Cyber Security Compliance - ISO 27001
Wat is ISO 27001-compliance?
ISO 27000 is een verzameling normen die zijn ontworpen om organisaties te begeleiden die sterke cyberbeveiliging willen implementeren. ISO/IEC 27001:2013 is de meest bekende hiervan en biedt bedrijven begeleiding bij het ontwikkelen van een informatiebeveiligingsbeheersysteem (ISMS).
Waarom is naleving van ISO 27001 van belang?
Hoewel ISO 27001-compliance voor geen enkele organisatie verplicht is, kunnen bedrijven ervoor kiezen om ISO 27001-compliance te bereiken en te behouden om aan te tonen dat ze de nodige beveiligingscontroles en -processen hebben geïmplementeerd om hun systemen en de gevoelige gegevens in hun bezit te beschermen.
Het behalen van ISO 27001-compliance is belangrijk als onderscheidende factor in de markt en als basis voor het voldoen aan andere verplichte vereisten en normen. Een organisatie die voldoet aan ISO 27001 is waarschijnlijk veiliger dan een organisatie zonder, en de norm biedt een solide raamwerk voor het bouwen van veel van de beveiligingscontroles die vereist zijn door andere regelgeving.
ISO 27001-conformiteitsnormen
Het primaire doel van de ISO 27001-regelgeving is om organisaties te begeleiden bij het creëren, implementeren en handhaven van een ISMS. Dit ISMS beschrijft de controles, processen en procedures die het bedrijf heeft ingevoerd om de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens in zijn bezit te waarborgen.
Om ISO 27001-compliance te bereiken, moet een organisatie ook de stappen documenteren die zijn genomen in het proces van de ontwikkeling van het ISMS. Belangrijke documentatie omvat:
- ISMS-bereik
- Informatiebeveiligingsbeleid
- Risicobeoordelingsproces en plan voor informatiebeveiliging
- Informatiebeveiligingsdoelstellingen
- Bewijs van bekwaamheid van mensen die werkzaam zijn in informatiebeveiliging
- Resultaten van de risicobeoordeling en behandeling van informatiebeveiliging
- ISMS Intern auditprogramma en resultaten van uitgevoerde audits
- Bewijs van leiderschapsreviews van het ISMS
- Bewijs van geconstateerde afwijkingen en resultaten van corrigerende maatregelen
Wat zijn de ISO 27001-auditcontroles?
ISO 27001 definieert een reeks auditcontroles die moeten worden opgenomen in een conform ISMS. Deze omvatten:
- Informatiebeveiligingsbeleid: dit besturingselement beschrijft hoe beveiligingsbeleid moet worden gedocumenteerd en beoordeeld als onderdeel van het ISMS.
- Organisatie van informatiebeveiliging: rolverantwoordelijkheden zijn een belangrijk onderdeel van een ISMS. Deze controle verdeelt beveiligingsverantwoordelijkheden in de hele organisatie en zorgt ervoor dat er een duidelijke verantwoordelijkheid is voor elke taak.
- Human Resource Security: dit besturingselement behandelt hoe werknemers worden getraind in cyberbeveiliging bij het starten en beëindigen van rollen binnen een organisatie, inclusief onboarding, offboarding en veranderingen in posities.
- Activabeheer: Gegevensbeveiliging is een primaire zorg van ISO 27001. Deze controle is gericht op het beheren van toegang tot en beveiliging van activa die van invloed zijn op gegevensbeveiliging, inclusief hardware, software en databases.
- Toegangscontrole: deze controle bespreekt hoe een organisatie de toegang tot gegevens beheert om te beschermen tegen ongeautoriseerde toegang tot gevoelige of waardevolle gegevens.
- Cryptografie: Encryptie is een van de krachtigste tools voor gegevensbescherming. Bedrijven moeten waar mogelijk gegevensversleuteling implementeren met behulp van sterke cryptografische algoritmen.
- Fysieke en omgevingsbeveiliging: Fysieke toegang tot systemen kan digitale beveiligingscontroles ondermijnen. Deze beheersing is gericht op het beveiligen van gebouwen en apparatuur binnen een organisatie.
- Operations Security: Operations security richt zich op hoe de organisatie gegevens verwerkt en beheert. De organisatie dient inzicht te hebben in en controle te hebben over datastromen binnen haar IT-omgeving.
- Communicatiebeveiliging: communicatiesystemen die door een organisatie worden gebruikt (e-mail, videoconferenties, enz.) moeten gegevens die onderweg zijn versleutelen en beschikken over sterke toegangscontroles.
- Systeemverwerving, -ontwikkeling en -onderhoud: deze controle is erop gericht ervoor te zorgen dat nieuwe systemen die in de omgeving van een organisatie worden geïntroduceerd, de bedrijfsbeveiliging niet in gevaar brengen en dat bestaande systemen in een veilige staat worden gehouden.
- Leveranciersrelaties: relaties met derden creëren het potentieel voor aanvallen op de toeleveringsketen. Een ISMS moet controles bevatten voor het volgen van relaties en het beheren van risico’s van derden.
- Beheer van informatiebeveiligingsincidenten: het bedrijf moet over processen beschikken om beveiligingsincidenten te detecteren en te beheren.
- Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer: Naast beveiligingsincidenten moet het bedrijf voorbereid zijn op het beheren van andere gebeurtenissen (zoals branden, stroomuitval, enz.) die een negatieve invloed kunnen hebben op de beveiliging.
- Naleving: als onderdeel van de naleving van ISO 27001 moet de organisatie kunnen aantonen dat ze volledig voldoet aan andere verplichte voorschriften waaraan de organisatie is onderworpen.
Hoe ISO 27001-gecertificeerd te worden
ISO 27001-certificering vereist jaarlijkse audits door een geaccrediteerde ISO 27001-certificeringsinstantie. Alvorens een audit door een derde partij te ondergaan, moet een organisatie een interne audit uitvoeren om de naleving van de ISO 27001-regelgeving te meten en een ISMS te ontwikkelen in overeenstemming met de norm. Zodra de benodigde documentatie is gegenereerd en de vereiste beveiligingscontroles zijn uitgevoerd, is het bedrijf bereid een externe auditor in te schakelen.