Planning voor en implementatie van ISO 27001 

 
Download Article

ISO/IEC 27001:2005 Informatietechnologie— Beveiligingstechnieken—Beheersystemen voor informatiebeveiliging—Vereisten is een norm voor een beheersysteem voor informatiebeveiliging (Information Security Management System, ISMS), in oktober 2005 gepubliceerd door de Internationale Organisatie voor Standaardisatie (ISO) en de Internationale Elektrotechnische Commissie (IEC).1, 2 De potentiële voordelen3, 4 van implementatie van ISO 27001 en het verkrijgen van certificering zijn talrijk. Implementatie van ISO 27001 kan ondernemingen in staat stellen zich te meten met de concurrentie en relevante informatie betreffende IT-beveiliging te bieden aan leveranciers en klanten, en kan het management in staat stellen aan te tonen dat de vereiste inspanningen zijn verricht. Het kan bijdragen tot efficiënt kostenbeheer, naleving van wetten en voorschriften en een comfortabel niveau van interoperabiliteit doordat de partnerorganisatie een gemeenschappelijke verzameling richtlijnen naleeft. Het kan bijdragen tot een betere kwaliteitsborging (QA) van het beveiligingssysteem voor IT-informatie en een groter bewustzijn met betrekking tot beveiliging onder werknemers, klanten, toeleveranciers. Tevens kan het bijdragen tot een betere afstemming tussen IT en de zakelijke activiteiten van de onderneming. Het biedt een procesraamwerk voor de implementatie van ITbeveiliging en kan tevens helpen bij het bepalen van de status van de informatiebeveiliging en de mate waarin beveiligingsbeleid, richtlijnen en normen worden nageleefd.

Het doel van dit artikel is richtlijnen te bieden met betrekking tot het plannings- en besluitvormingsproces rond de implementatie van ISO 27001, met inbegrip van de daaraan gekoppelde kosten, de duur van het project en de stappen voor implementatie.

Kosten van implementatie

Voorafgaande aan de implementatie van ISO 27001 dient goed te worden nagedacht over de kosten en de duur van het project. De inzichten hieromtrent kunnen verder worden beïnvloed door een meer gedetailleerd begrip van de implementatiefasen. Kosten spelen in zware economische omstandigheden altijd een belangrijke rol. In de computeromgeving van vandaag, waarin cloud computing een steeds belangrijkere rol gaat spelen, zien organisaties die kosten willen besparen zonder concessies te doen aan de beveiliging ISO 27001-certificering als een veelbelovend middel om meer te weten te komen over de beveiliging van hun IT.

De implementatiekosten zijn in hoofdzaak afhankelijk van de manier waarop naar risico’s wordt gekeken, en de mate waarin een organisatie bereid is risico’s te aanvaarden. Tijdens het implementeren van dit type project moeten vier kostencategorieën worden meegewogen:

  1. Intern personeel—Bij het systeem zijn diverse functionele groepen betrokken, met inbegrip van het management, personeelszaken (HR), IT, faciliteiten en beveiliging. Deze mensen zullen beschikbaar moeten zijn tijdens de implementatie van het ISMS.
  2. Externe bronnen—De inzet van ervaren consulenten kan een grote hoeveelheid tijd en geld besparen. Deze kunnen ook een nuttige rol vervullen tijdens interne controle en bijdragen tot een probleemloze overgang naar certificering.
  3. Certificering—Op dit moment zijn slechts enkele certificeringsbureaus bevoegd om te beoordelen of bedrijven voldoen aan ISO 27001, maar de kosten liggen niet veel hoger dan bij andere normen.
  4. Implementatie—Deze kosten zijn sterk afhankelijk van de gezondheid van de IT binnen de organisatie. Indien, als gevolg van een risicobeoordeling of controle een gat aan het licht komt, zullen de implementatiekosten stijgen, afhankelijk van welke oplossing wordt geïmplementeerd.5

De implementatie van een systeem als dit kan vier tot negen maanden in beslag nemen en is sterk afhankelijk van de gedrags- en kwaliteitsnormen en de ondersteuning door het management (sentimenten aan de top6), de omvang en aard van de organisatie, de gezondheid/mate van ontwikkeling van de IT binnen de organisatie, en de aanwezige documentatie.

ISO 27001 vereist dat een bedrijf een benadering van voortdurende verbetering van het beheer van het ISMS vaststelt, implementeert en aanhoudt. Net als bij andere ISO-normen wordt bij ISO 27001 de zogeheten Plan-Do-Check-Act (PDCA) cyclus gevolgd, zoals weergegeven in afbeelding 1.

Afbeelding 1

De eerdergenoemde kostenfactoren worden rechtstreeks beïnvloed door de aanwezige IT-initiatieven binnen de organisatie. Organisaties die beschikken over een COBIT-raamwerk, Statement on Auditing Standards (SAS) No. 70 Type I en Type II, Payment Card Industry Data Security Standard (PCI DSS), National Institute of Standards and Technology (NIST) of US Sarbanes-Oxley Act- functionaliteit, beschikken reeds over vastgestelde beleidsregels en procedures, risicobeoordelingen, controledoelstellingen en operationele controlemechanismen die de hoeveelheid tijd en geld die nodig is voor de voltooiing van het project vaak aanzienlijk kunnen verminderen. Zie afbeelding 2 voor meer informatie over de tijd- en kostenbesparingen met betrekking tot de respectieve PDCA-fasen die zijn geassocieerd met verschillende IT-inspanningen.

Afbeelding 2

Naast de eerder genoemde kostenbesparingen kan de organisatie die een stapsgewijze benadering wenst toe te passen op de ISO-naleving een bedrijfsplanning opstellen, waarin kan worden gesteld dat de naleving wordt beperkt tot een bepaalde divisie, bedrijfsunit en type service of fysieke locatie. De toepassing van een bedrijfsplanning spaart tijd en maakt het mogelijk voor de organisatie de voordelen van de ISO 27001-certificering te realiseren. Wanneer eenmaal geslaagde naleving is gerealiseerd op een beperkt maar relevant gebied, kan de bedrijfsplanning worden uitgebreid naar andere divisies of locaties.

ISMS—Planning voor ISO

ISO/IEC 27001 en het ondersteunende document, ISO/IEC 27002 (ISO/IEC 17799), detailleren 133 beveiligingsmaatregelen, georganiseerd in 11 secties en 39 controledoelstellingen. Deze secties beschrijven de aanbevolen werkwijzen voor:

  • Planning van de bedrijfscontinuïteit
  • Toegangscontrole voor het systeem
  • Inkoop, ontwikkeling en onderhoud van systemen
  • Fysieke en omgevingsbeveiliging
  • Naleving
  • Beheer van incidenten op het gebied van informatiebeveiliging
  • Personeelsbeveiliging
  • Beveiligingsorganisatie
  • Beheer van communicatie en operationele activiteiten
  • Classificering en controle van bedrijfsmiddelen
  • Beveiligingsbeleid

De ISMS kan door een aantal registratiebureaus wereldwijd worden gecertificeerd als conform ISO/IEC 27001. De ISO/IEC 27001-certificering omvat, net als de certificering van andere ISO-managementsystemen, gewoonlijk een controleproces dat uit drie fasen bestaat:

  • Fase 1—Informele beoordeling van het ISMS waarbij onder andere de aanwezigheid en volledigheid wordt gecontroleerd van belangrijke documenten, zoals:
      – het beveiligingsbeleid van de organisatie
      – het risicobehandelingsplan (Risk Treatment Plan, RTP)
      – de verklaring van toepasselijkheid (Statement Of Applicability, SOA)
  • Fase 2—Onafhankelijke test van het ISMS met betrekking tot de vereisten in ISO/IEC 27001. Certificeringscontrole wordt doorgaans uitgevoerd door de hoofdauditors van ISO/IEC 27001.
  • Fase 3—Opvolgende beoordelingen of periodieke controles om te bevestigen dat de organisatie blijft voldoen aan de norm. Het onderhouden van de certificering vraagt om periodieke herbeoordelingscontroles om te bevestigen dat het ISMS nog steeds volgens de specificaties en intenties werkt.

Onafhankelijke beoordeling leidt er onvermijdelijk toe dat het implementatieproces wat strenger en formeler wordt uitgevoerd en moet door het management worden goedgekeurd. ISO/IEC 27001-certificering zou ertoe moeten bijdragen dat de status van het merendeel van de zakelijke partners van het bedrijf wat betreft informatiebeveiliging kan worden bepaald zonder dat de zakelijke partners zelf een beveiligingsonderzoek hoeven uit te voeren.

Planning
Zoals bij alle initiatieven op het gebied van naleving en certificering, spelen overwegingen met betrekking tot de omvang van de organisatie, de aard van de activiteiten, de doordachtheid van het implementatieproces voor ISO 27001 en de medewerking van het hogere management een doorslaggevende rol. De belangrijkste afdelingen en activiteiten die van levensbelang zijn voor het succes van het project, zijn onder andere:

  • Interne controle—Tijdens de aanvankelijke planningsfase is de input van de interne controle nuttig voor de ontwikkeling van een implementatiestrategie, en betrokkenheid van interne auditors in een vroeg stadium zal nuttig zijn in de latere fasen van de certificering die door het management moeten worden beoordeeld.
  • IT—De IT-afdeling moet tijd en middelen reserveren voor de activiteiten in verband met de ISO 27001-initiatieven. Een inventaris van bestaande IT-nalevingsinitiatieven, -procedures en -beleidsregels, en de mate van ontwikkeling van bestaande IT-processen en controlemechanismen zal van pas komen bij het verkrijgen van inzicht in de mate waarin bestaande processen zijn uitgelijnd met de vereisten van ISO 27001.

Hoewel de implementatie van beleidsregels en procedures doorgaans wordt beschouwd als een IT-activiteit, spelen andere afdelingen een belangrijke rol bij de implementatie. Faciliteitenbeheer is bijvoorbeeld grotendeels verantwoordelijk voor fysieke beveiliging en toegangscontrole.

Besluitvorming
De beslissing wanneer en op welke wijze de norm moet worden geïmplementeerd kan afhankelijk zijn van diverse factoren, zoals:

  • Zakelijke doeleinden en prioriteiten
  • Huidige ontwikkelingsniveau van IT
  • Aanvaarding door en bekendheid bij gebruikers
  • Interne controlemogelijkheden
  • Contractuele verplichtingen
  • Vereisten van de klant
  • Het vermogen van de onderneming zich aan te passen aan veranderde omstandigheden
  • Navolging van interne processen
  • Bestaande nalevingsinspanningen en wettelijke vereisten
  • Bestaande trainingsprogramma’s

Implementatiefasen

In afbeelding 2 worden diverse IT-initiatieven geïllustreerd die tijd en kosten kunnen besparen in de implementatiefasen. Zoals eerder werd uitgelegd, heeft de organisatie ook een gedetailleerd begrip van de PDCA-implementatie nodig om de kosten van het project te kunnen beheren. De PDCA-cyclus is consistent met alle controleerbare internationale normen: ISO 18001, 9001 en 14001. ISO/IEC 27001:2005 schrijft de volgende PDCA-stappen voor die door de organisatie moeten worden gevolgd:

  • Een ISMS-beleid opstellen.
  • Het bereik van het ISMS bepalen.
  • Een beoordeling van het beveiligingsrisico uitvoeren.
  • Het onderkende risico beheren.
  • De controlemechanismen selecteren die moeten worden geïmplementeerd en toegepast.
  • Een SOA opstellen.

Deze aanbevolen PDCA-stappen worden verder vereenvoudigd en gekoppeld (afbeeldingen 1, 3 en 4) aan de implementatiefasen die zijn ontwikkeld voor eenvoudig begrip en implementatie—met als einddoelstelling de beoogde tijd- en kostenbesparingen. Bij de volgende stappen worden de mate van ontwikkeling van IT binnen de organisatie en het beoordelings-/registratieproces meegewogen (zie afbeelding 4 voor meer informatie over de beoordelings- en registratiestappen).

Afbeelding 3 Afbeelding 4


Fase 1—Zakelijke doelstellingen vaststellen.

De belanghebbenden moeten bij het project worden betrokken; het selecteren van doelstellingen en het stellen van de juiste prioriteiten is de stap die essentieel is voor het winnen van de steun van het management. Primaire doelstellingen kunnen worden afgeleid van de missie, het strategische plan en de IT-doelstellingen van het bedrijf. Deze doelstellingen kunnen zijn:

  • Vergroting van het marktpotentieel
  • Verzekering aan zakelijke partners met betrekking tot de status van de organisatie op het gebied van informatiebeveiliging
  • Verzekering aan klanten en partners over de toewijding van de organisatie tot informatiebeveiliging, privacy en gegevensbeveiliging
  • Hogere omzet en winst door het bieden van het hoogste niveau van beveiliging voor de vertrouwelijke gegevens van de klant
  • Identificatie van bedrijfsinformatie en effectieve risicobeoordeling
  • Bescherming van de reputatie van de organisatie te midden van de leiders in de branche
  • Naleving van branchevoorschriften

Fase 2—Verkrijgen van steun van het management.
Het management moet volledig achter de totstandbrenging, de planning, de implementatie, de werking, de bewaking, de beoordeling, het onderhoud en de verbetering van het ISMS staan. Hiertoe behoort het management ervoor te zorgen dat de benodigde middelen beschikbaar zijn om aan het ISMS te werken en dat alle werknemers die te maken hebben met het ISMS beschikken over de juiste training, het juiste bewustzijn en de vereiste competentie. De volgende activiteiten/initiatieven duiden op steun van het management:

  • Een informatiebeveiligingsbeleid
  • Informatiebeveiligingsdoelstellingen en plannen
  • Functies en verantwoordelijkheden voor informatiebeveiliging of een functiescheidingsmatrix (SoD-matrix) die een lijst bevat van de functies die betrekking hebben op informatiebeveiliging
  • Een bekendmaking of circulaire aan de organisatie over het belang van de naleving van het informatiebeveiligingsbeleid
  • Voldoende middelen voor het beheren, ontwikkelen, onderhouden en implementeren van het ISMS
  • Bepaling van het aanvaardbare risiconiveau
  • Beoordeling van het ISMS door het management op gezette tijden
  • Verzekering dat het personeel dat te maken krijgt met het ISMS, voldoende training krijgt
  • Benoeming van mensen met de juiste competentie voor de functies en verantwoordelijkheden die ze krijgen

Fase 3—Selecteren van de juiste omvang van de implementatie.
ISO 27001 bepaalt dat de implementatie kan worden uitgevoerd voor de gehele of een deel van de organisatie. Volgens paragraaf B.2.3, Bereik van het ISMS, hoeven alleen processen, bedrijfsunits en externe leveranciers en tijdelijke werknemers die binnen het bereik van de implementatie vallen voor certificering te worden opgegeven.

De norm vereist tevens dat bedrijven eventuele uitsluitingen binnen het bereik vermelden, met de reden waarom deze werden uitgesloten. Het selecteren van het bereik van de implementatie kan de organisatie tijd en geld besparen. De volgende punten moeten worden overwogen:

  • Het geselecteerde bereik draagt bij tot het realiseren van de vastgestelde zakelijke doelstellingen.
  • De totale omvang van de operationele activiteiten van de organisatie vormt een integrale parameter voor het bepalen van het complexiteitsniveau van het nalevingsproces.
  • Bij het bepalen van de juiste schaal van de operationele activiteiten moet de organisatie rekening houden met het aantal werknemers, bedrijfsprocessen, werklocaties en de geleverde producten of diensten.
  • Welke gebieden, locaties, bedrijfsmiddelen en technologieën van de organisaties worden beheerst door het ISMS?
  • Wordt van toeleveranciers verlangd dat ze zich houden aan het ISMS?
  • Is er sprake van afhankelijkheidsrelaties met andere organisaties? Moeten deze worden overwogen?
  • Gekeken moet worden welke regulatieve of wettelijke normen van toepassing zijn op de gebieden die worden gedekt door het ISMS. Dergelijke normen kunnen zijn opgesteld door de bedrijfstak waarbinnen de organisatie actief is, door provinciale, plaatselijke en landelijke overheden, of door internationale regulerende instanties.

Het bereik moet beheerbaar worden gehouden. Het kan raadzaam zijn het bereik te beperken tot delen van de organisatie, zoals een logische of fysieke groep binnen de organisatie.

Fase 4—Het definiëren van een methode voor risicobeoordeling.
Om te voldoen aan de vereisten van ISO/IEC 27001 moeten bedrijven een risicobeoordelingsmethode definiëren en documenteren. De ISO/IEC 27001-norm schrijft geen risicobeoordelingsmethode voor. De volgende punten moeten worden overwogen:

  • Welke methode moet worden gebruikt voor het beoordelen van het risico voor bepaalde bedrijfsinformatie
  • Welke risico’s zijn onaanvaardbaar en moeten daarom worden beperkt
  • Het overblijvende risico beheren door middel van zorgvuldig opgestelde bedrijfsregels, procedures en controlemechanismen

Het kiezen van een risicobeoordelingsmethode is een van de belangrijkste onderdelen van het opzetten van het ISMS. De volgende documentatie kan hierbij van pas komen:

  • NIST Special Publication (SP) 800-30 Risk Management Guide for Information Technology Systems
  • Sarbanes-Oxley IT-risicobeheer
  • Documenten voor classificering van bedrijfsmiddelen en gegevens (vastgesteld door de organisatie)

ISO 27001 vraagt om risicobeoordelingen op basis van niveaus van vertrouwelijkheid, integriteit en beschikbaarheid:

  • Vertrouwelijkheid—Clausule 3.3: ervoor zorgen dat informatie alleen toegankelijk is voor bevoegden
  • Integriteit—Clausule 3.8: bewaken van de juistheid en volledigheid van informatie en verwerkingsmethoden
  • Beschikbaarheid—Clausule 3.9: ervoor zorgen dat geautoriseerde gebruikers toegang hebben tot informatie en geassocieerde middelen wanneer dat nodig is

Fase 5—Een inventaris opstellen van informatie die moet worden beschermd, en deze classificeren op basis van risicobeoordeling.
Het bedrijf moet een lijst opstellen van de bedrijfsinformatie die moet worden beschermd. Beschreven moet worden welke risico’s zijn verbonden aan bedrijfsmiddelen, naast de eigenaars, de locatie, het belang en de vervangwaarde van de bedrijfsmiddelen. Informatie betreffende het groeperen van bedrijfsmiddelen, documenten voor gegevensclassificering en een inventaris van bedrijfsmiddelen kunnen van pas komen. De volgende stappen worden aanbevolen:

  • Bepaal de impactniveaus voor vertrouwelijkheid, integriteit en beschikbaarheid van de bedrijfsmiddelen: hoog, middel en laag.
  • Bepaal de risico’s en classificeer deze op basis van ernst en kwetsbaarheid.
  • Ken na het bepalen van de risico’s en het niveau van vertrouwelijkheid, integriteit en beschikbaarheid waarden toe aan de risico’s.
  • Bepaal op basis van de risicowaarden of het risico aanvaardbaar is en of een controlemechanisme moet worden geïmplementeerd om het risico te elimineren of te verlagen. De methodologie voor risicobeoordeling fungeert als richtlijn voor het bepalen van het risiconiveau voor bedrijfsmiddelen.

Nadat de beoordeling is voltooid, wordt gekeken naar de bedrijfsinformatie waaraan een onaanvaardbaar risico is verbonden en waarvoor derhalve controlemechanismen noodzakelijk zijn. Op dat moment wordt een document aangemaakt (soms aangeduid als risicobeoordelingsrapport) dat de risicowaarde aangeeft voor elk bedrijfsmiddel.

Fase 6—Het beheren van de risico’s en het opstellen van een risicobehandelingsplan
Om de impact die is verbonden aan het risico te beheersen, moet de organisatie het risico aanvaarden, vermijden, verleggen of verlagen naar een aanvaardbaar niveau met behulp van controlemechanismen voor het verlagen van risico’s. De volgende fase is het uitvoeren van de kloofanalyse met behulp van de mechanismen die worden beschreven in de norm (zie Bijlage A van ISO/IEC 27001 of ISO/IEC 27002) om een RTP en een SOA op te stellen. Het is belangrijk goedkeuring van het management te verkrijgen voor de voorgestelde overblijvende risico’s.

Het RTP (afbeelding 5) biedt:

  • Behandeling van aanvaardbare risico’s (aanvaarden, verleggen, verlagen, vermijden)
  • Identificatie van operationele controlemechanismen en aanvullende voorgestelde controlemechanismen op basis van de kloofanalyse
  • Een voorgestelde implementatieplanning voor de controlemechanismen

Afbeelding 5

Het SOA beschrijft de controledoelstellingen (afbeelding 6), de controlemechanismen die zijn geselecteerd uit Bijlage A, en de rechtvaardiging voor het al dan niet gebruiken van het controlemechanisme.

Afbeelding 6

Fase 7—Het opstellen van beleidsregels en procedures voor het beheersen van risico’s.
Voor de toegepaste controlemechanismen, zoals beschreven in het SOA, heeft de organisatie beleidsverklaringen nodig of een gedetailleerd procedure- en verantwoordelijkhedendocument (afbeelding 7) voor het beschrijven van gebruikersfuncties voor consistente en effectieve implementatie van beleidsregels en procedures.

Afbeelding 7

Documentatie van beleidsregels en procedures is een vereiste van ISO/IEC 27001. Welke beleidsregels en procedures van toepassing zijn is afhankelijk van de structuur, de locaties en de bedrijfsmiddelen van de organisatie.

Fase 8—Het toewijzen van bedrijfsmiddelen en trainen van het personeel.
Het ISMS-proces benadrukt een van de belangrijkste taken voor het management: het beschikbaar stellen van voldoende middelen voor het beheren, ontwikkelen, onderhouden en implementeren van het ISMS. Het is van buitengewoon belang de training voor controletaken te documenteren.

Fase 9—De implementatie van het ISMS bewaken
De periodieke interne controle is onmisbaar voor bewakings- en beoordelingsdoeleinden. Interne controlebeoordelingen bestaan uit het testen van controlemechanismen en het vaststellen van correctieve/preventieve acties. Ter voltooiing van de PDCA-cyclus moeten de kloven die tijdens de interne controle aan het licht zijn gekomen worden aangepakt door op basis van de kloofanalyse te bepalen welke correctieve en preventieve controlemechanismen nodig zijn en in hoeverre het bedrijf voldoet aan de nalevingsvereisten.

Het ISMS kan alleen effectief zijn als het met vaste tussenpozen door het management wordt geëvalueerd. Tijdens de evaluatie wordt gekeken naar wijzigingen/verbeteringen in beleidsregels, procedures, controlemechanismen en beslissingen op het gebied van personeelstoewijzing. De belangrijke stap in het proces is beoordeling door het projectmanagement. De resultaten van controles en periodieke evaluaties worden gedocumenteerd en bewaard.

Fase 10—Voorbereiding voor de certificeringscontrole
Om in aanmerking te komen voor certificering is het van belang dat de organisatie een volledige cyclus uitvoert van interne controles, evaluaties door het management en activiteiten in het PDCA-proces, en dat de resultaten van deze evaluaties en controles worden bewaard als bewijs daarvan. Het ISMS-management zou ten minste eenmaal per jaar moeten kijken naar de risicobeoordelingen, het RTP, het SOA, en de beleidsregels en procedures.

De externe auditor kijkt eerst naar de ISMS-documenten om het bereik en de inhoud van het ISMS te bepalen. De doelstelling van de evaluatie en controle is ervoor te zorgen dat voldoende bewijsmateriaal en evaluatie-/beoordelingsdocumenten naar een auditor worden gezonden ter beoordeling. Het bewijs en de documenten tonen de efficiëntie en effectiviteit aan van het geïmplementeerde ISMS binnen de organisatie en de bedrijfsunits.

Fase 11—Periodieke herbeoordelingscontroles uitvoeren
Opvolgende beoordelingen of periodieke controles bevestigen dat de organisatie blijft voldoen aan de norm. Het onderhouden van de certificering vraagt om periodieke herbeoordelingscontroles om te bevestigen dat het ISMS nog steeds volgens de specificaties en intenties werkt. Net als alle andere ISO-normen volgt ISO 27001 de PDCA-cyclus en helpt deze het ISMS-management te weten te komen in hoeverre de onderneming deze cyclus al heeft afgelegd. Dit heeft directe gevolgen voor de tijd- en kostenschattingen met betrekking tot het realiseren van naleving.

Conclusie

Het werkelijke succes van ISO 27001 ligt in de uitlijning ervan met de zakelijke doelstellingen en de effectiviteit ervan in het realiseren van deze doelstellingen. IT en andere afdelingen spelen een belangrijke rol bij de implementatie van ISO 27001. Het implementeren van ISO 27001 leidt tot een beter begrip van de bestaande inventaris van IT-initiatieven, de beschikbaarheid van informatie en de verschillende fasen van ISMS-implementatie. De organisatie heeft ook een gedetailleerd begrip nodig van de PDCA-implementatiefasen.

Zonder een goed opgesteld en goed uitgewerkt ISO 27001- projectplan, zouden aan het implementeren van ISO 27001 veel tijd en kosten verbonden zijn. Om het geplande rendement op investering (ROI) te behalen moet het implementatieplan worden opgezet met het einddoel in gedachten. Training en interne controle zijn belangrijke onderdelen van ISO 27001-implementatie.

ISO 27001-certificering zou de meeste zakelijke partners van een organisatie gerust moeten stellen wat betreft de status van de organisatie met betrekking tot informatiebeveiliging zonder zelf beveiligingsbeoordelingen te hoeven uitvoeren. Een organisatie kiest ervoor certificering voor de norm ISO 27001 te verkrijgen om hun klanten en partners vertrouwen te schenken.

Opmerking van de auteur

Dit artikel bevat slechts algemene informatie, en Professional Consultant en de auteur verlenen door middel van dit artikel geen boekhoudkundige, zakelijke, financiële, beleggings-, juridische, fiscale of andere professionele adviezen of diensten. Raadpleeg voordat u een beslissing of stappen neemt die gevolgen zouden kunnen hebben voor uw bedrijf een gekwalificeerde professionele adviseur. Professional Consultant, haar dochterondernemingen en verwante entiteiten zijn niet aansprakelijk voor verliezen die worden geleden door personen die handelen op grond van de informatie in dit artikel.

De auteur bedankt Mary Holloway voor haar medewerking.

Voetnoten

1 De ISO 27000 Directory, “The ISO 27001 Certification Process,” www.27000.org/ismsprocess.htm
2 De ISO 27000 Directory, “Introduction to ISO 27002,” www.27000.org/iso-27002.htm
3 ISO 27001 Security, “ISO/IEC 27001,” www.iso27001security.com/html/27001.html
4 Perera, Daminda, “ISO/IEC 27001 Information Security Management System,” 26 juli 2008, www.daminda.com/downloads/ISO27001.pdf
5 Activa Consulting, “ISO 27001—Likely Costs,” www.iso-27001.co.uk/iso_27001_project_costs.htm
6 Schwartz, Mark S.; Thomas W. Dunfee; Michael J. Kline; “Tone at the Top: An Ethics Code for Directors?,” Journal of Business Ethics, vol. 58, 2005, http://lgst.wharton.upenn.edu/

Charu Pelnekar, CISA, CISM, ACA, AICWA, BCOM, CISP, CPA , MCSE, QSA
is directeur bij Professional Consultant, een adviesbureau. Hij beschikt over vaardigheden op het gebied van bedrijfs- en technologisch advies, en heeft ervaring met controleactiviteiten, risicobeheer, proces re-engineering en bedrijfsmanagement. Sinds 1993 heeft hij in een adviserende functie gewerkt bij diverse nationale en internationale bedrijven in diverse bedrijfstakken. In 2007–2008 diende hij als Vice President, en in 2006–2007 als directeur Lidmaatschap, bij de ISACA, afdeling Austin (Texas, USA). Hij is te bereiken via charpeln@hotmail.com.