Academie thuis
Blogs
Belangrijkste documenten bij ISO 27001 certificeringsaudit
Onderdeel van ISO 27001-collectie
Onderdeel van NIS2-collectie

Belangrijkste documenten bij ISO 27001 certificeringsaudit

ISO 27001 collectie
Belangrijkste documenten bij ISO 27001 certificeringsaudit
NIS2-verzameling
Belangrijkste documenten bij ISO 27001 certificeringsaudit
Cyberday blog
Belangrijkste documenten bij ISO 27001 certificeringsaudit

Hoewel documentatie een essentieel onderdeel is van ISO 27001, gaat de norm in essentie over het opbouwen van een effectief, op risico gebaseerd en op het bedrijf afgestemd ISMS (Information Security Management System).

Sommige organisaties benaderen ISO 27001 slechts als een checkbox-oefening om door een audit te komen, waarbij papierwerk prioriteit krijgt boven daadwerkelijke beveiligingsverbeteringen. Als u vindt dat het proces te veel gericht is op papierwerk, is het de moeite waard om de implementatieaanpak opnieuw te evalueren om deze praktischer en impactvoller te maken voor uw organisatie.

Wat is de rol van documenten en documentatie met betrekking tot ISO 27001?

Documentatie is slechts een mechanisme om te zorgen voor consistentie, controleerbaarheid en auditeerbaarheid met betrekking tot het opbouwen van het ISMS. Iedereen kan zeker begrijpen waarom het belangrijk is om informatiebeveiligingsprocessen en -procedures op papier te hebben - niet alleen in het hoofd van de CISO of een andere belangrijke informatiebeveiligingsvertegenwoordiger.

Documentatie is ook belangrijk vanuit meerdere andere oogpunten:

  • Biedt bewijs: Documentatie levert bewijs van naleving en maakt in het algemeen je informatiebeveiliging controleerbaar.
  • Verbetert de consistentie: Documentatie zorgt voor consistentie en duidelijkheid in uw beveiligingsimplementatie.
  • Maakt verantwoording mogelijk: Documentatie maakt verantwoording mogelijk en vergemakkelijkt de communicatie over uw informatiebeveiliging.

Je hoeft documentatie hier niet op de ouderwetse manier te zien. Documentatie kan bijvoorbeeld ook bestaan uit taken en middelen, hun beschrijvingen en hun eigenaren binnen een slim ISMS-systeem. We hebben het niet over moeilijk te onderhouden Word-documenten met handmatige versielogboeken. De sleutel is om dingen gedefinieerd te hebben.

Maar de ISO 27001-norm definieert specifiek een aantal belangrijke documenten die moeten worden verzameld en gemakkelijk moeten kunnen worden gedeeld door bijvoorbeeld de auditor. In deze blog presenteren we deze belangrijkste documenten voor een ISO 27001-certificeringsaudit.

Wat zijn de belangrijkste documenten bij een ISO 27001-certificeringsaudit?

In dit gedeelte worden de belangrijkste documenten op het hoogste niveau voor de implementatie van ISO 27001 opgesomd en wordt een korte samenvatting gegeven van hun doel en belang.

Verklaring van Toepasselijkheid (SoA)

Wat is het?

  • Een document met alle controles van ISO 27002 en details over de status van elke controle (bijvoorbeeld de implementatiestatus van de controle, een korte beschrijving van de implementatie en controles die niet van toepassing worden geacht).

Waarom is het belangrijk?

  • SoA fungeert als de centrale referentie voor je ISMS.
  • Creëert een overzicht voor uw organisatie om de voortgang van de implementatie van ISO 27002 controles te volgen.
  • Demonstreer de beweegredenen van uw organisatie achter de geselecteerde controles om aan de beveiligingsdoelstellingen te voldoen.
  • Auditors kijken hier vaak kritisch naar om consistentie met je risicobeoordeling en andere documentatie te controleren.
  • Het belangrijkste document tijdens een ISO 27001 certificeringsaudit, omdat het betrekking heeft op de implementatie van alle 93 ISO 27002 controles.

De Verklaring van Toepasselijkheid (SoA) in ISO 27001 is een document met een unieke naam, maar er kan soms ook naar worden verwezen met alternatieve namen (bijvoorbeeld ISO 27001-controleverklaring, bijlage A control mapping of ISO 27001 Control Applicability Statement). Hoewel er soms alternatieve namen kunnen worden gebruikt, is het van cruciaal belang om het kerndoel van de SoA te behouden, namelijk het identificeren van toepasselijke controles, het rechtvaardigen van hun opname of uitsluiting en het beschrijven van hun implementatie.

Beschrijving van het ISMS van uw organisatie en de reikwijdte ervan

Wat is het?

  • Ditdocument moet de auditor uitleggen hoe het ISMS van de organisatie is opgebouwd, wordt gebruikt en gecontroleerd. Het legt ook uit welke delen van de organisatie onder het ISMS vallen, wat de belangrijkste rollen zijn, welk soort informatie aan het ISMS gekoppeld is en hoe die gecontroleerd wordt. Door dit document door te nemen, weet de auditor hoe hij de belangrijkste informatie met betrekking tot de certificeringsaudit kan vinden.

Waarom is het belangrijk?

  • Definieert het aandachtsgebied voor je ISMS-implementatie.
  • Helpt ervoor te zorgen dat het voor iedereen (intern team, auditors, belanghebbenden) duidelijk is wat er onder het ISMS valt en welke inhoud ermee samenhangt.
  • Het niet goed afstemmen van het toepassingsgebied kan leiden tot non-conformiteiten tijdens de certificering.

Informatiebeveiligingsbeleid van de organisatie

Wat is het?

  • ‍Eendocument op hoog niveau dat beschrijft hoe uw organisatie omgaat met informatiebeveiliging, naleving van geselecteerde best practices en bijvoorbeeld de rol van het topmanagement bij het garanderen van naleving en de benodigde ondersteuning voor het werk.

Waarom is het belangrijk?

  • Zet de toon voor het ISMS en toont de steun van het topmanagement.
  • Biedt werknemers en belanghebbenden advies over het belang van beveiliging.
  • Moet gecommuniceerd worden voor werknemers en deelbaar zijn voor andere belanghebbenden, dus meestal nemen bedrijven niet veel details op in dit document (moet op hoog niveau blijven).
  • Dit is vaak een van de eerste documenten die auditors willen zien.

Procedure voor risicobeheer

Wat is het?

  • Beschrijftje proces voor het identificeren, evalueren en behandelen van risico's voor informatiebeveiliging. Dus eigenlijk beschrijft dit document je risicomanagementmethode.

Waarom is het belangrijk?

  • Risicobeheer vormt de kern van ISO 27001.
  • Zorgt ervoor dat risico's consistent worden geïdentificeerd en beperkt op basis van de risicobereidheid van uw organisatie.
  • Vormt de basis voor voortdurende verbetering vanuit een risicogebaseerd oogpunt, nadat bijvoorbeeld de certificering al een keer is behaald.

Interne auditprocedure

Wat is het?

  • Beschrijftje proces voor het uitvoeren van interne audits en het bijhouden van een auditschema. U moet de resultaten van een interne audit die volgens de procedure is uitgevoerd, vóór de certificeringsaudit kunnen presenteren (anders is er sprake van een belangrijke tekortkoming).

Waarom is het belangrijk?

  • Interne audits zorgen voor voortdurende naleving en effectiviteit van het ISMS.
  • Biedt bewijs van voortdurende verbetering en paraatheid voor certificeringsaudits.
  • Helpt zwakke punten of hiaten te identificeren voordat externe auditors dat doen.

Management beoordelingsprocedure

Wat is het?

  • Beschrijftje proces voor het uitvoeren van managementbeoordelingen. Dit is een van de belangrijkste manieren waarop het topmanagement van je organisatie deelneemt aan informatiebeveiliging. U moet de resultaten van een managementevaluatie die volgens de procedure is uitgevoerd, kunnen presenteren vóór de certificeringsaudit (anders is er sprake van een ernstige tekortkoming).

Waarom is het belangrijk?

  • Toont de actieve betrokkenheid en inzet van het leiderschap voor het ISMS.
  • Zorgt voor afstemming op de strategie van de organisatie en identificeert gebieden die voor verbetering vatbaar zijn.
  • Het ontbreken van een effectieve managementbeoordeling is een veelvoorkomende tekortkoming tijdens audits.

Laatste resultaten van interne audits en managementreviews

Wat ze zijn?

  • ‍Uwauditor zal u vragen om de resultaten van de meest recente interne audit en managementbeoordeling te verstrekken vóór de fase 1-audit . Deze zullen voor de auditor aantonen dat u de betreffende procedures hebt geïmplementeerd en in staat bent om deze belangrijkste ISMS-monitoringacties uit te voeren.

Waarom zijn ze belangrijk?

  • Interne audits brengen hiaten of zwakke punten aan het licht die kunnen worden gecorrigeerd om het ISMS te versterken - en zo te zorgen voor voortdurende verbetering.
  • Gedocumenteerde resultaten leveren het bewijs van interne audits, een vereiste onder clausule 9.2 van ISO 27001.
  • Managementbeoordeling zorgt ervoor dat het topmanagement zich inzet voor informatiebeveiliging en dat het ISMS blijft aansluiten bij bedrijfsdoelen, veranderingen in de regelgeving en veranderende risico's.
  • Certificatie-auditors verwachten gedocumenteerde resultaten van managementbeoordelingen als bewijs van naleving van clausule 9.3 van ISO 27001.

Procedure voor bewustmaking van personeel

Wat is het?

  • Beschrijft je proces om ervoor te zorgen dat werknemers, contractanten en relevante derden zich bewust zijn van hun rollen en verantwoordelijkheden bij het handhaven van informatiebeveiliging. In dit document moet bijvoorbeeld worden beschreven hoe je werknemers traint, richtlijnen voor veilig werken geeft en ervoor zorgt dat ze zich aan de richtlijnen houden.

Waarom is het belangrijk?

  • Een belangrijke vereiste van ISO 27001 is ervoor te zorgen dat werknemers zich bewust zijn van hun verantwoordelijkheden met betrekking tot informatiebeveiliging (7.3 en bijv. controle A.7.2.2).
  • Werknemers zijn vaak de zwakste schakel in de beveiliging, dus het vergroten van het bewustzijn kan bedreigingen zoals phishing, social engineering of het verkeerd omgaan met gevoelige informatie verminderen.
  • Een robuust bewustmakingsprogramma weerspiegelt een organisatiebrede toewijding aan beveiliging, wat essentieel is voor ISO-certificering.

Thematisch beleid om de implementatie van Bijlage A-controles aan te tonen

Het gebruik van onderwerpgebaseerd beveiligingsbeleid is een eigen keuze in je organisatie.

Ze worden in ISO 27001 niet specifiek genoemd als documenten die gedeeld kunnen worden. Het belangrijkste is dat u de implementatie van gerelateerde controles duidelijk definieert.

Sommige organisaties zullen echter besluiten om een onderwerp-gebaseerd beveiligingsbeleid op te stellen, bijvoorbeeld voor de volgende populaire onderwerpen:

  • Beleid voor toegangsbeheer: Definieert hoe de toegang tot systemen en gegevens wordt beheerd en beperkt.
  • Wachtwoordbeleid: Specificeert de complexiteit, vervaldatum en behandelvereisten van wachtwoorden.
  • Beleid voor aanvaardbaar gebruik: Schetst het toegestane gebruik van bedrijfsmiddelen (bijv. internet, e-mail).
  • Beleid voor het reageren op incidenten: Biedt een stapsgewijs proces voor het identificeren, beheren en oplossen van incidenten.
  • Beleid gegevensbescherming: Zorgt voor naleving van de wetgeving op het gebied van gegevensprivacy en beschermt gevoelige informatie.
  • Beleid voor werken op afstand: Omvat veiligheidsmaatregelen voor werknemers die op afstand werken.
  • Veiligheidsbeleid voor leveranciers: Beheert risico's in verband met externe leveranciers en partners.waarom dingen als beleid?

U moet op onderwerpen gebaseerde beveiligingsbeleidsdocumenten zien als hulpmiddelen voor het eenvoudiger delen van informatie en het eenvoudiger beoordelen van de inhoud. Het daadwerkelijk delegeren en controleren van de geïmplementeerde beveiligingen (of het nu gaat om technologie, organisaties of mensen) waarnaar in de beleidsdocumenten wordt verwezen, kan veel beter worden gedaan in een slimme ISMS-tool - niet in een tekstdocument.

Belangrijkste punten met betrekking tot ISO 27001 en de belangrijkste documenten

ISO 27001 gaat niet over het maken van documenten omwille van de documentatie. Het gaat erom deze documenten te gebruiken om een functioneel, risicogestuurd ISMS op te bouwen dat de informatiemiddelen van uw organisatie beschermt en de bedrijfsdoelen ondersteunt. Ja, de documenten zijn nodig, maar het zijn hulpmiddelen, niet het doel.

  • Onderling verbonden documenten vormen de basis van het ISMS: De belangrijkste documenten, zoals de Verklaring van Toepasselijkheid (SoA), de risicomanagementprocedure, het toepassingsgebied van het ISMS, de interne audit, de directiebeoordeling en het informatiebeveiligingsbeleid, vormen samen de ruggengraat van uw ISMS. Elk document dient een doel bij het definiëren van bijvoorbeeld hoe een goed beheer van de informatiebeveiliging wordt gehandhaafd, hoe controles worden toegepast of hoe continue verbetering wordt bereikt.
  • Richt je op wat je definieert, niet op het document zelf: De documenten zijn hulpmiddelen om uw beveiligingsdoelstellingen, -processen en -beslissingen in kaart te brengen. Maar de echte nadruk ligt op wat u in deze documenten definieert en hoe u dat in de praktijk toepast. Het gaat niet om het creëren van perfect papierwerk; het gaat om het operationaliseren van wat u documenteert.
  • Auditors geven om implementatie: Bij ISO 27001-audits gaat het niet alleen om het controleren van de aanwezigheid van documenten, maar ook om de vraag of uw organisatie werkt volgens de gedocumenteerde definities. Daarom is het afstemmen van uw ISMS op uw werkelijke werkwijzen van cruciaal belang.

Sommige organisaties trappen nog steeds in de val om te veel nadruk te leggen op certificering als doel, waarbij ISO 27001 wordt behandeld als een documentatie-intensieve checkbox-oefening. Deze aanpak leidt vaak tot frustratie en het gevoel dat het proces te bureaucratisch is, wat afbreuk doet aan de werkelijke waarde van het ISMS.

Wanneer ISO 27001 effectief wordt geïmplementeerd, wordt het papierwerk een natuurlijk onderdeel van uw informatiebeveiligingsprogramma, dat gericht is op het versterken van de beveiligingsstatus van uw organisatie en het bevorderen van het vertrouwen van belanghebbenden.

Geschreven door
Aleksi Pulkkanen
30.1.2025
@
apulkkanen
LinkedIn

Inhoud van het artikel

Andere artikelen over hetzelfde onderwerp

Bekijk de volledige ISO 27001-collectie
Bekijk de volledige NIS2-collectie

Andere gerelateerde blogartikelen

Artikel delen

Andere vergelijkbare content van Academy

Blogs

ISMS-implementatie: vergelijking van documenten, wiki's, ISMS-tools en GRC

Er zijn een paar verschillende benaderingen om een ISMS op te bouwen. In dit artikel vergelijken we deze verschillende methoden, zodat u weet welke het beste past bij de behoeften van uw organisatie op het gebied van beveiligingsbeheer.
6.3.2025

Wat is Verklaring van Toepasselijkheid (SoA) in ISO 27001?

In deze blog behandelen we het belangrijkste doel en de voordelen van een goed werkend document met een Verklaring van Toepasselijkheid. We leggen ook uit waarom SoA belangrijk is, en 4 belangrijke rollen die het kan spelen bij informatiebeveiliging.
4.3.2025

Waarom is ISO 27001-naleving nu belangrijker dan ooit?

Jaar na jaar is de ISO 27001-norm een van de gouden standaarden voor informatiebeveiliging gebleven. De wereldwijde standaard is relevant gebleven, maar waar is ISO 27001 ontstaan? En waarom neemt de populariteit alleen maar toe?
27.2.2025

Begin vandaag nog

Begin gratis, in je vertrouwde Teams omgeving.
Heb je eerst nog vragen, boek dan een afspraak met ons.

Start een gratis proefperiode van 14 dagen
Boek een vergadering
Hoe werkt het?
SamenvattingBeveiligingstaken en -zekerheidDocumentatie werkstromenWerknemer richtlijnenRapportage sjablonen
Gebruikte gevallen
Per kaderAlle kadersISO 27001NIS2-richtlijnNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Op methodeCyberrisicobeheerBewustzijn van werknemersRapportage nalevingControlebeheerBeheer van bedrijfsmiddelenDynamische beleidsdocumentenPrivacybeheer
Middelen
AcademieWebinarsBlogHulp artikelenVideo cursussenInhoud bibliotheekWekelijkse nieuwsverteertInschrijven voor AcademieLaat een beoordeling achterPartnerprogrammaTeamGebruiksvoorwaardenPrivacybeleid
Neem contact met ons op
+358 10 231 6010
team@cyberday.ai
App werkt in:
In Finland bekend als Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finland
Cyberday.ai - Verbeter en certificeer uw cyberveiligheid