Over inTECHrity

Best practice aanpak in acht stapppen

Primair gaat een ISO 27001 / NEN 7510 certificering over het Information Security Management System (ISMS), het proces dat de veiligheid van (vertrouwelijke) informatie bij uw organisatie waarborgt. Om tot deze certificering te komen, moet een aantal stappen worden doorlopen. Hieronder vindt u een korte uitleg van onze aanpak: 

1. Management Support

Commitment van het management is een randvoorwaarde. Daarom moet het management als start de onderliggende business case voor de ISO 27001 certificering accorderen. 

2. Bepaal ISMS scope

De scope van het project moet worden bepaald en vastgelegd. Dit is de omgeving waarop de ISO 27001 certificering van toepassing is. 

3. Business Impact Analyse (BIA)

Op basis van de scope bepaalt de business welke onderdelen impact hebben als de Beschikbaarheid, Integriteit en/of Vertrouwelijkheid (BIV) van informatie wordt geschaad. 

4. Risk Assessment (RA)

Uit de BIA blijkt over welke onderdelen een risicoanalyse moet worden uitgevoerd. Voor deze onderdelen wordt geanalyseerd aan welke mogelijke risico’s zij worden blootgesteld. 

5a. Voorbereiden Verklaring van Toepasselijkheid 

Op basis van het risicoprofiel moet de verklaring van toepasselijkheid (Statement of Applicability (SoA)) worden samengesteld. De SoA geeft weer welke controls vanuit het ISO 27001 normenkader wel of niet toepasselijk zijn voor de organisatie. 

5b. Voorbereiden Risico Behandeling Plan 

Op basis van de toepasselijk verklaarde controls wordt een Risk Treatment Plan opgesteld. Hierin staat welke maatregelen moeten worden geïmplementeerd om het gerelateerde risico te minimaliseren. 

6. Ontwikkel ISMS Uitvoeringsprogramma

Het Risk Treatment Plan leidt tot de definitie van een programma, waarin verschillende “treatments” worden samengevoegd tot deelprojecten, die vanuit dit programma worden bestuurd. 7. Projecten

De verschillende deelprojecten worden vanuit het ISMS Uitvoeringsprogramma uitgevoerd. 

7. Pre-certificering assessment

Na de afronding van de verschillende deelprojecten, moeten de risico minimaliserende maatregelen worden getoetst aan de praktijk. 

8. Certificering Audit

Als het assessment succesvol is afgerond, dan is de organisatie klaar voor de officiële audit. De Certificering Audit bestaat meestal uit twee hoofd audits: 

  • Documentatie Audit  De externe auditor richt zich primair op de aanwezige documentatie omtrent ISO 27001. 
  • Implementatie Audit  De externe auditor richt zich primair op de invulling van de beschreven invulling van ISO 27001 in de staande organisatie. 

Kennis maken?

Meer te weten komen over inTECHrity? Neem dan contact met ons op. We maken graag kennis, om te ontdekken wat wij voor u kunnen betekenen!

Maak kennis met de diensten, knowhow en specialisten van inTECHrity. Wij helpen je graag verder!

Om bepaalde functionaliteiten zoals het onderzoeken van uw gedrag op onze website aan te bieden gebruiken wij analytische en tracking cookies op onze website. Omdat we uw privacy belangrijk vinden, vragen we u de tracking cookies te accepteren. Wilt u eerst meer informatie over onze Cookie-policy, klik dan op ‘Meer informatie’.


Meer informatie