ISO27001 (en ISO27002) is het internationale raamwerk voor organisaties om als richtlijn te gebruiken om controle te krijgen over hun informatiebeveiliging. Het is mogelijk om gecertificeerd te worden, maar dat is niet het primaire doel.
De reden om ISO27001 te gebruiken is om het opzetten van een terugkerend en continu aantal processen te versnellen en om ervoor te zorgen dat alle beveiligingsgerelateerde activiteiten en risico's onder controle worden en blijven. Dit varieert van technische activiteiten zoals penetratietesten tot human resource-activiteiten waarbij werknemers worden getraind om frauduleuze activiteiten te herkennen.
Door de brede scope en veel verschillende activiteiten is dit vaak moeilijk te overzien en te begrijpen. De PDCA continuïteitsmatrix lost dit probleem op.
PDCA-cyclus
De ISO27001-norm is zowel procesgericht als risicogebaseerd.
Procesgericht. Het framework zelf bestaat uit meerdere processen. Het bedrijf dient, waar relevant, informatiebeveiliging in al haar processen op te nemen.
Risicogebaseerd. De focus ligt op het verbeteren van de informatiebeveiliging door het continu identificeren en monitoren van risico’s en het doorvoeren van mitigerende verbeteringen.
Vanuit procesmatig en continu perspectief is de PDCA-cyclus een belangrijk en veelgebruikt onderdeel in ISO27001. De eenvoudige en ongecompliceerde manier om de clausules van de norm toe te wijzen aan de stappen in de PDCA-cyclus is als volgt:
De kern richt zich op de context, leiderschap en ondersteuning. Dit zijn fundamentele clausules en om die reden plaatsen we die in het midden van de PDCA-cyclus. De organisatie dient ervoor te zorgen dat deze randvoorwaarden goed geregeld zijn en dat deze up-to-date zijn.
De plan-stap richt zich op wat er in de do-stap bereikt dient te worden. Er worden noodzakelijke procedures en beleidsregels opgesteld en er dienen doelen duidelijk gemaakt te worden. Deze doelen zijn zowel strategisch (lange termijn) als operationeel (korte termijn).
De do-stap gaat over de integratie van het plan in de realiteit. De informatie- beveiliging moet deel uitmaken van de operatie zonder deze onnodig te belasten. Er moet gezorgd worden dat er zo min mogelijk kwetsbaarheden ontstaan tijdens de operationele werkzaamheden en dat er kleine en grote verbeteringen in de operatie worden aangebracht om de organisatie / operatie veilig te maken en houden.
De check-stap gaat over het analyseren van de voortgang en prestaties. De status van operationele en strategische doelen moet worden bepaald, evenals de prestaties van ondersteunende activiteiten, standaardprocessen en het bijhouden van (verplichte) documenten en records.
De act-stap gaat over het reageren op geconstateerde afwijkingen en over continue verbetering. Op operationeel niveau kunnen dit kleine dingen zijn, terwijl het op strategisch niveau het begin van een nieuw project kan betekenen.
Niet zo simpel?
Sommige activiteiten zoals gedefinieerd door de norm zijn strategisch, terwijl andere zeer operationeel zijn. Bij de implementatie van ISO27001/27002 is dit vaak verwarrend omdat de genoemde clausules, maatregelen en activiteiten met verschillende frequenties vereisen zoals bijvoorbeeld dagelijkse, wekelijkse, maandelijkse en driemaandelijkse activiteiten.
Dagelijks ligt de focus op het voorkomen van incidenten of het afhandelen van incidenten voor het geval die zich voordoen. Een preventieve maatregel is al om ervoor te zorgen dat alleen geautoriseerde personen het kantoorgebouw binnen worden gelaten.
Wekelijks ligt de focus op verbeteringen, kleine veranderingen en correcties. Meestal zijn deze activiteiten gericht op het beperken van risico's met een hoge impact/ prioriteit. De controle hiervan kan worden opgenomen in (project)teamvergaderingen of sprint planning sessies.
Maandelijks ligt de focus op grote veranderingen en corrigerende acties (het wegnemen van onderliggende oorzaken). De activiteiten richten zich vaak op het beperken van meerdere geïdentificeerde risico's. De controle hiervan moet een integraal onderdeel worden van de reguliere beoordeling als onderdeel van het projectmanagement proces.
Driemaandelijks (kwartaal) ligt de nadruk op de evaluatie van het geïmplementeerde systeem door interne auditactiviteiten uit te voeren waarvan de resultaten formeel door het managementteam moeten worden geëvalueerd. Ook moet een evaluatie van de geïdentificeerde risico's en mogelijke zwarte zwaan scenario's plaatsvinden.
Er zijn dus meerdere PDCA-cycli, van hoogfrequent operationeel tot laagfrequent strategisch. Het is essentieel om ze te onderscheiden en de verschillen en afhankelijkheden te begrijpen. Anders loopt alles door elkaar en wordt de implementatie en uitvoering van de standaard onnodig ingewikkeld en complex.
Met het invullen van de PDCA continuïteitsmatrix kunt u per component zien welke activiteit met welke frequentie moet worden gedaan en zo krijgt u een veel beter en praktisch inzicht in de meerdere cycli die in uw organisatie aanwezig zijn. Dit maakt het implementeren en uitvoeren van ISO27001 veel eenvoudiger.
Mind the Gap!
Het implementeren van ISO27001 gaat vooral over het begrijpen van wat er wanneer, hoe en door wie moet gebeuren met als uitdaging om de impact op bestaand werk te minimaliseren. Bepaald dient te worden wat nodig is om de organisatie veilig te houden en hoe hetgeen wat de standaard vereist in de reeds lopende operatie kan worden geïntegreerd. De PDCA continuïteitsmatrix is een belangrijk en praktisch hulpmiddel dat u nodig hebt bij het implementeren van de standaard. Elke situatie voor elk bedrijf is een beetje anders, dus tijdens de implementatie wordt de matrix afgestemd op de organisatie. Dit geeft een goed inzicht in:
1. Begrijpen wat er moet gebeuren versus wat er op dit moment gedaan wordt. Deze gap bepaalt het werk dat gedaan moet worden tijdens de implementatie.
2. Zodra de standaard is geïmplementeerd, is het doel zorgen voor continuïteit waarbij de matrix een handleiding is die precies laat zien wie wat doet en wanneer. Het zal u helpen bij te blijven en continu te kunnen bepalen of er een gap is tussen de realiteit en wat het zou moeten zijn.
Certificering
Het implementeren van ISO27001 gaat over het veiliger maken en houden van uw organisatie. Als een bedrijf gecertificeerd wil worden moeten de processen die door de norm worden gedicteerd niet alleen uitgevoerd worden maar dient er ook bewijs te zijn voor de auditors die bepalen of het bedrijf de certificering verdiend.
Onder dit bewijs vallen verschillende verplichte documenten en beleidsregels die beschikbaar en geïmplementeerd moeten worden evenals een lijst met verplichte registers die op een formele manier moeten worden bijgehouden. Voor de kwaliteit van de informatiebeveiliging en de continue verbetering is het sowieso een goede zaak om dit te doen.
Meer blogs en informatie
Onze website biedt meer leesvoer over informatiebeveiliging en aanverwante onderwerpen dus neem gerust een kijkje. Andere opties zijn:
Om u in te schrijven voor onze nieuwsbrief en op de hoogte te blijven, gaat u naar onze homepage.
Of als u ons advies wilt over wat te doen boek dan een gratis consult: info@dvginfosec.com.