ISO 27001



door

Wat is ISO 27001?

ISO 27001 (formeel bekend als ISO/IEC 27001:2005) is een specificatie voor een beheersysteem voor informatiebeveiliging (Information Security Management System, ISMS). Een ISMS is een raamwerk van beleid en procedures dat alle wettelijke, fysieke en technische controles omvat die betrokken zijn bij de processen van een organisatie voor het beheer van informatierisico's.

Volgens de documentatie is ISO 27001 ontwikkeld om "een model te bieden voor het vaststellen, implementeren, exploiteren, bewaken, herzien, onderhouden en verbeteren van een beheersysteem voor informatiebeveiliging."

ISO 27001 maakt gebruik van een top-down, op risico's gebaseerde benadering en is technologieneutraal. De specificatie definieert een zesdelig planningsproces:

  1. Stel een beveiligingsbeleid vast.
  2. Stel de reikwijdte van het ISMS vast.
  3. Voer een risicobeoordeling uit.
  4. Beheer geïdentificeerde risico's.
  5. Selecteer controledoelstellingen en in te voeren controles.
  6. Stel een verklaring van toepasselijkheid op.

De specificatie bevat details voor documentatie, managementverantwoordelijkheid, interne audits, voortdurende verbetering, en correctieve en preventieve actie. De norm vereist samenwerking tussen alle geledingen van een organisatie.

De 27001-norm schrijft geen specifieke controles op de informatiebeveiliging voor, maar geeft wel een checklist van controles die in aanmerking moeten worden genomen in de bijbehorende praktijkcode, ISO/IEC 27002:2005. Deze tweede norm beschrijft een uitgebreide reeks controledoelstellingen voor informatiebeveiliging en een reeks algemeen aanvaarde beveiligingscontroles op basis van goede praktijken.

ISO 27002 bevat 12 hoofdonderdelen:

1. Risicobeoordeling
2. Beveiligingsbeleid
3. Organisatie van informatiebeveiliging
4. Middelenbeheer
5. Beveiliging van personeel
6. Fysieke en omgevingsbeveiliging
7. Communicatie en operationeel beheer
8. Toegangscontrole
9. Aanschaf, ontwikkeling en onderhoud van informatiesystemen
10. Informatiebeveiligingsincidentenbeheer
11. Bedrijfscontinuïteitsbeheer
12. Naleving

Organisaties moeten deze beheersmaatregelen toepassen in overeenstemming met hun specifieke risico's. Geaccrediteerde certificering door een derde partij wordt aanbevolen voor ISO 27001-conformiteit.

Andere normen die worden ontwikkeld in de 27000-familie zijn:

  • 27003 - implementatierichtlijnen.
  • 27004 - een norm voor het meten van het beheer van informatiebeveiliging, waarin meetmethoden worden voorgesteld om de effectiviteit van een ISMS te helpen verbeteren.
  • 27005 - een norm voor risicobeheer van informatiebeveiliging. (Gepubliceerd in 2008)
  • 27006 - een gids voor het certificerings- of registratieproces voor geaccrediteerde ISMS-certificerings- of -registratie-instanties. (Gepubliceerd in 2007)
  • 27007 - leidraad voor ISMS-audits.