ISO 27001 certificering is voor veel organisaties een strategisch doel, maar het traject ernaartoe kan overweldigend lijken. In dit artikel nemen we je stap voor stap mee door het proces van voorbereiding tot certificering.
De eerste stap is een gap-analyse. Hierbij brengen we in kaart waar jouw organisatie nu staat ten opzichte van de ISO 27001 eisen. Welke controls zijn al aanwezig? Waar zitten de tekortkomingen? Het resultaat is een roadmap die precies aangeeft wat er nog moet gebeuren.
Vervolgens richt je het Information Security Management System in, het ISMS. Dit is het hart van ISO 27001 en omvat beleid, procedures, risicomanagement en governance. Je stelt een informatiebeveiligingsbeleid op, definieert rollen en verantwoordelijkheden, en richt een risicomanagementproces in.
De risicoanalyse is een kernonderdeel. Je identificeert bedreigingen en kwetsbaarheden, bepaalt de kans en impact, en selecteert passende beheersmaatregelen uit Annex A van de norm. Dit is geen eenmalige exercitie maar een doorlopend proces.
Na het inrichten van controls en procedures volgt de interne audit. Dit is een verplicht onderdeel van ISO 27001 en toetst of je ISMS in de praktijk werkt zoals beschreven. De interne audit identificeert verbeterpunten voordat de externe auditor langskomt.
De management review is een ander verplicht element. Het management beoordeelt periodiek de effectiviteit van het ISMS, bespreekt auditresultaten en incidenten, en neemt beslissingen over verbeteringen en middelen.
De certificeringsaudit bestaat uit twee fasen. Fase 1 is een documentatiereview waarin de auditor beoordeelt of je ISMS op papier compleet is. Fase 2 is de praktijktoets: de auditor verifieert of de controls in de dagelijkse praktijk werken. Na een succesvol fase 2 audit ontvang je het ISO 27001 certificaat.
Het certificaat is drie jaar geldig met jaarlijkse surveillance-audits. Deze tussentijdse audits borgen dat je ISMS actief wordt onderhouden en continu verbetert.
Secure Audit ondersteunt organisaties bij elke stap van het traject. Van gap-analyse en implementatiebegeleiding tot de interne audit die je voorbereidt op certificering. Neem contact op voor een startgesprek.
Over de auteur
Partner | IT-auditor