Gratis ebook: Klaar voor NIS2 met ISO 27001 best practices
Ebook downloaden
Academie thuis
Helpt
Stappen die nodig zijn om klaar te zijn voor een ISO 27001-certificeringsaudit

Dit is een aanbeveling van werkprioriteiten in Cyberday, wanneer het doel is klaar te zijn voor de ISO 27001-certificeringsaudit.

Alle stappen zijn noodzakelijk, dus u moet de volledige lijst kennen. U kunt de volgorde van sommige echter aanpassen aan uw voorkeuren (bv. afhankelijk van uw beginniveau).

1. ISO 27001-kader activeren (versie 2022 of 2013)

Waar vind je deze weergave? Dashboard -> Dropdown Organisatienaam -> Kaders -> Kaders bewerken

Als u een nieuwe ISO 27001-implementatie begint, moet u de 2022-standaardversie gebruiken.

Als uw doel is om audit-ready te zijn, moet u onmiddellijk beginnen met het Full (niveau 3) framework. Sommige gebruikers willen beginnen op niveau 1 of 2 om eerst een beperkte set taken te zien. Dat is ook prima, zolang u er maar aan denkt om op het juiste moment over te schakelen naar het niveau 3-kader.

2. In kaart brengen van de startstatus van kritieke, hoge en normale prioritaire taken

Om een idee te krijgen van het niveau waarop u nu voldoet, moet u verdergaan met de volgende zaken: 

  • Nodig gebruikers uit die u wilt toewijzen als thema-eigenaars
  • Thema-eigenaren instellen
  • Elke thema-eigenaar gaat door de hangende taken, activeert de taken die u (ten minste gedeeltelijk) hebt uitgevoerd en zet ze op de juiste status

Tip: Zo kunt u ook de beginstatus van de naleving van ISO 27001 (verklaring van toepasselijkheid) zien.

3. Maak en wijs uw inventaris van activa toe

De belangrijkste gegevens op Cyberday zijn de volgende:

  • Gegevenssystemen - de software die wordt gebruikt voor de verwerking en opslag van gegevens
  • Gegevensopslag - verschillende grote logische gegevensopslagplaatsen (bv. klantgegevens vs. personeelsgegevens) waar gegevens in verschillende formaten en op verschillende locaties kunnen worden opgeslagen.
  • Gegevensreeksen - de gegevens in datasystemen of andere elektronische/fysieke formaten die nodig zijn voor het uitvoeren van bepaalde taken (bv. facturering, authenticatie)
  • Andere activa - bv. andere kritieke apparatuur, als u die heeft
  • Kantoren - uw fysieke gebouwen

Op dit punt moet u de gebruikers uitnodigen als 'bijdragers' aan wie u verschillende middelen wilt toewijzen. U hoeft nog geen uitnodigingen te versturen - gebruikers kunnen ook stilletjes worden toegevoegd.

4. Personeelsrichtlijnen opstellen

Personeelsbewustzijn en -begeleiding zijn grote onderdelen van uw informatiebeveiliging.

Op dit punt moet u uw bestaande materialen of Cyberday's voorbeelden gebruiken om werknemersrichtlijnen te maken voor verschillende thema's (bijv. Gebruik van mobiele apparaten, Werken op afstand, Wachtwoordgebruik, Phishing-preventie). Nadat u enkele richtlijnen hebt geactiveerd, ziet u het uiterlijk van uw huidige begeleiding in het tabblad Leidraad.

U moet ook beslissen of u trainingsextensies wilt inschakelen in Cyberday. U vindt deze via Organisatiedashboard -> Instellingen -> Leidraadinstellingen.

Guidebook wordt later in een aparte stap ingezet voor het hele personeel. Op dit punt kunt u het Guidebook-proces (bijv. meldingen) met uw belangrijkste gebruikers doorlopen, om te zien hoe uw personeel omgaat met Cyberday.

5. De nodige documenten/beleidslijnen/verslagen opstellen en herzien

U kunt alle benodigde documenten, bijvoorbeeld voor de fase 1 ISO 27001-audit, aanmaken in de sectie Rapportage van Cyberday.

De belangrijkste documenten die nodig zijn voor de fase 1 ISO 27001-audit zijn de volgende:

  • ISMS-beschrijving en -reikwijdte
  • Informatiebeveiligingsbeleid en -doelstellingen
  • Procedure en resultaten van het risicobeheer
  • Verklaring van Toepasselijkheid (SoA)
  • Bewustmaking en begeleiding van het personeel
  • Interne auditprocedure en -resultaten
  • Procedure en resultaten van de directiebeoordeling

Op dit punt is het belangrijk deze rapporten te maken, ze te bekijken en de delen in te vullen die het waarschuwingslabel "needs your input" hebben. Het is ook anderszins belangrijk om vertrouwd te raken met de inhoud, hoewel bij het werken met Cyberday, de app meestal uw werk begeleidt zodat het overeenkomt met wat er in de documenten staat.

In de schermafbeelding hieronder ziet u een voorbeeld van de Verklaring van Toepasselijkheid en hoe die er op auditklaar niveau uit zou kunnen zien. Nogmaals, dit kan per organisatie verschillen, maar over het algemeen moet de kaart groen gevuld zijn.

6. Informatie over taakborging aanvullen en lacunes opvullen

Op dit punt raden wij aan het volgende te doen: 

  • Ervoor zorgen dat de taken het juiste verhaal vertellen over uw gereedheid voor beveiliging, d.w.z. het invullen van assurance-informatie voor taken
  • Uitvoering van belangrijke taken, die nog niet zijn geactiveerd

Dit laatste deel zal enige middelen en tijd vergen, dus u moet daarbij rekening houden met de prioriteiten van de taken, de mogelijke risico's en uw eigen deadlines.

Op dit punt wilt u misschien ook meer medewerkers uitnodigen, die het meest weten over de uitvoering van elke taak.

7. Begin te werken aan risicobeheer

Wanneer u de voorgaande stappen hebt uitgevoerd, hebt u een uitstekende basis gelegd voor een efficiënt en succesvol risicobeheer.

Nu is het tijd om naar Organization dashboard -> Risk management and leadership -> Cyber security risks te gaan en daar aan de slag te gaan.

Je zou moeten zijn:

  • herziening van de risicolijst en zo nodig aanpassing van de evaluaties
  • het toevoegen van aangepaste taken / controles, die bepaalde risico's beheersen maar die ontbreken in uw ISMS
  • toprisico's in de rij voor behandeling

8. Zorg ervoor dat u ISO 27001-specialiteiten hebt geïmplementeerd

Taken die verband houden met verplichte vereisten van ISO 27001 (in plaats van controles in ISO 27002) zijn taken die tijdens de certificeringsaudit tot grote non-conformiteiten zullen leiden als ze niet naar behoren worden uitgevoerd.

Voorbeelden van dit soort onderwerpen zijn bijvoorbeeld interne audits en management reviews. U moet de resultaten van ten minste één van beide hebben uitgevoerd en gedocumenteerd en tevens beschikken over een proceduredocument waarin uw aanpak duidelijk wordt omschreven.

Andere voorbeelden van veel voorkomende non-conformiteiten bij ISO 27001-certificeringsaudits zijn onder meer: 

  • Ontoereikende risicobehandeling - bv. het verband tussen risico-evaluatie en risicobehandeling is verbroken (6.1)
  • Ontbrekende vereisten voor informatiebeveiliging - u moet bijvoorbeeld de vereisten van de klant, andere nationale wetgeving en andere normen die naast ISO 27001 worden gevolgd, vermelden (A.18.1.1).
  • Toegangsrechten van gebruikers niet herzien (A.9.2.5)
  • Inventaris van activa niet goed gedocumenteerd (A.8.1.1)

9. Zet Cyberday in voor uw personeel

Om de bewustwordingsprocessen voor werknemers in gang te zetten, moet u de Cyberday app voor alle werknemers verspreiden.

Dit kan eenvoudig met behulp van onze Teams of Slack integraties.

Als je eenmaal een app-instellingsbeleid hebt gemaakt, zal je werknemersbegeleiding automatisch draaien voor iedereen op je Teams tenant.

10. Uw ISO 27001 audit gereed maken

Om de samenwerking met een auditor te starten, moet u een aantal stappen ondernemen om inhoud voor hen te delen.

De standaardmanier die wij aanbevelen is om de auditor uit te nodigen voor uw ISMS als externe gebruiker, en zijn toegang te beperken tot het niveau 'contribuant'.

Op die manier kunt u benodigde rapporten delen voor de auditor en hem rechtstreeks verwijzen naar de inhoud die hij nodig heeft. U kunt ook ruimere toegangsrechten voor de auditor gebruiken (bv. kernteam), maar dat is meestal niet nodig of nuttig, gewoon te veel informatie.

U kunt dit helpartikel raadplegen over het rechtstreeks delen van rapporten met auditor via Teams.

Vraag gerust meer begeleiding van ons!

Dit artikel moet u een overzicht geven van de belangrijkste stappen om klaar te zijn voor de ISO 27001-certificering met behulp van Cyberday.

Dit is echter slechts een overzicht, dat aan uw voorkeuren kan worden aangepast. Ons team staat klaar om u verder te helpen. Boek een gesprek van 45 minuten met ons om meer te horen!

Inhoud

Artikel delen