Marjos de Bruin
Marjos is één van de auteurs van ISO2HANDLE.
Met haar brede interesse en jarenlange ervaring als deskundige op het gebied van processen en managementsystemen faciliteert zij bedrijven bij het verbeteren van hun bedrijfsvoering.
Als consultant op het gebied van kwaliteit en informatiebeveiliging, ontdekte ik dat organisaties, na het opzetten van het managementsysteem, worstelden met het onderhouden van documentatie en registratie. De beschikbare tools, kant-en-klaar of zelfgebouwd, dekten nooit de volledige lading.
Medio 2017 leerde ik via een mede-consultant de tool ISO2HANDLE kennen. Tijdens de demo werd ik steeds enthousiaster, omdat de tool het volledige managementsysteem ondersteunt.
In 2018 heb ik een raamwerk van het managementsysteem voor informatiebeveiliging conform ISO 27001 in ISO2HANDLE opgezet. Naast uitleg van de normstap zijn er voorzetteksten geschreven, ondersteunende formulieren gemaakt en een dashboard gebouwd.
Risicobeoordeling
Één van de formulieren in ISO 27001 is de risicobeoordeling op informatiebeveiliging. Hierin zijn een groot aantal veel voorkomende bedreigingen opgenomen zoals:
- Beveiligingsinbreuken als gevolg van het ontbreken van coördinatie vanuit de directie;
- Onterecht hebben van rechten;
- Wegnemen van bedrijfsmiddelen.
Bij het invullen van de risicobeoordeling verschijnen ook de mogelijke maatregelen, die de organisatie kan nemen. Bijvoorbeeld bij het risico ‘Onterecht hebben van rechten’ verschijnen onder meer de volgende beveiligingsmaatregelen:
- 7.3.1: Beëindiging of wijziging van verantwoordelijkheden van het dienstverband;
- 8.1.4: Teruggeven van bedrijfsmiddelen;
- 9.1.1: Beleid voor toegangsbeveiliging.
De nummering verwijst naar de betreffende maatregel in de Annex A en de betreffende paragraaf in ISO 27002 in ISO2HANDLE.
Annex A
Annex A is een opsomming van beveiligingsmaatregelen zonder toelichting of ondersteunende formulieren. Bedrijven, die al langer werken met ISO 27001, kunnen hiermee prima uit de voeten.
Bedrijven die meer ondersteuning wensen, kunnen ISO 27001 uitbreiden met ISO 27002.
In ISO 27002 wordt elke maatregel kort toegelicht, zijn er voorzetteksten beschikbaar en bij een aantal maatregelen zijn ook ondersteunende formulieren beschikbaar.
Verklaring van Toepasselijkheid
Uiteraard mag de Verklaring van Toepasselijkheid niet ontbreken. Er kunnen meerdere versies van de Verklaring van Toepasselijkheid worden opgeslagen, zodat de versie van het ISO 27001-certificaat altijd beschikbaar is naast een actuele versie.
Interesse? Vraag dan een gratis demo aan!
[addtoany]
