ISO27001 / NEN7510 Implementatie begeleiding

inTECHrity kan uw ISO27001 certificeringsproject begeleiden, van opzet tot uiteindelijke certificering. Op basis van jarenlange ervaring in het begeleiden van ISO27001 certificeringsprojecten heeft inTECHrity een “best- practices aanpak” ontwikkeld voor de begeleiding van ISO27001 certificering projecten.

Standaard aanpak

Primair gaan een ISO27001 / NEN7510 certificering over het Information Security Management System (ISMS). Waarbij er een aantal “best-practices” stappen moeten worden doorlopen om tot een certificering te komen. Onderstaande figuur geeft dezeISO27001-Begeleiding

ISO27001 Implementatie stappen “Best- Practice” stappen om te komen tot een ISO27001 certificering

1. Krijg management support

Een ISO27001 certificering dient primair gedragen te worden door het management. Een eerste stap in deze management commitment is het accorderen van de onderliggende business case voor de ISO27001 certificering.

2. Bepaal ISMS scope

 

De tweede stap in het project is het bepalen en vastleggen van de scope (de omgeving waar de ISO27001 certificering op van toepassing is).

3. Business Impact Analyse (BIA)

Op basis van de scope dient vanuit de business bepaalt te worden welke onderdelen binnen die omgeving een impact hebben als de Beschikbaarheid, Integriteit en/of Vertrouwelijkheid (BIV) van informatie geschaad wordt.

4. Risk Assessment (RA)

Op basis van de BIA is het duidelijk over welke onderdelen een risico analyse moet worden uitgevoerd. m.a.w. voor die onderdelen welke ondersteunend zijn aan de omgeving(en) die een business impact hebben indien de Beschikbaarheid, Integriteit en/of Vertrouwelijkheid geschaad wordt, dienen geanalyseerd te worden aan welke mogelijke risico’s zij bloot gesteld zijn.

5.

a. Voorbereiden Verklaring van Toepasselijkheid

Op basis van het risico profiel dient vervolgens de verklaring van toepasselijkheid (Statement of Applicability (SoA)) samengesteld te worden. Deze SoA geeft weer welke controls vanuit het ISO27001 normenkader toepasselijk zijn voor de organisatie en welke niet.

b. Voorbereiden Risico Behandeling Plan

Op basis van de toepasselijk verklaarde controls dient er een risk treatment plan gemaakt te worden welke beschrijft hoe een maatregelen er geïmplementeerd moeten worden om het gerelateerde risico te mitigeren.

6. Ontwikkel ISMS Uitvoeringsprogramma

Op basis van het Risk Treatment Plan dient er een programma gedefinieerd te worden, waarin verschillende “treatments” samengevoegd worden tot deelprojecten welke als zodanig vanuit dit project programma bestuurd kunnen worden.

7. Projecten

Vanuit het ISMS Implementation programma worden de verschillende deelprojecten uitgevoerd.

8. Pre-certificering assessment

Nadat de verschillende deelprojecten hun mitigerende maatregelen hebben geïmplementeerd dienen deze getoetst te worden aan de praktijk, zodat, vooraf aan de officiële externe audit, duidelijkheid bestaat over de mate van implementatie van de mitigerende maatregel in de staande organisatie.

9. Certificering Audit

Nadat de organisatie zich er zelf van overtuigd heeft of zij klaar is voor de officiële audit, middels de pre certification assessment, dient de certification audit uit gevoerd te worden. Deze bestaat in de meeste gevallen uit 2 hoofd audits:

  • Documentatie Audit: In deze audit zal de externe auditor zich primair richten op de aanwezige documentatie omtrent ISO27001
  • Implementatie Audit: In deze audit zal de externe auditor zich primair richten op de invulling van de beschreven invulling van ISO27001 in de staande organisatie.

Doorlooptijden en hoeveelheid werk zijn afhankelijk van de te certificeren organisatie. Waaronder de grote van de organisatie en hoeveelheid locaties.

Bent u geïnteresseerd en wilt u meer informatie.

Neem dan contact met ons op contact_icoon