ISO27001 kwaliteitssysteem, en nu aan de slag!

In de vorige blog hebben we de eisen van ISMS in overeenstemming met ISO27001 globaal besproken. Als eerste stap zijn we gestart met het bepalen van de scope en het opstellen van onze beleidsverklaring. Natuurlijk zijn hier ook de elementen meegenomen voor een ISO9001:2015 systeem. Ons einddoel is namelijk een volledig geïntegreerd bedrijfssysteem.

Een geïntegreerd kwaliteitssysteem, de route kaart

Hoewel het einddoel hetzelfde is, blijkt de aanpak voor beide normen totaal verschillend. De logische vervolgstap bij ISO9001:2015 begint bij het beschrijven van de bedrijfsprocessen. Bij implementatie van een ISO27001 kwaliteitssysteem start men gebruikelijk met een risico en impactanalyse van de (ICT) bedrijfsmiddelen. Binnen LeanForms hebben we gekozen beide trajecten synchroon uit te werken. In een later stadium laten we zien hoe we, met onze eigen software, deze beide normen eenvoudig verbinden en voor de gebruiker inzichtelijk maken.

so27001 kwaliteitssysteem

De volgende stap, de impact en afhankelijkheidsanalyse

De tweede stap bij implementatie van een ISO27001 kwaliteitssysteem is dus de impact en afhankelijkheidsanalyse. Hiervoor brengt men alle ICT-gebruiksmiddelen binnen de organisatie in kaart.  De volgende vragen komen hierbij minimaal komen aan de orde.

  • Softwareapplicaties, apps en hulpmiddelen die worden gebruikt
  • Hardware, gebruik van servers, desktop, laptop, telefoon e.d.
  • Locaties, waar worden de activiteiten uitgevoerd
  • In welke bedrijfsprocessen worden deze gebruikt
  • Welke bedrijfsinformatie wordt vastgelegd

Impactbepaling, de verschillende invalshoeken

Om de invloed (impact) van ieder individueel ICT-gebruiksmiddel op de informatiebeveiliging te bepalen wordt deze vanuit 4 verschillende invalshoeken beoordeeld; beschikbaarheid, Integriteit, vertrouwelijkheid en belang. Voordat men hier mee begint moet men dus wel de criteria opstellen voor de beoordeling. Deze criteria moeten natuurlijk in lijn zijn met je beleidsverklaring. Het is echter ook van belang dat ze geschikt zijn voor je eigen organisatie. Neem dus de tijd om deze goed te definiëren. Het resultaat van de beoordeling wordt uitgedrukt als een score op een maatlat (bv 1 is invloed nihil, 5 invloed ernstig).

Afhankelijkheden, voorkom verrassingen!

iso27001-kwaliteitssysteem

Nu komt het echte werk men moet ook de onderlinge verbanden gaan vastleggen. Want als je bijvoorbeeld de software wilt bijwerken moet je weten op welke hardware deze wordt gebruikt. Of welke data tussen verschillende applicaties wordt uitgewisseld. De zwakste schakel van de ketting bepaalt uiteindelijk de sterkte.

Tijd voor stap 3 de risicobeoordeling…

Het eindresultaat is een overzichtslijst waarvan je misschien wel schrikt 😊.  Je hebt nu alle middelen in beeld en globaal bepaald hoe belangrijk ze zijn voor de informatiebeveiliging binnen je organisatie. Als je deze nu kunt koppelen aan beveiligingsrisico’s en preventieve maatregelen is de cirkel gesloten. Ook hier wijkt de werkwijze bij de implementatie van een ISO27001 kwaliteitssysteem af ten opzichte van een regulier ISO-kwaliteit systeem.

Maar hier gaan we volgende keer verder op in.

Leestips

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.