ISMS ISO27001
ISO 9001 en ISO 27001, de stip op de horizon!
ISO 9001 en ISO 27001 combineren en integreren in één bedrijfsmanagementsysteem, dat is het doel.
Zodat we binnen onze organisatie 1 generieke blauwdruk hebben die we allemaal begrijpen, want dan gaat het pas echt werken.
Het is geen speeltje van de kwaliteitsmanager (in ISO 9001 terminologie), maar ook niet van de Security Officer (ISO 27001 praat). Kwaliteit en informatiebeveiliging gaan hand in hand met betrokkenheid van het management en alle medewerkers.
ISO 9001 en ISO 27001, we hebben het licht gezien!
De totaal verschillende benadering in risicomanagement bij ISO 27001 heeft ons wel even kopzorgen opgeleverd. Bij de meeste procesanalyses gaat men uit van een risicoanalyse met als volgende stap het definiëren van de maatregelen, het soort en type maatregelen mag je helemaal zelf bepalen.
De ISO 27001 norm dwingt organisaties echter te kijken naar 114 beschreven maatregelen. Deze lijst is in de bijlage opgenomen en nog meer in detail beschreven in de aanliggende ISO 27002 norm.
Je hoeft al deze maatregelen niet allemaal te implementeren. Maar als organisatie moet je de afzonderlijke maatregelen wel met argumenten of ze “van toepassing” of “niet van toepassing” zijn verklaren.
Je werkt dus eigenlijk terug vanuit de maatregelen naar de risico’s.
De set aan risico’s op gebied van informatiebeveiliging is niet beschreven in de norm. Maar met Google als je beste vriend (of ons!) zul je ontdekken dat hier standaard formats voor zijn te vinden.
De grote truc is nu om een logische en praktische samenhang op te stellen voor de risico’s enerzijds en de maatregelen anderzijds.
Veel consultants die organisaties helpen hebben hiervoor een hele uitgebreide Excel file die ze samen met de klant invullen.
Naast een slechte leesbaarheid, verdwijnen dit soort documenten na het project van in een kantoorlade.
De slimme oplossing voor integratie van ISO 9001 met ISO 27001
In ons digitale bedrijfsmanagementsysteem hebben we 3 slimme korte digitale formulieren aangemaakt. Met het eerste formulier voer je eenvoudig de afhankelijkheidsanalyse per informatiedrager uit. Door de opzet van het formulier zie per bedrijfsproces direct waar de zwakste schakel zit.
Het tweede formulier maakt gebruikt van 2 slimme datasets. Hierdoor wordt per risico de relatie gelegd met de te toetsen maatregelen uit ISO 27001. Vervolgens wordt het risico mét en zonder maatregelen bepaald.
Eventuele toekomstige verbeteracties worden vanuit het formulier geadresseerd aan de verantwoordelijke functionaris.
Een review en jaarlijkse periodieke beoordeling is geborgd door de ingebouwde workflow. Een totaaloverzicht (verplicht volgens de norm) wordt automatisch gegenereerd.
Tot slot hebben we een Management of Change formulier ontwikkelt waardoor toekomstige wijzigingen en uitbreidingen op gebied van informatiebeveiliging standaard worden getoetst.
In ons bedrijfsmanagementsysteem hebben we vervolgens de formulieren en resultaten aan de bedrijfsprocessen gekoppeld zodat ze voor iedereen eenvoudig beschikbaar zijn.
Samen spelen, samen delen
We gaan nu verder met het complementeren van ons eigen bedrijfsmanagementsysteem. Het streven is om eind november de interne audit uit te laten voeren. Ondanks dat dit de interne audit betreft gaan we hulp inroepen van een deskundige externe partij.
Dit om te zorgen dat we een onafhankelijke toetsing hebben en mogelijk ook weer kunnen leren. Ook onze kennis gaan we delen met onze klanten. De 3 ontworpen ISO 27001 formulieren zijn toegevoegd aan onze formulieren bibliotheek.
Deze zijn gratis te downloaden in het eigen klantendomein. Gemakkelijker kunnen we het niet maken!
Meer weten en lezen?
Ondersteuning en implementatie bij praktische kwaliteitssystemen.
De eerste stappen zijn gezet, met een kick-of bijeenkomst met het gehele team. Deze middag hebben we globaal kennis gemaakt met de inhoud van de norm, de aanpak en ook niet onbelangrijk de valkuilen.
Binnen Leanforms hebben we een kernteam geformeerd wat het voortouw gaat nemen in dit project.
Maar uiteindelijk zullen we het allemaal samen moeten doen.