Volg Software Zaken

Een samenvatting van ISO 27001

| Sieuwert van Otterloo | Security

ISO IEC 27001 is een internationale standaard voor informatiebeveiliging. Helaas  is deze standaard niet vrij beschikaar. Hierdoor weten veel mensen niet precies wat de standaard eist en ontstaan misverstanden. Hoewel we iedereen aanraden om de volledige standaard te kopen en te lezen, willen we het opzoeken vereenvoudigen met deze samenvatting.

Achtergrond en overzicht van ISO 27001

De officiële naam van de standaard is ISO / IEC 27001: de standaard is onderdeel van de 27000-serie over informatiebeveiliging. Er zijn twee versies van de standaard ISO 27001: versie 2005 en de vernieuwde versie 2013. Beide versies zijn grotendeels hetzelfde, met een paar kleine veranderingen gebaseerd op nieuwe inzichten die tussen 2005 en 2013 zijn opgedaan. We hebben de nieuwste versie 2013 gebruikt voor deze samenvatting. Er is ook een Engelse samenvatting van ISO 27001 beschikbaar.

De standaard bevat een paar inleidende hoofdstukken en daarna eisen waaraan organisaties moeten voldoen. Deze eisen gaan over de volgende onderwerpen (hoofdstuknummer tussen haakjes).

  • De context van de organisatie (4)
  • Betrokkenheid van de leiding (5)
  • Doelen en beleidsplannen (6)
  • Ondersteuning, middelen en communicatie (7)
  • Operationele aspecten (8)
  • Meten van prestaties (9)
  • Continu verbetering (10)

Al deze hoofstukken samen beschrijven een management systeem voor informatiebeveiliging (een ISMS, information security management systeem). Dit is geen technisch systeem, maar een combinatie van doelen, beleid, regels en maatregelen waar alle mensen in de organisatie zich aan moeten houden. Het management-systeem zorgt ervoor dat de organisatie continu verbetert op het gebied van informatiebeveiliging. Als een organisatie voldoet aan ISO 27001, dan betekent dit dat het management-systeem werkt. Welke concrete maatregelen er genomen zijn, daar zegt de standaard niets over.

De basisprincipes

Er liggen twee belangrijke principes ten grondlag aan ISO 27001: risico-management en plan-do-check-act . Het eerste idee, risico-management, gaat ervan uit dat elke security-maatregel gekoppeld moet zijn aan een concreet risico. Op deze manier wordt ervoor gezorgd dat ook daadwerkelijk de zwakste schakel verbeterd wordt: je moet weten wat de risico’s zijn om vervolgens maatregelen te kunnen nemen gericht op de grootste risico’s. Voor meer informatie, zie deze Engelstalige artikelen over asset inventory en risk management.
Het tweede idee is plan-do-check-act (zie deze Engelse omschrijving van plan-do-check-act). Plan-do-check-act oftewel PDCA is een methode voor continu verbetering, afkomstig uit de maak-industrie. In deze methode staat het check of maatregelen wel effectief zijn centraal. Dit is ook erg belangrijk in informatiebeveiliging.

Checklist eisen van ISO 27001

ISO 27001 heeft een aantal concrete eisen waar een organisatie aan moet voldoen. We raden iedereen aan om de standaard zelf te lezen voor de details. Hieronder is elke eis alleen kort genoemd:

  1. Context van de organisatie (4.1)
  2. Overzicht van belanghebbenden van de organisatie (klanten, aandeelhouders, toezichthouders) (4.2)
  3. De scope van het ISMS (4.3)
  4. Betrokkenheid van het de leiding (5.1)
  5. Een beleidsdocument informatiebeveiliging (5.2)
  6. Rollen en verantwoordelijkheden(5.3)
  7. Bepalen van kansen en risico’ (6.1.1)
  8. Een proces voor risico-inventarisatie (6.1.2) en het behandelen van risico’s (6.1.3). Een onderdeel hiervan is het statement of applicability, een lijst van best practice maatregelen
  9. Het zetten van meetbare doelen (6.2)
  10. Voldoende middelen voor het ISMS (7.1)
  11. Voldoende training en kennis bij het information security team (7.2)
  12. Bewustzijn bij alle medewerkers in scope (7.3)
    Communicatieplan voor interne en externe communicatie over informatiebeveiliging (7.4)
  13. Documentatie van het ISMS inclusief omvang, complexiteit, kennis van mensen (7.5.1). Het moet regelmatig worden bijgewerkt (7.5.2) en ook gecontroleerd beschikbaar zijn (7.5.3)
  14. Het plannen en controleren van operationele aspecten (8.1)
  15. Het regelmatig en gepland uitvoeren van risico-analyses (8.2)
  16. Implementatie van het risico-behandelplan (8.2)
  17. Monitoren van de effectiviteit van het ISMS aan de hand van gestelde doelen(9.1)
  18. Plannen en uitvoeren van interne audits (9.2)
  19. Plannen en uitvoeren van directie-beoordelingen (management reviews) (9.3)
  20. Het reageren door de directie bij afwijkingen. (10.1)
  21. Zorgen voor continu verbetering (10.2)

Veel voorkomende misverstanden

In veel organisaties die ISO 27001 volgen, worden er uitspraken gedaan zoals: “We moeten van ISO 27001 onze wachtwoorden elke maand wijzigen”. Dit is strikt genomen niet waar. ISO 27001 niets over concrete maatregelen zoals wachtwoorden. De ISO standaard gaat alleen over doelen en het proces van informatiebeveiliging. De concrete invulling ligt helemaal bij de organisatie zelf. De organisatie zelf weet wat de bedrijfsmiddelen zijn die moeten worden beschermd, en wat de risico’s zijn. Afhankelijk hiervan kan het team zelf beslissen welke maatregelen nodig zijn.
In de praktijk is er echter wel een harde kern van maatregelen die door veel organisaties wordt ingevoerd. Er zijn zogeheten ‘best practice’ maatregelen die door beveiligingsexperts worden aanbevolen. Er is een tweede standaard, ISO 27002, die een heleboel best practice maatregelen bevat. Deze standaard is alleen ter referentie: het is niet de bedoeling dat alle maatregelen uit deze standaard worden ingevoerd.

Een ander misverstand over informatiebeveiliging is dat het een IT-zaak is. ISO 27001 eist betrokkenheid van de hele directie en de hele organisatie. Wie alleen IT-maatregelen neemt of de IT-afdeling verantwoordelijk maakt voor informatiebeveiliging, voldoet niet aan ISO 27001.

Een derde misverstand is een overdreven focus op het aantal genomen maatregelen. Meer maatregelen en regels is geen doel op zich. ISO 27001 zegt dat er een goed proces moet zijn om te evalueren welke risico’s er zijn en welke maatregelen zinvol zijn. Zodra dit proces is geïmplementeerd voldoe je aan ISO 27001. Het nemen van zoveel mogelijk maatregelen is niet nodig en niet gewenst.

Certificering voor informatiebeveiliging

Veel organisaties gebruiken ISO 27001 niet alleen omdat ze beter willen worden in informatiebeveiliging. Organisaties willen vaak ook aantonen dat ze voldoen aan een officiële standaard als erkenning dat ze het goed doen. Dit kan met ISO 27001.
Het is belangrijk om een onderscheid te maken tussen compliance en certificatie. Elke organisatie die aan alle eisen voldoet, mag zeggen dat ze ISO 27001 compliant zijn. Om aan alle eisen te voldoen kost wel tijd: gemiddeld is er 6 maanden tot een jaar nodig om het ISMS goed in te richten en alle meetings ook plaats te laten vinden.
Wie eenmaal compliant is, kan ervoor kiezen zich te laten certificeren. Hiervoor moet men een officieel geaccrediteerd bedrijf zoeken dat een audit uitvoert. Als deze audit goed verloopt, ontvangt men een certificaat. Deze laatste stap, certificatie, kost vaak nog enkele maanden en brengt extra kosten met zich mee.

Als u voor certificatie wilt gaan, en zeker als je het zelf wilt doen, lees dan het artikel: Hoe vraag je ISO 27001 certificatie aan.  Voor veel organisaties zijn de kosten en doorlooptijd van certificatie een behoorlijke drempel. Met ICT Institute hebben we daarom ook een lichtere standaard ‘Security Verified‘ ontwikkeld. Deze standaard is gebaseerd op dezelfde principes en best practices als ISO 27001, maar heeft openbaar beschikbare eisen en een eenvoudiger review proces.

Tot slot

Het neerzetten van een goed informatie-beveiligingsbeleid is niet moeilijk, zolang men het ziet als een continu proces. Uiteindelijk is een kwestie van gewoon beginnen, structuur aanbrengen en volhouden. Voor meer artikelen over information-security, kijk dan op onze pagina met alle security-artikelen.

Afbeelding: Ben White via Unsplash

Author: Sieuwert van Otterloo
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van software-kwaliteit, IT-strategie, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.