Informatiebeveiliging is vandaag de dag steeds vaker een onderwerp van gesprek. Als organisatie wilt u dit goed ingeregeld hebben en ook kunnen aantonen dat u hieraan voldoet. Dat laat u zien door een ISO 27001-certificering, een norm die wereldwijd geaccepteerd is. Maar welke stappen moet u doorlopen om een certificaat uitgereikt te krijgen? In dit artikel leggen we exact uit wat u kunt verwachten middels de ISO 27001 checklist. En gaan we dieper in op welke handelingen u moet verrichten.
ISO 27001 checklist
Om tot een ISO 27001-certificering te komen, zijn er altijd een aantal standaard stappen die u dient te doorlopen. Hieronder zetten we ze allemaal op een rij:
- De ISO 27001-norm aanschaffen, bijvoorbeeld via de NEN.
- Schakel indien gewenst een adviesbureau in die u zal begeleiden bij de implementatie.
- Verdiep u in de norm en zorg dat u de juiste kennis over ISO 27001 verkrijgt.
- Implementeer of optimaliseer het managementsysteem binnen uw organisatie, op een wijze zodat deze voldoet aan de norm.
- Controleer intern of het managementsysteem naar behoren functioneert en of deze voldoet aan de ISO 27001 normeisen.
- Analyseer de resultaten van de interne audit en leg de mogelijke verbeterpunten vast in de directiebeoordeling.
- Voer de maatregelen uit de interne audit door en verbeter uw managementsysteem.
- Zodra u vastgesteld heeft dat uw organisatie voldoet aan de ISO 27001-norm, schakelt u DigiTrust in voor een onafhankelijke toetsing.
- Besluit de auditor na de beoordeling dat uw organisatie aan de normeisen voldoet, zult u het ISO 27001-certificaat ontvangen.
Wat is een audit binnen het ISO certificeringstraject?
Tijdens een audit beoordeelt een onafhankelijke certificerende instelling (zoals DigiTrust) of uw organisatie voldoet aan de gestelde normeisen. Een certificerende instelling is een organisatie die bevoegd is om andere organisaties te toetsen volgens bepaalde normen of standaarden. Dit gebeurt dus tijdens een audit, waarin systematisch onderzocht wordt of alle processen en het managementsysteem van een organisatie betrouwbaar en integer zijn. Voldoet het aan alle eisen? Of zijn er tekortkomingen of risico’s die eerst opgelost moeten worden?
- Vooraf stemmen we met u af op welke data de eerste (initiële) audit plaatsvindt. Deze bestaat uit een Fase 1 en een Fase 2. Tijdens de eerste afspraak, de Fase 1 audit, stelt onze auditor zich voor en legt hij het volledige proces uit. We controleren of de organisatie en het ISMS daadwerkelijk klaar zijn voor de fase 2 audit. Bent u niets essentieels vergeten of zijn er dingen die we nog moeten weten voor de tweede fase? Vervolgens maakt de auditor het Fase 2 auditplan en zal dit met u bespreken. Welke onderwerpen gaan we wanneer behandelen en wie hebben we daarvoor nodig.
- Tijdens de Fase 2 audit, gaan we daadwerkelijk goed kijken naar de werking van uw ISMS (information Security Management Systeem). Dit doen we door middel van observaties, interviews en controles op documenten en registraties. De auditor beoordeelt of uw organisatie voldoet aan de norm. En hoe u deze eisen vertaald heeft naar eigen eisen en of u dan ook werkt volgens deze opgestelde eisen.
- Alle bevindingen worden in een rapportage opgenomen en de conclusies worden gepresenteerd. Mochten er afwijkingen zijn, dan worden deze in het eindgesprek met u besproken. Voor de gevonden afwijking dient u een Corrective Action Plan (CAP) in te vullen. De auditor zal het gehele dossier beoordelen en zal een positief of negatief advies geven voor certificering. De certificatie manager zal ook het dossier beoordelen en deze neemt het besluit voor certificering.
- Als het besluit positief is, krijgt u binnen enkele dagen het certificaat toegestuurd, met de daarbij behorende keurmerk logo’s die u vanaf dat moment mag gebruiken op website en email.
Start vandaag met uw ISO 27001-certificering
Wanneer u van plan bent om uw organisatie voor ISO 27001 (NEN 7510 of ISO 9001) te laten certificeren, kunt u vandaag al starten met de voorbereidingen. Hier leest u meer over het certificeringstraject. Heeft u vragen over de checklist ISO 27001 of wilt u dit proces zelf doorlopen? Neem dan gerust contact op met het DigiTrust-team.
