Laat ISO27001 de fundering zijn voor de inrichting

Wat wij bij Beschermheren vaak tegenkomen is verwarring tussen ISO 27001 en ISO 27002. Wellicht niet heel raar want het lijkt qua benaming op elkaar, maar inhoudelijk verschilt het toch wezenlijk. En toch zien we dat bij het inregelen van ISO 27001 vrij snel (te snel) wordt overgegaan op het uitwerken van security controls. Een primair onderdeel van ISO 27002.

Om de metafoor van onze eigen Maarten Kokkes te gebruiken, dit is alsof je de ballen in een kerstboom hangt voordat die staat. De doelstelling van ISO 27001 is het optuigen van een ISMS (Information Security Management System). En zodra dit goed staat is het mogelijk om op basis daarvan maatregelen te kunnen treffen. Ofwel, het inregelen (en het vastleggen) van een proces. Dit proces helpt op zijn beurt weer met het implementeren en bewaken van security controls.

ISO27001 bepaalt effectiviteit van ISO27002

Echter wanneer de basis (het ISMS) nog niet stevig staat dan zullen de security controls verre van effectief blijken. Om nog maar eens de metafoor erbij te pakken, de ballen zullen van de scheve boom afvallen. Dit ziet er niet mooi uit en het is nog gevaarlijk ook. Zeker als je huisdieren hebt. Omdat het proces vervolgens zal stagneren leidt dit ook tot onbegrip en bovenal weerstand bij stakeholders. En dat terwijl de betrokkenheid van de medewerkers een van de belangrijkste succescriteria is.

Uiteraard is het wel zo dat op basis van ISO 27002 (en de appendix van ISO 27001) een handreiking wordt geleverd voor Security Controls (best practices). Desondanks zal ook dit niet gaan werken totdat de randvoorwaarden goed ingeregeld zijn. Met andere woorden, het borgen van de ISMS:

• Management Commitment
• Scoping (welke afdelingen, welke processen, welke locaties, enzovoort).
• Taken en verantwoordelijkheden (liefst een RACI tabel).
• Het inregelen van een Risk Management proces (betreft ook interne review, hoe ga je om met vervolgacties/bevindingen, et cetera).
• Vastleggen en formaliseren van het Classificatie proces
• Vastleggen van security controls zoals bij voorbeeld ISO 27002 (al of niet aangepast)

Gretig doch bedachtzaam

Wat ons betreft geldt ISO 27001 als een uitstekende handleiding voor dit proces. Veel van onze medewerkers zijn dan ook voorstander van het uitwerken van bovenstaande punten in een Information Security Beleid. Vervolgens kunnen deze dan besproken worden met alle stakeholders en worden ze formeel vastgelegd.

Ergens is het alleen maar goed wanneer een organisatie en zijn medewerkers gretig zijn om verstandige stappen te zetten op het gebied van informatiebeveiliging. Het is echter van groot belang dat dit op de juiste wijze gebeurt omdat het anders ten koste kan gaan van de effectiviteit. Ben je benieuwd hoe wij te werk gaan en wil je meer informatie hierover? Meld je dan aan voor ons gratis webinar op 18 maart.