De Internationale Organisatie voor Standaardisatie (ISO) is een wereldwijde organisatie die verschillende standaarden voor verschillende disciplines verzamelt en beheert. In de wereld van vandaag, met zoveel industrieën die nu afhankelijk zijn van internet en digitale netwerken, wordt er steeds meer nadruk gelegd op de technologiegedeelten van ISO-normen.
In het bijzonder is de ISO 27001-norm ontworpen om te functioneren als raamwerk voor het informatiebeveiligingsbeheersysteem (ISMS) van een organisatie. Dit omvat alle beleidsregels en processen die relevant zijn voor de manier waarop gegevens worden beheerd en gebruikt. ISO 27001 schrijft geen specifieke tools, oplossingen of methoden voor, maar fungeert in plaats daarvan als een nalevingscontrolelijst. In dit artikel gaan we in op hoe ISO 27001-certificering werkt en waarom het waarde zou opleveren voor uw organisatie.
Download de gratis Essential Gids voor naleving en regelgeving inzake gegevensbescherming in de VS
- Hoe ISO 27001-gecertificeerd te worden
- ISO 27001-nalevingsnormen
- ISO 27001-nalevingscontrolecontroles
- Hoe de ISO 27001-naleving te handhaven
- Veelgestelde vragen over ISO 27001-naleving + bronnen
Inleiding tot ISO 27001
De ISO publiceerde zijn familie van standaarden voor het eerst in 2005 en heeft sindsdien heeft de verschillende beleidsregels periodiek bijgewerkt. Voor ISO 27001 zijn de laatste grote wijzigingen doorgevoerd in 2013. De eigendom van ISO 27001 wordt feitelijk gedeeld tussen de ISO en de International Electrotechnical Commission (IEC), een Zwitserse organisatie die zich primair richt op elektronische systemen.
Het doel van ISO 27001 is om een raamwerk van standaarden te bieden voor hoe een moderne organisatie hun informatie en gegevens moet beheren. Risicobeheer is een belangrijk onderdeel van ISO 27001 en zorgt ervoor dat een bedrijf of non-profitorganisatie begrijpt waar hun sterke en zwakke punten liggen. ISO-volwassenheid is een teken van een veilige, betrouwbare organisatie die kan worden vertrouwd met gegevens.
Bedrijven van elke omvang moeten het belang van cybersecurity erkennen, maar het eenvoudigweg opzetten van een IT-beveiligingsgroep binnen de organisatie is dat niet voldoende om de gegevensintegriteit te waarborgen. Een ISMS is een cruciale tool, vooral voor groepen die verspreid zijn over meerdere locaties of landen, aangezien het alle end-to-end-processen omvat die verband houden met beveiliging.
Er moet een ISMS (informatiebeveiligingsbeheersysteem) bestaan als een levende set documentatie binnen een organisatie ten behoeve van risicomanagement. Tientallen jaren geleden printten bedrijven het ISMS uit en distribueerden het onder de werknemers voor hun bekendheid. Tegenwoordig moet een ISMS online worden opgeslagen op een veilige locatie, meestal een kennismanagementsysteem. Medewerkers moeten op elk moment naar het ISMS kunnen verwijzen en moeten worden gewaarschuwd als er een wijziging wordt doorgevoerd. Bij het zoeken naar ISO 27001-certificering is het ISMS het belangrijkste referentiemateriaal dat wordt gebruikt om het nalevingsniveau van uw organisatie te bepalen.
ISO 27001 kan dienen als richtlijn voor elke groep of entiteit die hun informatiebeveiliging wil verbeteren methoden of beleid. Voor die organisaties die op dit gebied de beste willen zijn, is ISO 27001-certificering het ultieme doel. Volledige naleving betekent dat uw ISMS geacht wordt alle best practices op het gebied van cyberbeveiliging te volgen om uw organisatie te beschermen tegen bedreigingen zoals ransomware.
In bepaalde bedrijfstakken die zeer gevoelige classificaties van gegevens hanteren, waaronder medische en financiële velden is ISO 27001-certificering een vereiste voor leveranciers en andere derde partijen. Tools zoals Varonis Data Classification Engine kunnen helpen om deze kritische datasets te identificeren. Maar ongeacht in welke branche uw bedrijf zich bevindt, het aantonen van ISO 27001-naleving kan een enorme overwinning zijn. In het bijzonder zal de certificering aan klanten, overheden en regelgevende instanties bewijzen dat uw organisatie veilig en betrouwbaar is. Dit verbetert uw reputatie op de markt en helpt u financiële schade of boetes als gevolg van datalekken of beveiligingsincidenten te voorkomen.
Wat gebeurt er als u niet voldoet aan ISO 27001? Als uw organisatie eerder een certificering heeft ontvangen, loopt u het risico dat u niet slaagt voor een toekomstige audit en uw nalevingsaanduiding verliest. Het kan er ook voor zorgen dat u uw bedrijf niet kunt runnen in bepaalde geografische gebieden.
Hoe u ISO 27001-gecertificeerd kunt worden
Het ontvangen van een ISO 27001-certificering is doorgaans een meerjarig proces dat aanzienlijke betrokkenheid vereist van zowel interne als externe belanghebbenden. Het is niet zo eenvoudig als het invullen van een checklist en deze ter goedkeuring voorleggen. Voordat u zelfs maar overweegt om certificering aan te vragen, moet u ervoor zorgen dat uw ISMS volledig volwassen is en alle potentiële gebieden van technologierisicos dekt.
Het ISO 27001-certificeringsproces is doorgaans opgedeeld in drie fasen:
- De organisatie huurt een certificeringsinstantie in die vervolgens een basisevaluatie van het ISMS uitvoert om te zoeken naar de belangrijkste vormen van documentatie.
- De certificatie-instelling voert een meer diepgaande audit uit waarbij individuele componenten van ISO 27001 worden gecontroleerd aan de hand van het ISMS van de organisatie. Er moet bewijs worden geleverd dat het beleid en de procedures op de juiste manier worden gevolgd. De hoofdauditor is verantwoordelijk om te bepalen of de certificering al dan niet is behaald.
- Follow-upaudits worden gepland tussen de certificeringsinstelling en de organisatie om ervoor te zorgen dat de naleving onder controle wordt gehouden.
Wat zijn de ISO 27001-normen?
Alvorens aan een ISO 27001-certificeringspoging te beginnen, moeten alle belangrijke belanghebbenden binnen een organisatie goed op de hoogte zijn van hoe de norm is opgesteld en gebruikt. ISO 27001 is onderverdeeld in 12 afzonderlijke secties:
- Inleiding – beschrijft wat informatiebeveiliging is en waarom een organisatie risicos moet beheren.
- Reikwijdte – omvat eisen op hoog niveau voor een ISMS van toepassing op alle typen of organisaties.
- Normatieve verwijzingen – legt de relatie uit tussen ISO 27000- en 27001-normen.
- Termen en definities – behandelt de complexe terminologie die binnen de norm wordt gebruikt .
- Context van de organisatie – legt uit welke belanghebbenden betrokken moeten worden bij het creëren en onderhouden van het ISMS.
- Leiderschap – beschrijft hoe leiders binnen de organisatie zich moeten committeren aan het ISMS-beleid en de procedures .
- Planning – geeft een overzicht van hoe risicobeheer in de hele organisatie moet worden gepland.
- Ondersteuning – beschrijft hoe het bewustzijn over informatiebeveiliging kan worden vergroot en verantwoordelijkheden kunnen worden toegewezen.
- Operation – behandelt hoe risicos moeten worden beheerd en hoe documentatie wordt uiteengezet moet worden uitgevoerd om te voldoen aan auditnormen.
- Prestatie-evaluatie – geeft richtlijnen voor het bewaken en meten van de prestaties van het ISMS.
- Verbetering – legt uit hoe het ISMS voortdurend moet worden bijgewerkt en verbeterd, vooral na audits.
- Referentiecontroledoelstellingen en -controles – biedt een bijlage met details over de individuele elementen van een audit.
Wat zijn de ISO 27001-controlecontroles?
De documentatie voor ISO 27001 splitst de best practices op in 14 afzonderlijke controles. Certificeringsaudits hebben betrekking op alle controles tijdens nalevingscontroles. Hier is een korte samenvatting van elk deel van de standaard en hoe deze zich vertaalt naar een real-life audit:
- Informatiebeveiligingsbeleid – geeft aan hoe beleid moet worden geschreven in het ISMS en moet worden beoordeeld op naleving . Auditors zullen kijken hoe uw procedures worden gedocumenteerd en regelmatig worden herzien.
- Organisatie van informatiebeveiliging – beschrijft welke delen van een organisatie verantwoordelijk moeten zijn voor welke taken en acties. Auditors verwachten een duidelijk organigram met verantwoordelijkheden op hoog niveau op basis van rol.
- Human Resource Security – beschrijft hoe werknemers moeten worden geïnformeerd over cyberveiligheid bij het starten, verlaten of wisselen van functie. Auditors zullen duidelijk gedefinieerde procedures willen zien voor onboarding en offboarding als het gaat om informatiebeveiliging.
- Asset Management – beschrijft de processen die betrokken zijn bij het beheren van gegevensactiva en hoe deze moeten worden beschermd en beveiligd. Auditors zullen controleren hoe uw organisatie hardware, software en databases bijhoudt. Het bewijs moet alle gangbare tools of methoden omvatten die u gebruikt om de gegevensintegriteit te waarborgen.
- Toegangscontrole – geeft richtlijnen over hoe de toegang van werknemers moet worden beperkt tot verschillende soorten gegevens. Auditors zullen een gedetailleerde uitleg moeten krijgen over hoe toegangsprivileges worden ingesteld en wie verantwoordelijk is voor het onderhoud ervan.
- Cryptografie – behandelt best practices in encryptie. Auditors zoeken naar delen van uw systeem die omgaan met gevoelige gegevens en het type versleuteling dat wordt gebruikt, zoals DES, RSA of AES.
- Fysieke en omgevingsbeveiliging – beschrijft de processen voor het beveiligen van gebouwen en interne apparatuur. Auditors zullen controleren op eventuele kwetsbaarheden op de fysieke site, inclusief hoe toegang is verleend tot kantoren en datacentra.
- Operationele beveiliging – biedt richtlijnen voor het veilig verzamelen en opslaan van gegevens, een proces dat nieuwe urgentie dankzij de goedkeuring van de Algemene Verordening Gegevensbescherming (AVG) in 2018. Auditors zullen vragen om bewijs van gegevensstromen en uitleg over waar informatie is opgeslagen.
- Communicatiebeveiliging – omvat de beveiliging van alle transmissies binnen het netwerk van een organisatie. Auditors verwachten een overzicht van welke communicatiesystemen worden gebruikt, zoals e-mail of videoconferenties, en hoe hun gegevens veilig worden bewaard.
- Systeemacquisitie, ontwikkeling en onderhoud – beschrijft de processen voor het beheren van systemen in een beveiligde omgeving. Auditors zullen bewijs willen dat alle nieuwe systemen die in de organisatie worden geïntroduceerd, voldoen aan hoge beveiligingsnormen.
- Relaties met leveranciers – behandelt hoe een organisatie moet omgaan met derden terwijl de veiligheid wordt gegarandeerd. Auditors zullen alle contracten bekijken met externe entiteiten die mogelijk toegang hebben tot gevoelige gegevens.
- Informatiebeveiligingsincidentbeheer – beschrijft de beste praktijken voor het reageren op beveiligingskwesties. Auditors kunnen vragen om een brandoefening uit te voeren om te zien hoe incidentbeheer binnen de organisatie wordt afgehandeld. Dit is waar het hebben van software zoals SIEM om abnormaal systeemgedrag te detecteren en categoriseren van pas komt.
- Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer – behandelt hoe bedrijfsonderbrekingen en grote veranderingen moeten worden behandeld. Auditors kunnen een reeks theoretische verstoringen veroorzaken en verwachten dat het ISMS de nodige stappen dekt om hiervan te herstellen.
- Naleving – geeft aan welke overheids- of branchevoorschriften relevant zijn voor de organisatie, zoals ITAR. Auditors zullen bewijs willen zien van volledige naleving voor elk gebied waar het bedrijf actief is.
Een fout die veel organisaties maken, is dat alle verantwoordelijkheden voor ISO-certificering bij het lokale IT-team worden gelegd. Hoewel informatietechnologie de kern vormt van ISO 27001, moeten de processen en procedures worden gedeeld door alle onderdelen van de organisatie. Dit concept vormt de kern van het idee om devops om te zetten in devsecops.
Bij de voorbereiding op een ISO 27001-certificeringsaudit, is het raadzaam om hulp in te roepen van een externe groep met compliance-ervaring. De Varonis-groep heeft bijvoorbeeld de volledige ISO 27001-certificering behaald en kan kandidaten helpen bij het voorbereiden van het vereiste bewijs voor gebruik tijdens audits. Varonis biedt ook softwareoplossingen zoals Datalert om het ISMS van een organisatie in de praktijk te helpen brengen.
Tips om ISO 27001-conformiteit te handhaven
Het behalen van een initiële ISO 27001-certificering is slechts de eerste stap om volledig compliant te zijn. Het handhaven van de hoge normen en best practices is vaak een uitdaging voor organisaties, aangezien werknemers de neiging hebben hun toewijding te verliezen nadat een audit is voltooid. Het is de verantwoordelijkheid van het leiderschap om ervoor te zorgen dat dit niet gebeurt.
Gezien hoe vaak nieuwe werknemers bij een bedrijf komen, zou de organisatie driemaandelijkse trainingssessies moeten houden zodat alle leden het ISMS begrijpen en hoe het wordt gebruikt. Van bestaande werknemers moet ook worden geëist dat ze slagen voor een jaarlijkse test die de fundamentele doelstellingen van ISO 27001 versterkt.
Om compliant te blijven, moeten organisaties elke drie jaar hun eigen interne ISO 27001-audits uitvoeren. Cybersecurity-experts bevelen aan om dit jaarlijks te doen om de risicobeheerpraktijken te versterken en eventuele hiaten of tekortkomingen te zoeken. Producten zoals Datadvantage van Varonis kunnen helpen om het auditproces te stroomlijnen vanuit een dataperspectief.
Er moet een ISO 27001-taskforce worden gevormd met belanghebbenden uit de hele organisatie. Deze groep moet maandelijks bijeenkomen om eventuele openstaande problemen te beoordelen en updates van de ISMS-documentatie te overwegen. Een resultaat van deze taskforce zou een nalevingscontrolelijst moeten zijn, zoals hier beschreven:
- Verkrijg managementondersteuning voor alle ISO 27001-activiteiten.
- Behandel ISO 27001-naleving als een voortdurende project.
- Bepaal de reikwijdte van hoe ISO 27001 van toepassing zal zijn op verschillende delen van uw organisatie.
- Schrijf en update het ISMS-beleid, dat uw cyberbeveiligingsstrategie op hoog niveau beschrijft.
- Definieer de methodologie voor risicobeoordeling om vast te leggen hoe problemen worden geïdentificeerd en afgehandeld.
- Voer regelmatig een risicobeoordeling en behandeling uit zodra de problemen zijn ontdekt.
- Schrijf een toepasselijkheidsverklaring om te bepalen welke ISO 27001-beheersmaatregelen van toepassing zijn.
- Schrijf een risicobehandelingsplan zodat alle belanghebbenden weten hoe bedreigingen worden beperkt. Het gebruik van bedreigingsmodellering kan helpen om deze taak te volbrengen.
- Definieer de meting van controles om te begrijpen hoe de beste praktijken van ISO 27001 presteren.
- Implementeer alle controles en verplichte procedures zoals uiteengezet in de ISO 27001-norm.
- Trainings- en bewustmakingsprogrammas implementeren voor alle personen binnen uw organisatie die toegang hebben tot fysieke of digitale middelen.
- Gebruik het ISMS als onderdeel van de dagelijkse routine van uw organisatie.
- Controleer het ISMS om te begrijpen of het effectief wordt gebruikt.
- Voer interne audits uit om uw voortdurende naleving te meten.
- Beoordeel de auditresultaten met het management.
- Stel indien nodig corrigerende of preventieve maatregelen in.
Beknopte handleiding voor ISO 27001: veelgestelde vragen
Het proces en de reikwijdte van de ISO 27001-certificering kunnen behoorlijk ontmoedigend zijn, dus laten we enkele veelgestelde vragen bespreken.
V: Wat zijn ISO 27001-vereisten?
A: Om een ISO 27001-certificering te behalen, moet een organisatie een ISMS onderhouden dat alle aspecten van de standaard omvat. Daarna kunnen ze een volledige audit aanvragen bij een certificeringsinstantie.
V: Wat betekent het om ISO 27001-gecertificeerd te zijn?
A: ISO 27001-gecertificeerd zijn betekent dat uw organisatie heeft de externe audit met succes doorstaan en voldoet aan alle nalevingscriteria. Dit betekent dat u nu reclame kunt maken voor uw compliance om uw cyberbeveiligingsreputatie een boost te geven.
V: Wat is de nieuwste ISO 27001-norm?
A: De nieuwste norm staat officieel bekend als ISO / IEC 27001: 2013. Het werd in 2013 gepubliceerd als de tweede officiële editie van ISO 27001. De norm is voor het laatst herzien en bevestigd in 2019, wat betekent dat er geen wijzigingen nodig waren.
V: Is ISO 27001 GDPR-compatibel?
A: Omdat ISO 27001 voornamelijk een raamwerk is voor het ontwikkelen van een ISMS, dekt het niet alle specifieke regels van de Algemene Verordening Gegevensbescherming (AVG) die door de Europese Unie is ingesteld. In combinatie met ISO 27701, dat betrekking heeft op het opzetten van een gegevensprivacysysteem, kunnen organisaties volledig voldoen aan de vereisten die zijn gespecificeerd in de AVG.
V: Wat zijn de belangrijkste overeenkomsten of verschillen tussen SOX en ISO 27001?
A: Terwijl ISO 27001 het algemene beheer van informatie en gegevens omvat, is de Sarbanes-Oxley Act (SOX) specifiek voor de manier waarop financiële informatie in de Verenigde Staten wordt vrijgegeven. Gelukkig voor bedrijven met een breed scala aan gegevensbeheer, zal het behalen van ISO 27001-certificering ook helpen om naleving van SOX-normen te bewijzen.
V: Wat is het doel van andere ISO?
A: De ISO handhaaft een volledige set normen die onder ISO 27001 vallen. Deze nemen allemaal concepten uit het raamwerk en duiken in meer specifieke richtlijnen voor het invoeren van beste praktijken binnen een organisatie.
Bronnen
- Groenboek over hoe ISO 27001 cyberrisicos kan verminderen
- Webinar over hoe u een succesvolle ISO 27001-audit kunt garanderen
- Casestudys over ISO 27001-naleving
Ongeacht de grootte van uw bedrijf of in welke branche u ook werkt, het behalen van ISO 27001-certificering kan een enorme overwinning zijn. Het is echter een uitdagende taak, dus het is belangrijk om andere belanghebbenden en middelen in te zetten tijdens een nalevingsproject. Met tools zoals Varonis Edge kunt u cyberaanvallen een halt toeroepen voordat ze uw netwerk bereiken, terwijl u ook aantoont dat u aan ISO 27001 voldoet.