Welkom bij Protify.

We plaatsen conform cookiewetgeving ℹ️ en onze privacy policy alleen strikt-noodzakelijke functionele cookies. 😊

Voor bezoekersanalyse gebruiken we Google Analytics (ook cookieless). Mogen we voor een beter begrip ook enkele Google Analytics analytische cookies plaatsen?

Begin niet met Annex A als je ISO 27001 implementeert

Geschreven door Protify

Informatief

Wij zien het vaak gebeuren. Een projectteam dat enthousiast aan de slag gaat met ISO 27001. Iedereen wil tempo maken, dus er wordt direct gekeken naar concrete maatregelen. En dat snappen wij want: Lekker praktisch. Lekker tastbaar.

En precies daar gaat het mis. Want veel teams pakken in deze fase de Annex A als startpunt. Begrijpelijk, want die staat vol met duidelijke controls. Dingen waar je direct iets mee kunt, zoals multifactor authenticatie, back-upbeheer, logging of awareness programma’s.

Maar de Annex A is niet meer dan een lijst met mogelijke beveiligingsmaatregelen (controls). Door hier te starten ben je dus al oplossingen aan het implementeren zonder dat je scherp hebt welk probleem je nu eigenlijk oplost.

Eerst richting bepalen, daarna beheersen

ISO 27001 is opgebouwd als een managementsysteem. Dat betekent dat de norm organisaties helpt om gestructureerd en risicogedreven keuzes te maken. De hoofdstukken 4 tot en met 10 vormen daarom het fundament van een effectief ISMS.

Hoofdstuk 6 en hoofdstuk 8 spelen hierin een belangrijke rol:

  • Hoofdstuk 6 vraagt organisaties om risico’s, kansen en doelstellingen planmatig te benaderen.
  • Hoofdstuk 8 richt zich op het uitvoeren van risicobeoordelingen en risicobehandeling.

Pas wanneer risico’s goed in beeld zijn gebracht, ontstaat inzicht in welke beheersmaatregelen daadwerkelijk nodig zijn. Annex A ondersteunt vervolgens bij het selecteren van passende maatregelen.

Waarom deze aanpak werkt?

Organisaties die eerst aandacht geven aan context, risico’s en besluitvorming merken dat:

  • beheersmaatregelen goed aansluiten op de praktijk;
  • investeringen gericht worden gedaan;
  • verantwoordelijkheden duidelijk zijn;
  • het ISMS draagvlak krijgt binnen de organisatie.

De implementatie wordt effectiever en beter uitlegbaar richting management, klanten en auditoren. Met deze aanpak zijn geïmplementeerd beheersmaatregelen het resultaat van een afgewogen risicoanalyse. Er zijn bewuste keuzes gemaakt over welke risico’s je als organisatie wil accepteren, verminderen of vermijden. De Annex A is hiermee niet meer dan een checklist om te bepalen of er geen belangrijke beheersmaatregelen over het hoofd zijn gezien.

Voor een sterke implementatie volg je daarom deze volgorde:

  1. Context en scope bepalen
  2. Risico’s identificeren en beoordelen
  3. Risicobehandeling vaststellen
  4. Passende beheersmaatregelen selecteren
  5. Continu verbeteren

Organisaties die deze structuur volgen, bouwen een duurzaam en beheersbaar managementsysteem.

Keertje sparren?

Kun je wel wat hulp gebruiken bij het goed implementeren van je ISMS? Dan is het slim om daar even over te sparren. Plan een vrijblijvend kennismakingsgesprek.

Avatar foto

Protify

Volg ons voor meer informatie over grip op compliance ook via LinkedIn

Andere artikelen op onze website

Bereid je voor: herziening 9001 norm op komst. Focus thema’s om je huidige certificatie te behouden.