Het eerste artikel in deze korte reeks behandelt waar ISO/IEC 27001 voor staat en waarom het voor elk type organisatie nuttig is om een algemeen systeem voor informatiebeveiligingsbeheer (ISMS) op te zetten. Dit artikel bouwt hierop verder door de vereisten van de ISO 27001 inhoudelijk toe te lichten.

 

Wat vereist ISO 27001?

Zoals in het vorige artikel aangehaald, ligt de focus van ISO 27001 (en de hieraan gekoppelde ISO 27002-standaard) op het beschermen van de vertrouwelijkheid (confidentiality), integriteit (integrity) en beschikbaarheid (availability) van de informatie/data binnen de organisatie. De zgn. “CIA-triad”.

Om dit te bewerkstelligen dient er een gestructureerd kader (zijnde het managementsysteem of het ISMS) opgezet te worden. Sectie nul tot en met drie bevat een introductie, toepassingsgebied, normatieve verwijzingen en termen en definities. De hierop volgende onderdelen van het structureel kader zijn als volgt opgebouwd:

4. Context van de organisatie
a. Bepaal de context van de organisatie (4.1)
b. Bepaal de belanghebbenden van de organisatie (klanten, aandeelhouders, toezichthouders) (4.2)
c. Bepaal de scope of draagwijdte van het management systeem (4.3).

5. Leiderschap
a. Toon leiderschap en betrokkenheid als organisatieleiding (5.1)
b. Maak het informatiebeveiligingsbeleid (“Information Security Policy”) op (5.2)
c. Bepaal de rollen, verantwoordelijkheden en bevoegdheden (5.3)

6. Planning
a. Bepaal maatregelen om risico’s te beperken en opportuniteiten te benutten (6.1.1)
b. Definieer een proces voor risico-inventarisatie (6.1.2) en het behandelen van risico’s (6.1.3).
c. Bepaal meetbare doelstellingen op het vlak van informatiebeveiliging en zet de planning op om deze doelstellingen te kunnen realiseren (6.2)

7. Ondersteuning
a. Voorzie voldoende middelen voor het ISMS op te zetten en te bestendigen (7.1)
b. Voorzie voldoende training, kennis en competenties om het ISMS op te zetten en te onderhouden (7.2)
c. Besteed voldoende aandacht aan bewustzijn bij alle medewerkers in scope (7.3
d. Voorzie een communicatieplan voor interne en externe communicatie m.b.t. informatiebeveiliging (7.4)
e. Documenteer het ISMS (inclusief omvang, complexiteit, kennis van mensen) (7.5.1). Deze documentatie moet regelmatig worden bijgewerkt (7.5.2) en ook gecontroleerd beschikbaar zijn (7.5.3)

8. Uitvoering
a. Plan, implementeer en controleer processen (8.1)
b. Voer op regelmatige basis risicoanalyses uit (8.2)
c. Implementeer het informatiebeveiligingsrisico-behandelplan (8.2)

9. Evaluatie van de prestaties
a. Monitor de effectiviteit van het ISMS aan de hand van gestelde doelen (9.1)
b. Plan en voer interne audits uit (9.2)
c. Plan en voer managementreviews (of directiebeoordelingen) uit (9.3)

10. Verbetering
a. Reageer bij afwijkingen met corrigerende maatregelen (10.1)
b. Zorg voor continue verbetering van het informatiebeveiligingssysteem (10.2)

Verplichte documenten voor ISO 27001

ISO 27001 bevat ook een lijst aan beleidslijnen, procedures, plannen, verslagen en andere documenten die verplicht uitgeschreven moeten zijn (voor zover van toepassing voor uw organisatie) om te kunnen voldoen aan de standaard.

Volgende documenten moeten geformaliseerd zijn volgens de ISO 27001-standaard:

a. Scope van het ISMS (hoofdstuk 4.3)
b. Informatiebeveiligingsbeleid en -doelstellingen (hoofdstukken 5.2 en 6.2)
c. Methodologie voor risicobeoordeling en risicobehandeling (hoofdstuk 6.1.2)
d. Verklaring van Toepasselijkheid (hoofdstuk 6.1.3 d)
e. Plan voor risicobehandeling (hoofdstuk 6.1.3 e en 6.2)
f. Risicobeoordelingsverslag (hoofdstuk 8.2)
g. Definitie van beveiligingsrollen en -verantwoordelijkheden (controles A.7.1.2 en A.13.2.4)
h. Inventaris van de bedrijfsmiddelen (controle A.8.1.1)
i. Aanvaardbaar gebruik van middelen (controle A.8.1.3)
j. Beleid inzake toegangscontrole (controle A.9.1.1)
k. Operationele procedures voor IT-beheer (controle A.12.1.1)
l. Beginselen voor veilige systeemontwikkeling (controle A.14.2.5)
m. Beleid inzake beveiliging van leveranciers (controle A.15.1.1)
n. Incidentenbeheerprocedure (controle A.16.1.5)
o. Procedures voor bedrijfscontinuïteit (controle A.17.1.2)
p. Wettelijke, reglementaire en contractuele vereisten (controle A.18.1.1)

Daarnaast moeten volgende informatierecords bijgehouden worden:

a. Gegevens over opleiding, vaardigheden, ervaring en kwalificaties (clausule 7.2)
b. Resultaten van monitoring en metingen (clausule 9.1)
c. Programma voor interne audit (clausule 9.2)
d. Resultaten van interne audits (clausule 9.2)
e. Resultaten van de directiebeoordeling (clausule 9.3)
f. Resultaten van corrigerende maatregelen (clausule 10.1)
g. Logboeken van gebruikersactiviteiten, uitzonderingen en beveiligingsgebeurtenissen (controles A.12.4.1 en A.12.4.3)

Het staat de organisatie vrij – en het is vaak ook aangeraden - om nog extra zaken te documenteren. Vergeet ook niet om een fysieke kopie van de meest belangrijke procedures centraal ter beschikking te stellen van alle relevante actoren, zodoende deze onmiddellijk beschikbaar te hebben bij bv. een informatiebeveiligingsincident of het onbeschikbaar zijn van de IT-infrastructuur.

Misverstanden rond ISO 27001

Een eerste misverstand dat bestaat is dat u elke mogelijke informatiebeveiligingscontrole moet implementeren en de effectiviteit van deze controles frequent moet testen. De waarheid is echter dat uw organisatie dient te bepalen wat de risico’s zijn en welke maatregelen nodig zijn om deze risico’s te mitigeren. Niettemin wordt er in de praktijk wel steeds een harde kern van ‘best practice’-maatregelen die door vele organisaties ingevoerd worden. Annex A van ISO27001 (overzicht van ISO 27002-controles) bevat een heleboel ‘best practice’-maatregelen waar uw organisatie op kan terugvallen. In industriële omgevingen kan er ook teruggevallen worden op de ‘best practices’ gedefinieerd in IEC 62443.

Een ander misverstand is dat je als organisatie voor ISO 27001 moet certifiëren om als organisatie conform te zijn met ISO 27001. Zoals in het eerste artikel van deze reeks besproken werd, is het zeker interessant om te certifiëren. Maar door je als organisatie te aligneren met de ISO 27001-standaard, kan je ook perfect ISO 27001-conform zijn en de gewenste meerwaarde voor uw organisatie realiseren.

Een laatste misverstand dat leeft, is dat ISO 27001-implementatie een IT-zaak is. Maar niets is minder waar: zonder managementbetrokkenheid en zonder betrokkenheid van en afdoende bewustzijn bij alle medewerkers van uw organisatie, zal uw informatiebeveiligingbeheerssysteem niet naar behoren werken. Bijgevolg zal uw organisatie niet voldoen aan de vereisten van ISO 27001.

Conclusie

De ISO 27001-standaard (en bij uitbreiding de ISO/IEC 27002-standaard) voorziet in een kader van algemene principes voor het initiëren, implementeren, handhaven en verbeteren van de informatiebeveiliging in uw organisatie.

Hoewel de hoeveelheid aan vereisten op het eerste zicht overdonderend kan zijn, zal je als organisatie al snel merken dat – naast de vereiste formalisatie op het vlak van procedures / policies en de ‘best practice’-maatregelen (opgenomen in de ISO/IEC 27002-standaard) – de ISO 27001-principes een goede houvast bieden om de organisatie verder te professionaliseren en bijgevolg een meerwaarde kunnen leveren voor uw organisatie.

Heeft u vragen over de ISO 27001- of IEC 62443-standaard? Wenst u meer informatie over hoe het pragmatisch opzetten van een ISMS op maat van uw organisatie in zijn werk gaat? Of wil u meer te weten komen over informatiebeveiliging op maat van uw organisatie in het algemeen? Neem dan zeker contact met ons op via de website, per telefoon +32 3 361 66 31, per e-mail (cyber@clipeum.be)!

 

Frederik Vervoort – 09/08/2021