Verplichte ISO27001 documentatie
Inleiding
Wat moet je nu aan verplichte ISO27001 documentatie hebben opgesteld om door een audit te komen?
Verplichte ISO27001 documentatie
ISO27001 stelt verplicht dat een aantal zaken gedocumenteerd zijn. Als je in de norm gaat zoeken op het woord gedocumenteerd kom je onderstaande tegen:
- Toepassingsgebied van het ISMS. Dit is de scope waarvoor je gecertificeerd wilt worden.
- Informatiebeveiligingsbeleid.
- Beschrijving hoe de risico analyse wordt uitgevoerd.
- Resultaten van de risico analyse.
- Hoe geconstateerde risico’s worden behandeld.
- Procedure beveiligingsincidenten.
- Beveiligingsdoelstellingen.
- Capaciteiten van medewerkers.
- Beheer van documentatie (versie, goedkeuring, toegang etc.)
- Planning van de controles, interne audits, externe audits.
- Informatie waarmee aangetoond kan worden dat de operationele processen gepland worden uitgevoerd. Deze is vrij te interpreteren en zal afhangen van je bedrijfsvoering. Ik kom hier later in dit artikel op terug met een aantal voorbeelden.
- De doeltreffendheid van de beveiligingsdoelstellingen dienen gemeten en geanalyseerd te worden.
- Resultaten van controles en audits incl. genomen maatregelen bij afwijkingen.
- Management beoordeling.
- Verklaring van toepasselijkheid. Hierin laat je zien welke maatregelen je wel en niet hebt geselecteerd en waar de implementatie van de maatregel aangetoond kan worden.
Zoek je vervolgens verder in de Annex A, de maatregelen, dan wordt hier de volgende documentatie verwacht:
- A8.3.1 Regels voor het gebruik van bedrijfsmiddelen.
- A9.1.1 Beleid voor toegangsbeveiliging (logisch en fysiek).
- A12.1.1 Werkinstructies.
- A13.2.4 Geheimhoudingsovereenkomsten.
- A14.2.5 Richtlijnen voor de beveiliging van systemen.
- A15.1.1 Informatiebeveiligingsbeleid voor leveranciers.
- A17.1.2 Procedures voor business continuïteit.
- A18.1.1 Een analyse van wetten die van toepassing zijn op de organisatie en contractuele afspraken.
Bovengenoemde lijst kent een verschil. Enerzijds zijn er documenten die noodzakelijk zijn voor de audit. Anderzijds zijn er verslagen (records) die worden opgesteld tijdens de uitvoering van het ISMS. Documenten zijn aangegeven met de nummers: 1,2,3,6,7,8,9,11,15,16,17,18,19,20,21,22 en 23. Verslagen c.q records met de nummers: 4,5,10,12,13 en 14.
Een aantal van de documenten zal waarschijnlijk kort van inhoud zijn. Ik raad je aan om hier geen losse documenten van te maken, maar deze onder te brengen in het beleid.
Ad 11
Dit onderdeel verdient nog een toelichting. Het gaat hier om documentatie waarmee aangetoond kan worden dat de operationele processen gepland worden uitgevoerd.
Deze is wat vager en daarmee ter interpretatie. Hoe je dit invult zal erg afhangen van je bedrijfsproces. Het gaat er om dat je aan kunt tonen dat de operatie correct verloopt en dat je in control bent. Vaak zal er tijdens een audit gevraagd worden naar zaken als:
- Is er een registratiesysteem, zodat een auditor kan beoordelen hoe de dagelijkse operatie verloopt.
- Is er een overzicht van de gebruikte bedrijfsmiddelen.
- Is er een beschrijving van het wijzigingsproces en kan er een wijziging bekeken worden.
- Zijn de rollen en verantwoordelijkheden qua informatiebeveiliging vastgelegd. Vaak is dit in de arbeidsvoorwaarden opgenomen, maar het is niet verkeerd om dit te beschrijven in het beleidsdocument zodat duidelijk is wie in de organisatie waar voor verantwoordelijk is. Doe dit op hoog niveau, niet op detail niveau is mijn advies.
- Zijn er logfiles van gebruikersactiviteiten, uitzonderingen en security events.
Als bovenstaande op jou business van toepassing is, dan raad ik je aan dit bij de hand en compleet te hebben.
Afsluiting
Ben je daarmee compleet, of zijn er nog meer documenten nodig naast de verplichte ISO27001 documentatie?
Vanuit audit perspectief heb je hiermee het merendeel wel te pakken. Het kan best zijn dat tijdens een audit nog meer documentatie wordt gevraagd, bijvoorbeeld als het een belangrijk onderdeel is van je bedrijfsvoering. Daarnaast is het goed mogelijk dat je bij de selectie van maatregelen zelf besluit dat er nog e.e.a. gedocumenteerd dient te worden.