Eerste Stappen naar ISO27001 Implementatie: Een Gids voor Beginners
Bij Krane Labs zetten we ons in voor de hoogste standaarden in cloudbeveiliging en gegevensbescherming. Een belangrijk onderdeel hiervan is de implementatie van een Information Security Management System (ISMS) dat voldoet aan de ISO27001 norm. Voor bedrijven die net beginnen aan hun ISO27001 reis, delen we onze aanpak in een reeks blogposts. Hoe je de norm implementeert, hoe je het ISMS bouwt, hoe je risico analyse gebeurt, welke controls je opneemt en hoe je audit, hangt af van je sector, het profiel van je medewerkers en de grootte van je organisatie. In deze reeks blogposts vertellen we je hoe wij het doen, niet noodzakelijk hoe jij het moet doen.
In een eerdere blogpost gaven we een heel high-level overview van de IT veiligheidsnormen en onderstreepten we het nut ervan voor elke IT organisatie. In deze blogpost nemen we de eerste effectieve stappen.
1. Aankoop van de Norm
Een onmisbare eerste stap in de reis naar ISO27001-compliance is het aanschaffen van de norm zelf. Deze norm bezitten is meer dan alleen een item op een checklist; het is een uitgebreide gids die de fundamenten legt voor een robuust Information Security Management System (ISMS). Het in bezit hebben van de meest recente versie van deze norm is cruciaal, omdat het de basis vormt voor alle verdere stappen in het proces en helpt om te verzekeren dat je aanpak in lijn is met de huidige beste praktijken. Daarnaast zal je auditor terecht opmerken dat je onmogelijk in regel kan zijn als je geen kopie van de regel bezit.
De norm kan je kopen bij ISO zelf of bij de nationale normerings-instituten zoals de NBN voor België. De prijs bedraagt ongeveer 125 Euro. Enkel de 27001:2022 norm moet je verplicht kopen. Andere in dezelfde reeks kunnen zeker nuttige informatie bevatten, maar zijn niet verplicht.
2. Lezen en Begrijpen van de Norm
Na de aanschaf van de norm, is het essentieel om tijd te besteden aan het zorgvuldig lezen en begrijpen ervan. Dit betekent niet alleen het scannen van de hoofdpunten, maar elke zin lezen. Het gaat hier om ongeveer 10 cruciale pagina's die de kern vormen van ISO27001. Deze stap is fundamenteel; een grondig begrip van deze secties zorgt ervoor dat u een solide basis heeft voor het opzetten en beheren van uw ISMS.
Lees wel enkel de norm zelf en de introductie. De Annex A tabel hoef je nu nog niet te lezen. We komen later uitgebreid op Annex A terug. Ik ga je direct gerust stellen: de puntjes in Annex A zijn (waarschijnlijk) niet allemaal verplichte stappen ... Denken dat alle controls van Annex A verplicht te implementeren zijn, zorgt voor heel frustratie bij veel organisaties. Negeer Annex A vandaag dus gerust. Gooi die niet weg, want we hebben die later nog wel even nodig.
3. Opzetten van een rudimentaire Document Repository
Het creëren van een initiële, ruwe documentstructuur voor uw ISMS is een praktische stap die richting en structuur biedt voor uw implementatie-inspanningen. Deze document repository kan eenvoudig beginnen - misschien als een map op een fileserver of een sectie op uw bedrijfswiki - maar zal zich ontwikkelen tot een uitgebreider en verfijnder systeem naarmate uw begrip van de ISO27001 norm groeit. Deze flexibele aanpak staat centraal, omdat het toelaat om uw documentatie te laten evolueren naarmate uw implementatie vordert.
Je zal later meer structuur in je Document Repository brengen. Vandaag willen we daar enkel een overzicht maken. Dit kan een Excel sheet zijn, een tabel in je Wiki of zelfs een tekst document. In Notion maak ik hiervoor een tabel met entries. Die Entries worden in Notion heel eenvoudig detailpagina's, wat me een heel grote vrijheid geeft.
4. Oplijsten van de Eisen uit de Norm
Deze stap omvat het systematisch aanmaken van een entry in je eisen-lijst. Dit is niet alleen een kwestie van het documenteren van de eisen zelf, maar ook van het vastleggen van uw huidige status in het naleven ervan, het benoemen van een verantwoordelijke, en het markeren van datums voor revisie en update. Dit zorgt voor een georganiseerde aanpak waarbij elk aspect van de norm wordt aangepakt en geïntegreerd in uw bedrijfsprocessen.
In deze eerste fase is stap 4 heel basis. Terwijl je de norm een tweede keer leest, neem je puntje per puntje over wat de norm vraagt. De eerste vinden we bij sectie 4.1 "Understanding the organization and its context". Je maakt hiervoor een plekje in je overzichtslijst, en neemt de eis zelf (".. shall determine external and internal issues ...") over. Je zet er direct een status van de eis bij ("Nog niet gestart"), wie verantwoordelijk is (in eerste instantie waarschijnlijk jezelf), en de datum van vandaag. Meer hoef je nu niet te doen. Daarna ga je daar de volgende sectie (4.2 Understanding the needs and expectations of interested parties).
Soms zal je zien dat een eis eigenlijk een samenvatting van een paar andere is. Dit is bij 4.3 al het geval: het vraagt je de bevindingen van 4.1 en 4.2 in rekening te brengen. Vermeld die zeker erbij, zodat je daar later naar terug kan verwijzen. Bij 4.3 staat ook expliciet dat de scope als "documented information" beschikbaar moet zijn. Als je dit ziet staan, noteer je dat erbij. Vaak zal je hiervan een afzonderlijk document (of een afzonderlijke sectie in een ander document) van willen maken. Het kan geen kwaad om direct al een leeg document met die titel aan te maken.
Als je aan het einde van punt 10 gekomen hebt, heb je zonder het beseffen al een belangrijke eerste stap genomen in je weg naar ISO27001 compliance: je ISMS begint structuur te krijgen. Uiteraard is het nog "leeg" en zijn alle TODOs nog open, maar Rome werd ook niet op één dag gebouwd.
5. Next steps
Nu je de Norm gelezen hebt en alle eisen hebt genoteerd wil je er misschien direct in vliegen. Beginnen bij artikel 4 en zo doorgaan tot en met 10 is volgens mij niet de beste manier van werken. Ik begin bij 4.1, 4.2 en 4.3 als basis voor de risico analyse (6.1.2). Artikel 4.1 vraagt je eerst de interne en externe factoren die het success van je security-beleid kunnen beïnvloeden. Denk daarbij aan mensen, tijd, bedrijfsstructuur, technologie die je gebruikt en bedrijfsdoelen als interne factoren, concurrenten, wetgeving en het economisch klimaat als externe. Daarbij neem je (4.2) de verwachtingen van stakeholders in rekening.
Artikel 4.3 is niet zo eenvoudig als het lijkt, maar wel belangrijk. Je bepaalt daarin de "scope" van je ISMS. Wat valt erbinnen, wat valt erbuiten, en is dat logisch? Zijn er magazijnen die je uitsluit? Zijn er IT systemen die je uitsluit? Op dit moment is een ruwe draft genoeg, je kan deze later nog verfijnen. Het is op dit moment van belang een goed idee te hebben van je scope zodat je risico analyse goed kan beginnen.
Al deze elemenenten documenteer je (niet vergeten, alles documenteren voor ISO27001!), en neem je als input voor je risico analyse.
De norm suggereert in 6.1.2 om eerst een process te definieren voor je risico analyse, en dan pas de analyse zelf uit te voeren. Ik ben voorstander om beide samen te doen de eerste keer dat je een risico analyse maakt. Bereid je heel goed voor, zorg dat je voldoende mensen rond de tafel hebt, en bepaal alle risico's die een impact kunnen hebben op de confidentialiteit, integriteit en beschikbaarheid van de informatie die je bedrijf bezit en behandeldt. Dit is trouwens een belangrijk verschil met SOC2, waar je risico analyse doorgaans iets breder gaat.
Meer over de risico analyse in een volgende blogpost!
Conclusie
Terwijl we deze eerste essentiële stappen zetten op onze reis naar ISO27001 compliance, is het belangrijk te onthouden dat elk groot project begint met kleine, beheersbare taken. Deze initiële inspanningen leggen de basis voor een robuust en veilig systeem dat ons bedrijf zal beschermen en versterken. In de komende blogposts zullen we dieper ingaan op de volgende stappen en onze voortgang delen, zodat u met ons kunt meegroeien en leren. Samen bouwen we aan een veiligere, beter beveiligde toekomst voor onze IT-infrastructuur.
