Europese Unie. 

 

ISO 27001 vs ISO 27002 

ISO 27001 en 27002 zijn beide normen voor informatiebeveiliging, maar ze hebben verschillende doelen en focusgebieden. Bij ISO 27002 (en ISO 27003) gaat het om concrete (beveiligings)maatregelen. Bij ISO 27001 gaat het om management. Zo kun je in een ISO 27002 handboek een tekst over een firewall tegenkomen. In een ISO 27001 handboek staat bijvoorbeeld een tekst over hoe te reageren op een cyberincident. 

Doel: 

  • ISO 27001 is een norm voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). Het richt zich op het proces van het beheersen van informatiebeveiliging in een organisatie. 

  • ISO 27002 is een norm voor het kiezen en implementeren van beveiligingsmaatregelen in het kader van een ISMS. Het biedt een reeks best practices voor informatiebeveiliging die organisaties kunnen gebruiken om hun ISMS te verbeteren. 

Focusgebieden: 

  • ISO 27001 richt zich op de processen die nodig zijn om de informatiebeveiliging in een organisatie te beheersen. Onderwerpen zijn onder meer risk assessment, beveiligingsbeleid, beheer van beveiligingsincidenten en fysieke beveiliging. 

  • ISO 27002 richt zich op de beveiligingsmaatregelen die organisaties kunnen implementeren om hun informatie te beschermen. Dan gaat het over o.a. toegangscontrole, cryptografie, netwerkbeveiliging en beveiliging van mobiele apparaten. 

Daarnaast is ISO 27001 certificeerbaar. Organisaties kunnen worden geaudit en gecertificeerd voor hun ISMS als ze voldoen aan de eisen van de norm. ISO 27002 is niet certificeerbaar. 

 

De ISO 27001 audit 

De audit van ISO 27001 is een evaluatie om te bepalen of een organisatie voldoet aan de eisen van de ISO 27001-norm voor informatiebeveiliging. De audit wordt uitgevoerd door een onafhankelijke en geaccrediteerde certificeringsinstantie. 

De organisatie die wordt geauditeerd, moet alle relevante documentatie voorbereiden, zoals het Information Security Management System (ISMS) beleid, procedures en richtlijnen. Een interne audit maakt duidelijk of deze voorbereiding goed was. 

De externe auditor voert dan een audit uit van de opgestelde documenten en procesbeschrijvingen. Zo kijkt de auditor of de organisatie en het ISMS klaar zijn voor de gedetailleerde (Fase 2) audit. In die Fase 2 audit kijkt de auditor niet alleen naar hoe werkwijzen zijn beschreven, maar interviewt ook medewerkers om te kijken hoe de procedures in de praktijk worden uitgevoerd. 

Als de auditor vaststelt dat de organisatie aan de eisen voldoet en ze dus ook goed in de praktijk toepast, wordt het ISO 27001 certificaat toegekend. Dit blijft drie jaar geldig. In die drie jaar vinden er ook nog (on)aangekondigde bezoeken van de auditor plaats. 

Het kan ook zijn dat de auditor enkele aanbevelingen voor verbeteringen opstelt. Als de auditor een negatief eindoordeel geeft, dan zit er dus waarschijnlijk een groot gat tussen de geformuleerde theorie en de praktijk in het bedrijf. 

 

ISO 27001 certificering 

Om een ISO 27001 certificering te behalen, moet een organisatie aantonen dat haar Information Security Management System (ISMS) voldoet aan de vereisten van de ISO 27001-norm. Hieronder volgen enkele belangrijke stappen: 

  1. Opstellen van een informatiebeveiligingsbeleid: wat zijn de doelen, wat wil de organisatie bereiken?
  2. Risicobeoordeling: wat zijn de risico’s waar de organisatie aan blootstaat? Denk bijvoorbeeld aan datalekken, hacks, onzorgvuldigheid, ontoereikende authenticatie van gebruikers.
  3. Implementeren van de beveiligingsmaatregelen: hoe worden de vastgestelde risico’s verkleind?
  4. Interne audit: De organisatie moet een interne audit uitvoeren te beoordelen of het ISMS aan de vereisten van de ISO 27001-norm voldoet.
  5. Externe audit: een geaccrediteerde certificatie-instelling voert de externe audit uit.

De kosten van ISO 27001 certification variëren. Het hangt bijvoorbeeld af van de grootte en complexiteit van de organisatie, de bedrijfsprocessen en van de certificatie-instelling die de audit uitvoert. Het uitvoeren van beveiligingsmaatregelen is een andere kostenpost, net als het onderhouden van het ISMS. 

Een ISO 27001-gecertificeerd bedrijf ondervindt verschillende voordelen. Het toont aan dat de organisatie informatiebeveiligingsrisico's serieus neemt en voldoet aan internationale normen voor informatiebeveiliging. Het geeft vertrouwen bij klanten, partners en andere betrokkenen. Soms stellen ketenpartners en klanten het als voorwaarde. 

 

De ISO 27001 checklist

Authenticatie van gebruikers en beheer van toegangsrechten zijn twee onmisbare pijlers van informatiebeveiliging. De Topicus ISO 27001 checklist noemt de onderdelen van de norm waar dit belangrijk is. En geeft aan wat de norm voor de praktijk betekent en hoe Topicus KeyHub de certificering mogelijk maakt. 

De volgende thema’s komen aan bod: 

  • Beleid voor informatiebeveiliging 

  • Organisatie van Informatiebeveiliging 

  • Human Resource beveiliging 

  • Vermogensbeheer 

  • Toegangscontrole 

  • Cryptografie 

  • Beveiliging van werkuitvoer 

  • Communicatiebeveiliging 

  • Systeem acquisitie, ontwikkeling en onderhoud 

  • Leveranciersrelaties 

  • Informatiebeveiliging incidentenbeheer 

  • Aspecten van informatiebeveiliging voor het beheer van de continuïteit van de organisatie 

  • Compliance.

 

Stress over compliance? 

Beveiliging van de informatiestromen is een normaal onderdeel van de bedrijfsvoering geworden. Het is ook een intern belang van het bedrijf. Denk eens aan de reputatieschade die ontstaat bij een datalek. Of aan de faalkosten in een productieproces die kunnen ontstaan door een fout in de informatiestromen. 

Het is belangrijk – maar niet altijd makkelijk. De informatiestromen zijn uitgebreid en ingewikkeld en de beveiliging vaak ook. 

Topicus KeyHub is een oplossing voor authenticatie en beheer van toegang tot documenten en systemen. Dat is belangrijk voor een groot deel van de eisen voor certificering. Met de platform van KeyHub toon je aan dat je in control bent over je Identity and Access Management en versnel je audits (intern/extern). Dit is gemakkelijker en bespaart tijd. Heb je vragen? Neem contact met ons op!