Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) 1) Welke documenten registraties zijn vereist? De onderstaande lijst toont de minimale set van documenten en registraties vereist door de ISO/IEC 27001 2013 revisie: Documenten*
ISO 27001:2013 clausule nummer
Toepassingsgebied van het ISMS
4.3
Informatiebeveiligingsbeleid en doelstellingen
5.2, 6.2
Methodologie voor risicobeoordeling en -behandeling
6.1.2
Verklaring van Toepasselijkheid
6.1.3 d)
Plan voor risicobehandeling
6.1.3 e), 6.2
Rapport voor Risicobehandeling
8.2
Bepaling van beveiligingsrollen en verantwoordelijkheden
A.7.1.2, A.13.2.4
Inventarisatie van bedrijfsmiddelen
A.8.1.1
Acceptabel gebruik van bedrijfsmiddelen
A.8.1.3
Toegangscontrolebeleid
A.9.1.1
Operationele procedures voor IT management
A.12.1.1
Vervaardigingsprincipes voor beveiligingssystemen
A.14.2.5
Beveiligingsbeleid leveranciers
A.15.1.1
Procedure voor incidentbeheer
A.16.1.5
Procedures voor bedrijfscontinuïteit
A.17.1.2
Wetgeving, regelgeving, en contractuele verplichtingen
A.18.1.1
Registraties*
ISO 27001:2013 clausule nummer
Registratie van opleiding, vaardigheden, ervaring en
7.2
bevoegdheden Bewaking en meten resultaten
©2013 27001Academy
9.1
www.iso27001standard.com
Pagina 1 of 10
Interne audit program
ma9.2
Resultaten van interne audits
9.2
Resultaten van de directiebeoordeling
9.3
Resultaten van corrigerende maatregelenf
10.1
Logs van gebruikersactiviteiten, uitzonderingen, en
A.12.4.1, A.12.4.3
beveiligingsgebeurtenissen
*Beheersmaatregelen van Bijlage A kunnen worden uitgesloten als een organisatie concludeert dat er geen risico’s of andere vereisten nodig zijn die de implementatie van een beheersmaatregel vraagt. Dit is geen geval geen uitputtende lijst van documenten en registraties die kan worden gebruikt tijdens de ISO implementatie – de norm staat elk ander document toe om toegevoegd te worden ter verbetering van het niveau van informatiebeveiliging.
2) Vaak gebruikte niet-verplichte documenten Andere documenten die vaak worden gebruikt zijn: Documenten
ISO 27001:2013 clause nummer
Procedure voor beheer van documenten
7.5
Procedure voor beheer van registraties
7.5
Procedure voor interne audit
9.2
Procedure voor corrigerende maatregelen
10.1
Beleid voor Bring your own device (BYOD)
A.6.2.1
Beleid voor draagbare computers en telewerken
A.6.2.1
Beleid voor behandeling van geclassificeerde
A.8.2.1, A.8.2.2, A.8.2.3
Informatie Wachtwoordenbeleid
A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3
Beleid voor verwijdering en vernietiging
A.8.3.2, A.11.2.7
Procedures voor het werken in beveiligde ruimten
A.11.1.5
©2013 27001Academy
www.iso27001standard.com
Pagina 2 of 10
Beleid voor verwijdering en vernietiging
A.11.2.9
Beleid voor wijzigingsbeheer
A.12.1.2, A.14.2.4
Beleid voor back-up
A.12.3.1
Beleid voor informatie-uitwisseling
A.13.2.1, A.13.2.2, A.13.2.3
Business Impact Analyse
A.17.1.1
Plan voor training en testen
A.17.1.3
Plan voor onderhoud en herbeoordeling
A.17.1.3
Strategie voor bedrijfscontinuïteit
A.17.2.1
3) Hoe de meest gebruikte documenten en registraties te structureren Toepassingsgebied van het ISMS Dit document is vaak best wel kort, en beschreven aan het begin van de implementatie van de ISO 27001. Normaal is het een op zichzelf staand document, hoewel het kan worden samengevoegd met een informatiebeveiligingsbeleid. Lees meer: Problems with defining the scope in ISO 27001.
Informatiebeveiligingsbeleid en doelstellingen Het informatiebeveiligingsbeleid is meestal een kort, top-level document die het hoofddoel van het ISMS beschrijft. Doelstellingen voor het ISMS is normaal een op zichzelf staand document, maar kan ook worden samengevoegd met het informatiebeveiligingsbeleid. In tegenstelling tot de ISO 27001 2005 revisie, is er geen noodzaak meer voor beide documenten ISMS beleid en Informatiebeveiligingsbeleid – slechts één informatiebeleid is noodzakelijk. Lees hier meer: Information security policy – how detailed should it be?
©2013 27001Academy
www.iso27001standard.com
Pagina 3 of 10
Methodologie & Rapport voor risicobeoordeling en risicobehandeling De methologie voor risicobeoordeling en –behandeling is normaal een document van 4 of 5 pagina’s, en dient te worden geschreven voor de risicobeoordeling en risicobehandeling wordt uitgevoerd. Het rapport voor risicobeoordeling en behandeling dient te worden geschreven na de risicobeoordeling en risicobehandeling, en vat alle resultaten samen. Lees hier meer: ISO 27001 risk assessment & treatment – 6 basic steps.
Verklaring van Toepasselijkheid De Verklaring van Toepasselijkheid (of VvT) wordt op basis van de resultaten uit de risicobehandeling geschreven – het is een centraal document binnen het ISMS omdat het niet alleen beschrijft welke beheersmaatregelen van Bijlage A van toepassing zijn, maar ook hoe ze moeten worden geïmplementeerd, en wat hun huidige status is. U kunt ook de Verklaring van Toepasselijkheid ook beschouwen als een document dat het beveiligingsprofiel van de organisatie beschrijft. Lees hier meer: The importance of Statement of Applicability for ISO 27001.
Plan voor risicobehandeling Dit is eigenlijk een actieplan voor hoe verscheidende beheersmaatregelen te implementeren aangegeven bij de VvT– het is ontwikkeld op basis van de Verklaring van Toepasselijkheid, en wordt actief gebruikt en onderhouden gedurende de gehele ISMS implementatie. Soms kan het worden samengevoegd in het projectplan. Lees hier meer: Risk Treatment Plan and risk treatment process – What’s the difference?
Beveiligingsrollen en verantwoordelijkheden De beste methode is om dit door het gehele beleid en procedures, zo precies als mogelijk. Vermijd uitdrukkingen als “dient te worden gedaan,” en in plaats daarvan gebruik “CISO will xyz elke maandag uitvoeren om zxy uur”. Sommige organisaties geven er de voorkeur aan
©2013 27001Academy
www.iso27001standard.com
Pagina 4 of 10
om beveiligingsrollen en verantwoordelijkheden in hun functieomschrijvingen te beschrijven; alhoewel dit kan leiden tot een boel papierwerk. Beveiligingsrollen en verantwoordelijkheden voor derde partijen worden gedefinieerd in contracten.
Inventarisatie van bedrijfsmiddelen Indien je niet de beschikking had over een inventarisatie voor de start van het ISO 27001 project, dan is de beste manier om een dergelijk document direct af te leiden van de resultaten uit de risicobeoordeling – gedurende de risicobeoordeling dienen alle bedrijfsmiddelen en diens eigenaren toch te worden geïdentificeerd, dus u hoeft alleen de resultaten hier vanaf te kopiëren.
Acceptabel gebruik van bedrijfsmiddelen Dit wordt meestal in de vorm van een beleid geschreven, en op zo’n manier dat een document een groot reeks van onderwerpen kan beslaan, omdat de norm deze beheersmaatregelen niet zo goed definieert. Waarschijnlijk is de beste manier van benadering de volgende: (1) bewaar dit voor het einde van uw implementatie, en (2) al de gebieden die u niet heeft behandeld met andere documenten en die alle medewerkers betreft, behandel ze dan met dit beleid.
Toegangscontrolebeleid In dit document, kun je alleen de bedrijfskant van de goedkeuring van toegang tot bepaalde informatie en systemen behandelen, of ook de technische kant van de toegangscontrole; daarnaast kunt u er voor kiezen regels te definiëren voor alleen logische toegangscontrole, of ook fysieke toegang. U dient dit document te schrijven, nadat u uw risicobeoordeling en risicobehandelingsproces hebt.
©2013 27001Academy
www.iso27001standard.com
Pagina 5 of 10
Operationele procedures voor IT management U kunt dit ook schrijven als een los document, of als een serie van beleid en procedures – indien het gaat om een kleinere organisatie, dan zult u een kleiner aantal documenten krijgen. Normaal, kunt u alle gebieden van de delen A.12 en A.13 behandelen – wijzigingsbeheer, diensten door derde partijen, back-up, netwerkbeveiliging, kwaadaardige codering, verwijdering en vernietiging, informatie uitwisseling, systeembewaking, enz.. U dient dit document te schrijven nadat u de risicobeoordeling hen het risicobehandelingsproces hebt afgerond. Lees hier meer over IT management: ITIL & ISO 20000 Blog.
Vervaardigingsprincipes voor beveiligingssystemen Dit is een nieuwe beheersmaatregel in de ISO 27001:2013, en vereist dat vervaardigingsprincipes voor beveiligingssystemen worden beschreven in de vorm van een norm of procedure, en dient te definiëren hoe beveiligingstechnieken op te nemen in alle architectuurlagen– bedrijf, gegevens, applicatie en technologie. Deze kan validatie van invoergegevens, debugging, authenticatietechnieken, bediening van beveiligde sessies, enz. bevatten
Beveiligingsbeleid leveranciers Dit is eveneens een nieuwe beheersmaatregel in de ISO 27001:2013, en een dergelijk beleid kan een grote reeks aan beheersmaatregelen beslaan – hoe de screening van potentiële aannemers wordt gedaan, welke beveiligingsclausules kunnen worden opgenomen in het contract, hoe het nakomen van de contractuele beveiligingsclausules wordt bewaakt, hoe de toegang te sluiten wanneer het contract wordt beëindigd.
Incident management procedure Dit is een belangrijke procedure welke beschrijft hoe de beveiligingszwakheden, gebeurtenissen en incidenten worden gerapporteerd, geclassificeerd en behandeld. Deze procedure beschrijft hoe te leren van informatiebeveiligingsincidenten, zodat ze de volgende ©2013 27001Academy
www.iso27001standard.com
Pagina 6 of 10
keer kunnen worden voorkomen. Een dergelijke procedure kan het Bedrijfscontinuïteitsplan in werking stellen als een incident een langdurige verstoring heeft veroorzaakt.
Procedures voor bedrijfscontinuïteit Dit zijn over het algemeen bedrijfscontinuïteitsplannen, incident response plannen, herstelplannen voor de bedrijfskant van de organisatie, en rampen opvang plannen (herstelplannen voor de IT-infrastructuur). Deze zijn het beste te omschrijven in de ISO 22301 norm, de internationaal geldende norm voor bedrijfscontinuïteit. Om meer te leren, klik hier: Business continuity plan: How to structure it according to ISO 22301.
Wetgeving, regelgeving en contractuele verplichtingen Deze lijst dient zo spoedig mogelijk in het project te worden opgesteld, omdat vele documenten moeten worden ontwikkeld volgens deze invoer. Deze lijst bevat niet alleen verantwoordelijkheden om te voldoen aan de verschillende vereisten, maar ook aan de deadlines.
Registraties van opleiding, vaardigheden, ervaring en bevoegdheden Deze registraties worden gewoonlijk onderhouden door de personeelsafdeling – indien u niet beschikt overeen dergelijke afdeling, dan dient iemand dit te onderhouden die normaal de registratie rond medewerkers doet. Eigenlijk is een map met daarin alle documenten opgeslagen toereikend.
Bewaking en meten resultaten De makkelijkste manier om de wijze van beheersmaatregelen te meten is door beleid en procedures die elke beheersmaatregel definieert – gewoonlijk, kan deze omschrijving aan het eind van elk document, en zo’n omschrijving definieert de soorten KPI’s (key performance indicators) die dienen te worden gemeten voor elke beheersmaatregel of groep van beheersmaatregelen.
©2013 27001Academy
www.iso27001standard.com
Pagina 7 of 10
Wanneer deze methode van meten is geïnstalleerd, dan dien je de meting navenant uit te voeren. Het is belangrijk deze resultaten regelmatig te rapporteren aan de personen die de leiding hebben over de evaluatie daarvan. Lees hier meer over: ISO 27001 control objectives – Why are they important?
Interne audit programma Het interne audit programma is niets anders dan een 1-jaarsplan voor het uitvoeren van audits – voor een kleinere organisatie kan dit de enige audit zijn, waar dat voor grotere organisaties dit een reeks kan zijn, bijvoorbeeld 20 interne audits. Dit programma dient te bepalen wie de audits, methoden, audit criteria, e.d. zal uitvoeren.
Resultaten van interne audits Een interne auditor dient een Auditapport op te stellen, welke de auditbevindingen bevat (observaties en corrigerende maatregelen). Een dergelijk rapport dient te worden gemaakt binnen een aantal dagen nadat de interne audit is uitgevoerd. In sommige gevallen zal de interne auditor moeten nagaan of alle corrigerende maatregelen ook zijn uitgevoerd zoals verwacht.
Resultaten van de directiebeoordeling Deze registraties worden normaal opgeleverd in de vorm van notulen – deze dienen al het materiaal te bevatten dat nodig is voor de managementvergadering, als ook voor de beslissingen die dienen te worden genomen. De notulen kunnen worden opgesteld op papier of in digitale vorm.
Resultaten van corrigerende maatregelen Deze zijn traditioneel opgenomen in het formulier Corrigerende maatregelen (COMs). Echter, het is veel beter dergelijke registraties op te nemen in een applicatie die al binnen de organisatie wordt gebruikt voor de Helpdesk – omdat corrigerende maatregelen niets anders is dan een to do lijst met helde gedefinieerde verantwoordelijkheden, taken en deadlines.
©2013 27001Academy
www.iso27001standard.com
Pagina 8 of 10
Logs van gebruikersactiviteiten, uitzonderingen, en beveiligingsgebeurteniseen Deze worden normaal bijgehouden op twee formulieren:: (1) in digitale vorm, automatisch of semi-automatisch geproduceerd als logs van verscheidene IT of andere systemem, and (2) in papieren vorm, waar elke registratie handgeschreven is.
Procedure voor beheer van documenten Dit is normaal een losse procedure, 2 of 3 pagina’s lang. Als u al een andere norm hebt geïmplementeerd zoals de ISO 9001, ISO 14001, ISO 22301 of vergelijkbare normen, dan kunt u dezelfde procedure gebruiken voor al deze management systemen. Soms is het het beste om deze procedure als eerste document te beschrijven in een project. Lees hier meer: Document management in ISO 27001 & BS 25999-2.
Procedure voor het beheren van registraties De makkelijkste manier om het beheer van de registraties te beschrijven in elk beleid of procedure (of ander document) dat verlangt dat een registratie wordt gecreëerd. Deze beheersmaatregelen worden meestal beschreven tegen het einde van elk document, en worden in de regel in tabelvorm opgenomen die beschrijft waar de registratie wordt opgeslagen, wie toegang heeft, hoe het wordt beschermd, voor hoe lang het wordt opgeslagen, enz.
Procedure voor interne audit Dit is normaal een procedure een los staande procedure en kan 2 of 3 pagina’s lang zijn, en moet worden geschreven voor de interne audit begint. Gelijk met de Procedure voor documentbeheer, kan één Procedure voor interne audit worden gebruikt voor elk management system. Lees hier meer: Dilemmas with ISO 27001 & BS 25999-2 internal auditors.
©2013 27001Academy
www.iso27001standard.com
Pagina 9 of 10
Procedures voor corrigerende maatregelen Deze procedure dient niet meer dan 2 of 3 pagina’s lang te zijn, en het kan worden geschreven aan het eind van de implementatie van het project, alhoewel het beter is dit eerder te doen zodat de medewerkers er al aan kunnen wennen.. Lees hier meer: Mandatory documented procedures required by ISO 27001.
4) Voorbeelden van documentatiesjablonen Hier kunt u de gratis preview van ISO 27001 & ISO 22301 Documentatie Toolkit downloaden – in deze gratis preview kunt u de inhoudsopgave zien van elk van de genoemde beleidsdocumenten en procedures, als ook een paar onderdelen van elk document.
©2013 27001Academy
www.iso27001standard.com
Pagina 10 of 10
