ISMS Document ISO27001 versie1.2.docx

Full Transcript

ISMS Document
Versie 1.2
Datum 1-12-2021
Classificatie [Intern]
INHOUD
4 PLAN: Context van de organisatie 5
4.1 De organisatie en haar context 5
4.2 Belanghebbenden en hun eisen 6
4.3 Toepassingsgebied (Scope) 8
4.4 Managementsysteem voor informatiebeveiliging 9
5 PLAN: Leiderschap 10
5.1 Leiderschap en betrokkenheid 10
5.2 Beleid 11
5.3 Rollen en verantwoordelijkheden 11
6 PLAN: Planning 13
6.1 Maatregelen om risico’s te beperken en kansen te benutten 13
6.1.1 Algemene ISMS-risico’s 13
Risico’s die voortvloeien uit INTERNE en EXTERNE onderwerpen 13
6.1.2 Risicobeoordelingsproces 15
Risicobeoordelingsproces 15
6.1.3 Risicobehandelproces 16
Risicobehandelingsproces 16
6.2 Informatiebeveiligingsdoelstellingen 17
7 PLAN: Ondersteuning 18
7.1 Middelen 18
7.2 Competentie 18
7.3 Bewustzijn 18
7.4 Communicatie 18
7.5 Gedocumenteerde informatie 19
7.5.1 Algemeen 19
7.5.2 Creëren en actualiseren 20
7.5.3 Beheer van gedocumenteerde informatie 20
8 DO: Uitvoering 22
8.1 Operationele planning 22
8.1 Beheersing wijzigingen 22
8.1 Beheersing uitbestede processen 22
8.2 Risicobeoordeling van informatiebeveiliging 22
8.3 Behandeling van informatiebeveiligingsrisico’s 22
9 CHECK: Evaluatie van de prestaties 23
9.1 Monitoren, meten, analyseren en evalueren 23
9.2 Interne audit 23
9.3 Directiebeoordeling 24
10 ACT: Verbetering 25
10.1 Afwijkingen en corrigerende maatregelen 25
10.2 Continue verbetering 26
DOCUMENTHISTORIE / REVIEWLOG

Versie
Datum
Auteur / Reviewer
Toelichting

1.0
17-02-2021
Bas
Eerste aanzet

1.1
12-07-2021
Bas
Logo’s en afronding

1.2
1-12-2021
Bas
Verbeteringen n.a.v. interne audit

Over dit document
In dit document is beschreven op welke wijze de organisatie een managementsysteem voor Informatiebeveiliging (Information Security Management System, ISMS) heeft ingericht. De hoofdstukindeling in dit document sluit aan op de hoofdstukken 4 t/m 10 van de norm ISO 27001. Dit heeft als voordeel dat er tijdens een audit gemakkelijk (zonder heen- en weer springen) door het document gelopen kan worden.
Aangezien de organisatie voortdurend in beweging is, moet dit document minimaal jaarlijks worden geactualiseerd.

PLAN: Context van de organisatie
De organisatie en haar context
Hieronder heeft de organisatie haar actuele externe en interne onderwerpen (vraagstukken) bepaald die relevant zijn voor haar bedrijfsdoelstellingen.

VOOR HET BEDRIJFSDOEL (Strategisch)

POSITIEF
NEGATIEF

VOOR DE ORGANISATIE
INTERN
Sterktes

Gunstige financiële positie.
Creativiteit bij het oplossen van vraagstukken in de dienstverlening.

Zwaktes

Te weinig kennis van de norm.
Beperkte mankracht.

EXTERN
Kansen

Verbetering informatiebeveiliging.
Verbetering voldoen aan AVG.
Verhoging vertrouwen klanten.
Verbetering concurrentiepositie.
Meer structuur in organisatie.

Bedreigingen

Boete van overheid bij niet voldoen aan AVG.
Imago-schade bij een datalek.

Hieronder heeft de organisatie haar actuele externe en interne onderwerpen (vraagstukken) bepaald die haar vermogen beïnvloeden om de beoogde resultaten van het managementsysteem voor informatiebeveiliging te behalen.

VOOR DE BEOOGDE RESULTATEN (Operationeel)

POSITIEF
NEGATIEF

VOOR DE ORGANISATIE
INTERN
Sterktes

Gemotiveerd personeel
Nooit ernstige informatie-beveiligingsincidenten gehad.
Veel IT-kennis
Goede tools

Zwaktes

Weinig processen en regels ingericht
Weinig interne controles
Single point of knowledge
Laag bewustzijn ten aanzien van informatiebeveiliging bij personeel.
Privacy statement website vipersoftware.nl

EXTERN
Kansen

Verminderingen aantal kleine incidenten
Voorkomen grote incidenten

Bedreigingen

Hackers, Malware, DDOS, Phishing, etc.
Ramp/Crisis
Krapte op de arbeidsmarkt.

Belanghebbenden en hun eisen
De organisatie heeft de onderstaande belanghebbenden geïdentificeerd die effect kunnen hebben op, of geraakt kunnen worden door informatiebeveiliging. Tevens zijn hun behoeften en verwachtingen vastgelegd en de aanpak van de organisatie om hieraan te voldoen:

Behoeften en verwachtingen van KLANTEN (eigenaar van de data)
Vastgelegd in:
Aanpak organisatie (zie ook beheersmaatregel A18.1.1):

Naleving SLA-afspraken ten aanzien van de uptime van diensten (beschikbaarheid)
Contract / SLA
Supportcontracten

Naleving SLA-afspraken ten aanzien van oplostijd incidenten
Contract / SLA
Incident Management proces

Naleving beschikbaarheid van technische ondersteuning buiten kantoortijden
Contract / SLA
Incident Management proces

Naleving afspraken over melden van een datalek ten aanzien van persoonsgegevens van klant
Contract / Verwerkers-OVK
Incident Management proces / Procedure melden datalek

Naleving afspraken over het laten verwerken van persoonsgegevens door leveranciers
Contract / Verwerkers-OVK
Beleid ten aanzien van leveranciersrelaties (A15.1.1) / Leverancierscontracten

Naleving afspraken over het inzetten van derde partijen (uitbesteding, support, onderhoud) en de toegang van deze partijen tot data
Contract / Verwerkers-OVK
Afstemming leveranciers met klant / Leveranciersovereenkomsten / Periodieke beoordeling kritische leveranciers

Naleving afspraken over de opslagplaats van data
Contract / Verwerkers-OVK
Keuze leveranciers voor dataopslag (datacenters, clouddiensten, etc.)

Naleving afspraken over vertrouwelijkheid met betrekking tot data
Contract / Verwerkers-OVK
Vertrouwelijkheidsovereenkomsten met medewerkers en inhuurkrachten / Algemeen Beleid / Toegangsbeleid

Naleving afspraken over opleveren rapportages naar de klant (bijv. SLA, storingsrapporten, etc.)
Contract / SLA
Vastlegging rollen en verantwoordelijkheden

Naleving implementatie overeengekomen security eisen (web)applicaties
Contract / SLA
Ontwikkelproces, Testproces, Acceptatieproces

Naleving uitvoering geven aan verzoek van klant om specifieke persoonsgegevens geheel te verwijderen (recht om vergeten te worden)
Contract / Verwerkers-OVK
Procedure verwijderen persoonsgegevens

Eisen vanuit de OVERHEID en Belastingwetgeving
Vastgelegd in:
Aanpak organisatie (zie ook beheersmaatregel A18.1.1):

Naleving wettelijke eisen ten aanzien van het door derden laten verwerken van persoonsgegevens waarvoor de organisatie verantwoordelijk is (bijv. salarisverwerking voor medewerkers).
AVG (Art 28 en 29)
Verwerkersovereenkomsten met derden

Naleving wettelijke eisen ten aanzien van het bijhouden van een verwerkingsregister
AVG (Art 30)
Verwerkingsregister

Naleving wettelijke eisen met betrekking tot het treffen van passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen
AVG (art 32)
ISMS

Naleving wettelijke eisen over het door de organisatie melden van een datalek ten aanzien van persoonsgegevens van eigen medewerkers en inhuurkrachten.
AVG (art 33 en 34)
Datalek procedure

Naleving wettelijke eisen over bewaartermijn van persoonsgegevens die de organisatie bewaard voor commerciële of organisatorische redenen (bijv. sollicitatiebrieven)
AVG - artikel 5.1(e)
Algemeen Beleid

Borgen van de rechten van betrokkenen.
AVG – diverse artikelen
Privacy-statement zie website Viper

Naleving wettelijke eisen over het informeren van gebruikers over 'cookies' en toestemming te vragen voor het gebruik hiervan.
AVG
Cookie-waarschuwing op openbare website(s) van de organisatie

Naleving wettelijke eisen ten aanzien van intellectueel eigendom
Intellectueel eigendom
Algemeen beleid / Arbeidscontract

Behoeften en verwachtingen van de DIRECTIE
Vastgelegd in:
Aanpak organisatie (zie ook beheersmaatregel A18.1.1):

Naleving wettelijke en contractuele eisen met betrekking tot informatiebeveiliging
Contracten, Wetgeving, ISMS
ISMS

Alle bedrijfsgegevens (inclusief klantgegevens) worden vertrouwelijk behandeld door medewerkers en inhuurkrachten.
Arbeidscontracten, beleid, procedures, etc.
Inwerkprogramma / Awareness trainingen

Behoeften en verwachtingen van MEDEWERKERS en INHUURKRACHTEN
Vastgelegd in:
Aanpak organisatie (zie ook beheersmaatregel A7 en A18.1.1):

Aansturing en training door de organisatie met betrekking tot het uitvoeren van taken op het gebied van informatiebeveiliging.
functieprofielen
Inwerkprogramma / Afspraken over te volgen opleidingen en trainingen / notulen.

Naleving door de organisatie van wettelijke eisen ten aanzien van het melden van het lekken van hun persoonsgegevens bij de AP.
AVG (art 33 en 34)
Datalek procedure

Behoeften en verwachtingen van LEVERANCIERS
Vastgelegd in:
Aanpak organisatie (zie ook beheersmaatregel A18.1.1):

Leveranciers willen duidelijke afspraken maken over geleverde producten en diensten, liefst zonder zich al te veel te binden.
Leveranciers-contracten
Leveranciersmanagement (alle maatregelen van A.15). De organisatie heeft een overzicht van alle leveranciers die een relevant aspect vormen binnen haar scope.

Toepassingsgebied (Scope)
Bij het bepalen van het onderstaande toepassingsgebied van het ISMS zijn externe en interne onderwerpen overwogen (zie 1.1), is rekening gehouden met de eisen van belanghebbende partijen (zie 1.2), en is rekening gehouden met raakvlakken tussen de activiteiten die worden verricht door de organisatie en door andere organisaties.
De ISMS-scope van de organisatie is gedefinieerd als:

Het ontwerpen, ontwikkelen, implementeren en beheren van software voor opleiding- en examenadministratie.
Het inrichten en beheren van klantomgevingen.

Managementsysteem voor informatiebeveiliging
Dit document beschrijft het managementsysteem voor informatiebeveiliging (ISMS) dat de organisatie heeft ingericht en geïmplementeerd.
PLAN: Leiderschap
Leiderschap en betrokkenheid
De directie van de organisatie moet leiderschap en betrokkenheid tonen met betrekking tot het managementsysteem voor informatiebeveiliging:

Betrokkenheid directie betreft:
Betrokkenheid van directie blijkt uit:

te bewerkstelligen dat het informatiebeveiligingsbeleid en de informatiebeveiligingsdoelstellingen worden vastgesteld en aansluiten bij de strategische richting van de organisatie;

Tijdens directiebeoordelingen beoordeelt de directie het algemene informatiebeveiligingsbeleid en neemt hierover besluiten.

te bewerkstelligen dat de eisen van het managementsysteem voor informatiebeveiliging in de processen van de organisatie worden geïntegreerd;

Hiervoor heeft de directie een technisch beleid opgesteld. Zie document “Ontwikkelbeleid voor software v2”

te bewerkstelligen dat de voor het managementsysteem voor informatiebeveiliging benodigde middelen beschikbaar zijn;

Onder ‘middelen’ verstaat de organisatie mensen, tijd en fysieke middelen. Tijdens het maandelijkse beveiligingsoverleg overlegt de security officer met de directie over extra middelen die nodig zijn voor het inrichten, implementeren, onderhouden en continu verbeteren van het managementsysteem.

het belang van een doeltreffend informatiebeveiligings-management en van het voldoen aan de eisen van het managementsysteem voor informatiebeveiliging te communiceren;

Door middel van beleid, e-mails, presentaties en gesprekken met het management communiceert de directie dit belang.

te bewerkstelligen dat het managementsysteem voor informatiebeveiliging zijn beoogde resultaten behaalt;

Om de beoogde resultaten te behalen heeft de directie diverse specifieke rollen en verantwoordelijkheden belegd bij medewerkers van de organisatie (zie rollen en verantwoordelijkheden in dit document 5.3).

mensen aan te sturen en te ondersteunen om een bijdrage te leveren aan de doeltreffendheid van het managementsysteem voor informatiebeveiliging;

Door middel van beleid, e-mails, presentaties en gesprekken met medewerkers, stuurt de directie mensen aan en ondersteunt hij de organisatie.

continue verbetering te bevorderen

Door middel van beleid, e-mails, presentaties en gesprekken met medewerkers, bevordert de directie continue verbetering.

andere relevante managementfuncties te ondersteunen om hun leiderschap te tonen binnen hun verantwoordelijkheids-gebieden.

Door middel van beleid, e-mails, presentaties en gesprekken met medewerkers, ondersteunt de directie managers om hun leiderschap te tonen.

Beleid
De directie heeft een document opgesteld met een algemeen informatiebeveiligingsbeleid (zie document “Algemeen beleid”). Het beleid bevat strategisch beleid, strategische doelstellingen en operationeel beleid dat geldt voor alle medewerkers en relevante externe partijen. Het beleid is gepubliceerd en gecommuniceerd.
Daarnaast heeft de organisatie een apart technische beleid opgesteld (zie document “Technische beleid”). Hierin heeft de organisatie alle beleidsregels opgenomen die gelden voor technische teams.

Document: Algemeen beleid

Document: Technisch beleid

Strategisch informatiebeveiligingsbeleid
(normelement 5.2)

Beleid voor toegangsbeveiliging (A.9.1.1)

Beleid voor mobiele apparatuur (A.6.2.1)

Beleid voor cryptografische beheersmaatregelen (A.10.1.1)

Beleid voor telewerken (A.6.2.2)

Beleid voor back-up van informatie (A.12.3.1)

‘Clear desk’- en ‘clear screen’-beleid (A.11.2.9)

Beleid en procedures voor informatietransport (A.13.2.1)

Informatiebeveiligingsbeleid voor leveranciersrelaties (A.15.1.1)

Beleid voor beveiligd ontwikkelen (A.14.2.1)

Rollen en verantwoordelijkheden
De directie heeft de volgende ISMS-rollen en verantwoordelijkheden vastgesteld:

ISMS-taak
Verantwoordelijkheid (Rollen)

Leiderschap en betrokkenheid tonen (5.1)
Directie

Beoordeling ISMS-scope (4.3)
Directie, Security Officer

Opstellen Algemeen beleid (5.2)
Directie, Security Officer

Goedkeuring Algemeen beleid (5.2)
Directie

Opstellen Technisch beleid (5.2)
Security Officer

Goedkeuring Technisch beleid (5.2)
Manager IT

Beoordeling informatiebeveiligingsdoelstellingen (6.2)
Directie, Security Officer

Competentiemanagement medewerkers (7.2)
Directie

Bewustzijn medewerkers op peil houden (7.3)
Security Officer

Beheer Documenten en Registraties (7.5)
Manager IT

Opstellen en bewaken Operationele Planning (8.1)
Security Officer

Initiëren uitvoeren Risicobeoordeling (8.2)
Security Officer

Uitvoering risicobeoordeling (8.2)
Risico-eigenaren zoals vastgesteld in de spreadsheet Risicoanalyse

Opstellen en bewaken risicobehandelplan (8.3)
Security Officer

Implementeren acties risicobehandelplan (8.3)
Security Officer

Beheersmaatregelen uitvoeren (8.3)
Alle medewerkers

Periodiek beoordelen wat er gemonitord en beoordeeld moet worden (9.1)
Security Officer

Uitvoeren monitoring (9.1)
Security Officer

Uitvoeren van interne audit en vaststellen corrigerende acties (9.2)
Zie Auditplanning (onpartijdigheid auditor zoveel mogelijk bewerkstelligd)

Toezicht op uitvoering van vastgestelde corrigerende acties (10.1)
Security Officer

Organiseren Directiebeoordeling (9.3)
Security Officer

Uitvoeren Directiebeoordeling (9.3)
Directie, Security Officer

PLAN: Planning
Maatregelen om risico’s te beperken en kansen te benutten
Algemene ISMS-risico’s
Hieronder staan de actuele risico’s van de organisatie die kunnen verhinderen dat het managementsysteem voor informatiebeveiliging zijn beoogde resultaten behaalt. Als uitgangspunt is genomen de bij normelement 4.1 vastgestelde interne en externe onderwerpen en de bij normelement 4.2 vastgestelde behoeften en verwachtingen van belanghebbenden.
Risico’s die voortvloeien uit INTERNE en EXTERNE onderwerpen

Categorie
Onderwerpen (issues)
Huidige ISMS Risico
Maatregelen/Verbeterregister

Wet- en regelgeving
Voldoen we de AVG?
Privacy statement
Staat in verbeterregister (Excel Planning en Register)

Politiek, economie, markt.
Is er (op termijn) genoeg technisch personeel te vinden? Kan ISMS blijven terugvallen op noodzakelijke competentie?
Geen
N.v.t.

Markt (bestaande of potentiele klanten)
Wat eist de markt ten aanzien van informatiebeveiliging? Sluiten onze diensten qua informatiebeveiliging aan bij de vraag van de markt? Begrijpen we goed wat er ten aanzien van informatiebeveiliging speelt bij klanten?
Geen
N.v.t.

Technisch
Welke nieuwe technische ontwikkelingen zijn op dit moment van belang? Volgen we deze genoeg om informatiebeveiliging goed te kunnen inrichten?
Doorlooptijd technische ontwikkeling
Op dit moment niet van toepassing

Concurrentie
Volgen we voldoende wat de concurrentie doet op het gebied van informatiebeveiliging?
Geen
N.v.t.

Beleid en doelstellingen
Wat is ons huidige beleid ten aanzien van informatiebeveiliging? Wat moet het beleid zijn? Welke doelstellingen moeten er gekozen worden?
Geen
N.v.t.

Kwetsbaarheden
Weten we (de risico-eigenaren) waar we op dit moment kwetsbaar zijn op het gebied van informatiebeveiliging?
Geen
N.v.t.

Organisatie
Zijn er op dit moment voldoende rollen en verantwoordelijkheden gedefinieerd voor informatiebeveiliging?
Geen
N.v.t.

Middelen ISMS
Is er op dit moment genoeg mankracht, kennis en budget om een ISMS in te richten? Zijn er op termijn genoeg middelen om het ISMS te onderhouden?
Geen
N.v.t.

Middelen (maatregelen)
Zijn er genoeg financiële middelen om noodzakelijke maatregelen te treffen, bijvoorbeeld het inhuren/inzetten van personeel, of de aanschaf van hardware of software?
Geen
N.v.t.

Processen en procedures
Is het huidige volwassenheidsniveau van processen en procedures ten aanzien van informatiebeveiliging voldoende om een ISMS te kunnen inrichten en onderhouden? Naar welk niveau willen we?
Processen zijn nog in ontwikkeling
Juiste processen worden opgezet

Cultuur
Is de huidige cultuur van de organisatie geschikt voor een verhoging van het volwassenheidsniveau van informatiebeveiliging? (bereidheid tot verandering)
Geen
N.v.t.

Mogelijke kansen die voortvloeien uit een goed opgezet ISMS

Kans

ISO-certificering straalt professionaliteit uit

Met ISO-certificering voldoen aan de vraag van onze ideale klant (middelgrote opleiders, examenbureaus en bedrijfsacademies)

Marktleider worden op het gebied van planningssoftware voor onze ideale klanten

Risicobeoordelingsproces
Voor het beperken van informatiebeveiligingsrisico’s en het bepalen van passende maatregelen, maakt de organisatie gebruik van een risicomanagement proces. Dit proces bestaat uit de volgende procedures:

Het vaststellen van risicobeoordelingscriteria
Het identificeren van risico’s
Het uitvoeren van een risicoanalyse
Het behandelen van onaanvaardbare risico’s (zie 6.1.3).

Risicobeoordelingsproces
Hieronder staan diverse aspecten van de risicobeoordeling genoemd en de bijbehorende uitgangspunten: 

Aspect 
Uitgangspunt 

Algemene werkwijze 
Bij elke risicobeoordeling (ook wel “risicoanalyse” genoemd) wordt steeds de spreadsheet “Risicoanalyse” gebruikt. Hieronder wordt dit document aangeduid als ‘de spreadsheet’. 

Criteria voor risicoacceptatie (a1) 
Geïdentificeerde risico’s kunnen een risico-waarde hebben (zie tabblad ‘Risk Criteria’ in de spreadsheet). Bij elk risico moet aangegeven worden wat de acceptatiewaarde is, waarna de tool zelf berekent of een risico acceptabel is (aangegeven met “acceptabel”), of niet acceptabel is (aangegeven met “niet acceptabel”). 

Criteria voor het verrichten van risicobeoordelingen van informatie beveiliging (a2) 
Het risicomanagement proces wordt periodiek uitgevoerd (zie “Operationele Planning”). Het proces kan ook worden uitgevoerd na een grote wijziging binnen de organisatie.  
De risicobeoordeling moet worden uitgevoerd in aanwezigheid van alle risico-eigenaren (of vertegenwoordigers daarvan). 

Waarborg dat herhaalde risicobeoordelingen consistente, geldige en vergelijkbare resultaten opleveren (b) 
De spreadsheet werkt als een geautomatiseerd tool die een vaste werkwijze af dwingt. Hierdoor leveren verschillende beoordelingen consistente, geldige en vergelijkbare resultaten op. 

Identificatie van beveiligingsrisico’s en de relatie met vertrouwen in , integriteit en beschikbaarheid van informatie (c) 
In de spreadsheet is voor elk geïdentificeerd risico de relatie met de aspecten vertrouwen in (V), integriteit (I) en beschikbaarheid (B) van informatie aangegeven. 

Identificatie van Risico-eigenaren (c) 
In de spreadsheet is voor elk geïdentificeerd risico een eigenaar vastgesteld. Het gaat hier om personen die de verantwoordelijkheid en de autorisatie hebben om een risico te managen (zie ook definitie Risk Owner in ISO27000). 

Beoordeling potentiele gevolgen (impact) van risico’s (d1) 
Tijdens het beoordelen van de risico’s dient in de spreadsheet voor elk risico te worden aangegeven wat – gezien de getroffen maatregelen en de effectiviteit daarvan - de huidige impact zal zijn wanneer het risico zich manifesteert. De impact kan worden uitgedrukt in laag, midden en hoog. 
Op het tabblad “Risk Criteria” is aangegeven hoe de impact is gedefinieerd.  

Beoordeling realistische waarschijnlijkheid (kans) van risico’s (d2) 
Tijdens het beoordelen van de risico’s dient in de spreadsheet voor elk risico te worden aangegeven wat – gezien de getroffen maatregelen en de effectiviteit daarvan - de actuele impact is wanneer het risico zich zou manifesteren (zie risicobeoordelingsprocedure). De impact kan worden uitgedrukt in laag, midden en hoog. 
Op het tabblad “Risk Criteria” is aangegeven hoe de kans is gedefinieerd. 

Vaststelling van het risiconiveau (d3) 
De spreadsheet berekent automatisch het niveau van elk risico met behulp van de ingevoerde actuele waarde van potentiele gevolgen en realistische waarschijnlijkheid. Het niveau van de risico’s kan ‘laag’, ‘midden’ en ‘hoog’ zijn. Het risiconiveau is dus een nettowaarde (waarde na mitigerende maatregelen). 

Vergelijking van de risicoanalyses met de risicocriteria (e) 
Geïdentificeerde risico’s kunnen een risico-waarde hebben (zie tabblad ‘Risk Criteria’ in de spreadsheet). Bij elk risico moet aangegeven worden wat de acceptatiewaarde is, waarna de tool zelf berekent of een risico acceptabel is (aangegeven met “acceptabel”), of niet acceptabel is (aangegeven met “niet acceptabel”). 

Prioritering van risico’s voor risicobehandeling (e) 
Na het uitvoeren van de risicoanalyse wordt voor prioritering van de te beheersen informatiebeveiligingsrisico gekeken naar het verschil in het acceptatieniveau en het huidige risiconiveau. Grote verschillen worden met hogere prioriteit behandeld dan kleinere verschillen. 

De volgende risicobeoordelingsprocedure (ook wel “risicoanalyse” genoemd) wordt periodiek doorlopen om risico’s te beoordelen:

Bij elke risicobeoordeling wordt steeds de spreadsheet “Risicoanalyse” gebruikt. Hiervoor kan een eerder gebruikte versie worden gebruikt die opnieuw wordt ingevuld. Om de oude gegevens niet te verliezen kan de spreadsheet onder een nieuwe naam worden weggeschreven, of kunnen belangrijke oude waarden in de spreadsheet worden bewaard.

RISICO-CRITERIA: Binnen de spreadsheet kunnen de risicocriteria worden ingesteld, waaronder de risicoacceptatiecriteria. Uitgangspunt is om de criteria niet teveel te wijzigen om een herhaalbaar proces te verkrijgen met vergelijkbare resultaten. Hier wordt niet krampachtig aan vastgehouden, als criteria niet meer voldoen dan worden ze aangepast (de norm zegt hierover dat de criteria onderhouden moeten worden).
RISICO-IDENTIFICATIE: Tijdens elke risicobeoordeling wordt nagedacht over nieuwe risico’s die aan de bestaande lijst moeten worden toegevoegd. Ook wordt nagedacht over de vraag of er bestaande risico’s kunnen vervallen.
RISICO-ANALYSE: Op het tabblad Risk Assessment moet voor elk risico worden aangegeven wat – gezien de getroffen beheersmaatregelen en de effectiviteit daarvan - de actuele KANS is dat het risico zich kan manifesteren (zie ook informatie in de tabel hierboven). Hierbij laat de organisatie meewegen welke maatregelen er reeds genomen zijn om de kans te verlagen, en de doeltreffendheid van de maatregelen (vastgesteld met monitoren & meten en met interne audits)
RISICO-ANALYSE: Op het tabblad Risk Assessment moet voor elk risico worden aangegeven wat (gezien de getroffen beheers maatregelen en de effectiviteit daarvan) de actuele IMPACT is wanneer het risico zich zou manifesteren (zie ook informatie in de tabel hierboven). Hierbij laat de organisatie meewegen welke maatregelen er reeds genomen zijn om de kans te verlagen, en de doeltreffendheid van de maatregelen (vastgesteld met monitoren & meten en met interne audits)
RISICO-EVALUATIE: Op het tabblad Risk Assessment moet voor elk risico worden aangegeven wat het risicoacceptatiecriterium is (zie ook punt a1 in de tabel hierboven). Vervolgens zal de spreadsheet de resultaten van de risicoanalyse automatisch vergelijken met de risicocriteria.

Risicobehandelproces
Voor het behandelen van informatiebeveiligingsrisico’s hanteert de organisatie de volgende werkwijze:

Risicobehandelingsproces
Voor het behandelen van informatiebeveiligingsrisico’s hanteert de organisatie de volgende werkwijze: 

Passende opties kiezen voor het behandelen van risico’s (a) 
Geïdentificeerde risico’s kunnen een risico-waarde hebben (zie tabblad ‘Risk Criteria’ in de spreadsheet). Bij elk risico moet aangegeven worden wat de acceptatiewaarde is, waarna de tool zelf berekent of een risico acceptabel is (aangegeven met “acceptabel”), of niet acceptabel is (aangegeven met “niet acceptabel”). 
Als een risico wel acceptabel is dan KAN de organisatie ervoor kiezen om het risico alsnog verder te verlagen (bijvoorbeeld als zij daar met relatief weinig inspanning voor kan zorgen).

Beheersmaatregelen vast stellen voor het behandelen van risico’s (b) 
De risico-eigenaren stellen vast welke beheersmaatregelen er nodig zijn om ze vervolgens bij de volgende stap te vergelijken met Bijlage-A om zeker te zijn dat er geen maatregelen over het hoofd worden gezien.

Beheersmaatregelen vergelijken met Bijlage A (c) 
In de spreadsheet “Risicoanalyse”  moet op het tabblad “Risk Assessment” voor elk risico worden vastgesteld welke beheersmaatregelen worden ingezet voor de behandeling van risico’s. Beheersmaatregelen uit Bijlage-A die niet toepasbaar zijn voor het behandelen van risico’s, worden uitgesloten in de Verklaring van Toepasselijkheid.

Verklaring van toepasselijkheid (d) 
In het document ‘Verklaring van Toepasselijkheid” moet bij elk van de beheersmaatregelen A5 t/m A18 worden aangegeven of ze van toepassing zijn. Indien een beheersmaatregel wordt uitgesloten, dan moet hiervoor een rechtvaardiging worden genoteerd in de spreadsheet.

Behandelplan voor risico’s (e) 
Tijdens de risicobeoordeling (6.1.2) wordt met behulp van de spreadsheet “Risicoanalyse” voor elk risico vastgesteld of het niveau acceptabel is. Voor elk risico waarbij dit niet het geval is wordt vastgesteld welke acties er nodig zijn om het risico naar of onder het vastgestelde acceptatieniveau te brengen. Deze acties worden overgenomen in het tabblad “Risicobehandelplan” van de spreadsheet ‘ISMS Planning en Register”. Binnen deze spreadsheet wordt bepaald wie de acties moet uitvoeren en wanneer ze gereed moeten zijn. De voortgang op de acties wordt bewaakt binnen het proces van Monitoren en Meten (zie tabblad “Monitoren en Meten”). Grootste risico’s krijgen hogere prioriteit.

Goedkeuring risico-eigenaren (f) 
Bij het wijzigen van het ISMS of beheersmaatregelen wordt nauw samen gewerkt met de risico-eigenaren. Deze moeten goedkeuring geven voor de wijze waarop een risico behandeld wordt en voor de acceptatie van het restrisico. 

Informatiebeveiligingsdoelstellingen
De organisatie heeft de volgende informatiebeveiligingsdoelstellingen geformuleerd:

Doelstelling
Uitvoering (hoe, wie, wat)
Registratie

Behalen van de met klanten overeengekomen KPI’s in SLA’s.
Periodiek wordt gemeten of specifieke service-afspraken gehaald worden (bijv. beschikbaarheid, oplostijd incidenten). Het doel is dat aan de KPI’s m.b.t. SLA’s wordt voldaan.
Maandoverzicht van de operatie.
KPI’s worden in MT bepaald.

Uitrollen two-factor authenticatie
Two-factor activeren op de systemen die dit ondersteunen (i.i.g. DropBox)
Staat in verbeterregister (Excel Planning en Register)

Bitlocker beveiliging op alle laptops/pc’s
Gebruikers worden begeleid bij het activeren van bitlocker op hun laptops/pc’s.
Staat in verbeterregister (Excel Planning en Register)

Behalen Certificering
Certificering laten uitvoeren door auditor

PLAN: Ondersteuning
Middelen
Onder ‘middelen’ verstaat de organisatie mensen, tijd en fysieke middelen. De security officer overleg eens per maand met de directie over extra middelen die nodig zijn voor het inrichten, implementeren, onderhouden en continu verbeteren van het managementsysteem.
Competentie
Ten aanzien van competenties zijn de volgende maatregelen ingericht:

Noodzakelijke competenties vaststellen van medewerkers die de prestaties van de organisatie op het gebied van informatiebeveiliging beïnvloeden (a)
Van de volgende functies/rollen is een beschrijving beschikbaar waarin de benodigde competenties zijn vastgelegd: Security Officer, Technische functies.
Deze beschrijving is terug te vinden in Confluence.

Bewerkstelligen dat medewerkers competent zijn op basis van scholing, opleiding en ervaring (b)

Medewerkers worden bij werving onderzocht op benodigde scholing, opleiding en ervaring
Nieuwe medewerkers krijgen binnen het team waarin ze worden ingezet een introductie ten aanzien van de te verrichten taken.
Indien nodig (vaak op aangeven van de medewerker zelf) kan een externe training worden aangeboden.

Waar van toepassing maatregelen nemen om de benodigde competentie te verwerven en de doeltreffendheid van de genomen maatregelen evalueren (c)
De organisatie voert ieder jaar beoordelingsgesprekken met alle medewerkers. Hierbinnen bestaat de mogelijkheid voor het aanbieden van noodzakelijke trainingen.

Geschikte gedocumenteerde informatie als bewijsmateriaal van competentie bewaren (d).
De resultaten van de beoordelingsgesprekken worden vastgelegd.

Bewustzijn
De directie heeft bij de totstandkoming van het ISMS alle medewerkers van de organisatie een exemplaar van het Algemeen Informatiebeveiligingsbeleid gestuurd. Het beleid bevat informatie over de gevolgen van het niet voldoen aan de beheersdoelstellingen van het ISMS, en over sancties die in het uiterste geval opgelegd kunnen worden.
Het bewustzijn van de medewerkers ten aanzien van hun bijdrage aan het ISMS en de voordelen daarvan, wordt verder vooral bewerkstelligd door het onderwerp informatiebeveiliging voortdurend mondeling aan de orde te laten komen tijdens interne bijeenkomsten (zie ook 7.4 Communicatie), hieraan wordt de voorkeur gegeven boven schriftelijke communicatie.
Communicatie
De organisatie heeft hieronder de vereiste communicatie vastgesteld die relevant is voor het ISMS.

Wie met wie?
Waarover? Wanneer? Hoe?

Directie – Security Officer
De directie moet minimaal eens per jaar met de security officer overleggen over de stand van het ISMS in het geheel, en in het bijzonder over de uitkomst van de interne audit. Het doel is om te kijken waar de directie een bijdrage kan leveren aan verbeteringen. Van het overleg (eventueel gecombineerd met andere zaken) wordt een verslag gemaakt (zie 9.3 Directieboordeling).

Security Officer – (vertegenwoordigers van) de organisatie
De security officer moet regelmatig met (vertegenwoordigers van) de organisatie spreken over de stand van het ISMS in het geheel, en in het bijzonder over specifieke informatiebeveiligingsgebeurtenissen. Het doel is om bewustzijn te kweken en gezamenlijk te zoeken naar oplossingen en verbeteringen om aan informatiebeveiligingsdoelen te (blijven) voldoen.

Security Officer
De security officer geeft elke nieuwe medewerker een korte introductietraining ten aanzien informatiebeveiliging (beleid, procedures, werkwijze, etc.)

Gedocumenteerde informatie
Algemeen
De volgende door de norm ISO27001 vereiste informatie is in gedocumenteerde vorm aanwezig:

Norm
Informatie
Document/Registratie

4.3
Scope van het ISMS
Dit document

5.2
Informationbeveiligingsbeleid
Document: Algemeen informatiebeveiligingsbeleid

5.2
Technisch beveiligingsbeleid
Document: Technisch informatiebeveiligingsbeleid

6.1.2
Risicobeoordelingsprocedure
Dit document

6.1.3
Verklaring van toepasselijkheid
Document: Risicoanalyse (spreadsheet)

6.1.3
Risicobehandelprocedure
Dit document

6.1.3
Risicobehandelplan
Document: Risicobehandelplan

6.2
Informatiebeveiligingsdoelstellingen
Document: Algemeen beleid

7.5
Beschrijving ISMS
Dit document

7.5.2
Proces voor documentbeheer en beheer van registraties
Dit document

8.1
Vaststelling uitbestede processen
Document Leveranciersbeoordeling

8.1
Operationele Planning
Document: ‘ISMS Planning en Register‘ (spreadsheet)

8.1
Leveranciers en beoordelingen
Document: Leveranciersbeoordeling (per vastgestelde leverancier)

8.2
Uitkomsten van risicobeoordeling
Document: Risicoanalyse (spreadsheet)

8.3
Uitkomsten van risicobehandeling
Document: ‘Risicobehandelplan’ (spreadsheet)

9.1
Vaststelling monitoren en meten
Document: Monitoren en Meten (spreadsheet)

9.2-g
Bewijs van een audit-programma
Document: ISMS planning (spreadsheet)

9.2-g
Resultaten van interne audits
Document: ‘Interne Audit en Planning‘ (spreadsheet)

9.3
Resultaten van directiebeoordeling
Document: Directiebeoordeling

10.1-f/g
Registratie van beveiligingsincidenten
Security Officer mailbox en verzamelmap ‘ISO’ op dropbox.

Behalve deze documenten beschikt de organisatie over diverse andere documenten die als noodzakelijk voor het ISMS worden geacht.
Creëren en actualiseren
De bij 7.5.1 genoemde documenten van de organisatie zijn voorzien van een passende geachte identificatie in de vorm van een titel en een datum en van een passend geacht taal (Nederlands of Engels, afhankelijk van de doelgroep/-persoon). Documenten worden voorzien van een passend geachte versieaanduiding (datum of versie), en van een passend geachte labeling (zie Algemeen beleid).
Beheer van gedocumenteerde informatie
ELEKTRONISCHE DOCUMENTEN
Hieronder is door de organisatie beschreven op welke wijze elektronische informatiebestanden die relevant zijn voor het ISMS beheerd worden, zodat deze documenten beschikbaar en geschikt zijn wanneer het nodig is:

Norm
Wijze waarop de organisatie dit doet

ISO27001/7.5.3-c: Voor het beheren van gedocumenteerde informatie moet de organisatie, voor zover van toepassing, invulling geven aan distributie, toegang, het terugvinden alsmede het gebruik.
Documenten m.b.t. ISMS zijn opgeslagen op DropBox in de map MT \ ISO 27001
Daarnaast is er een aparte map ISO op DropBox waar incidentmeldingen worden bewaard.

ISO27001/7.5.3-d: Voor het beheren van gedocumenteerde informatie moet de organisatie, voor zover van toepassing, invulling geven aan opslag en behoud, waaronder behoud van leesbaarheid.
Alle documenten worden opgeslagen op DropBox.

ISO27001/7.5.3-e: Voor het beheren van gedocumenteerde informatie moet de organisatie, voor zover van toepassing, invulling geven aan beheersing van wijzigingen (bijv. versiebeheer).
Documenten worden voorzien van een oplopend nummer en bevatten altijd een versie-log.

ISO27001/7.5.3-f: Voor het beheren van gedocumenteerde informatie moet de organisatie, voor zover van toepassing, invulling geven aan bewaring en vernietiging.
Bewaren en vernietigen van informatie wordt besproken in het document Algemeen Beleid onder Naleving van wettelijke en contractuele verplichtingen (A18.1).

PAPIEREN DOCUMENTEN
Hieronder is door de organisatie beschreven op welke wijze papieren documenten die relevant zijn voor het ISMS beheerd worden, zodat deze documenten beschikbaar en geschikt zijn wanneer het nodig is:

Norm
Wijze waarop de organisatie dit doet

ISO27001/7.5.3-c: Voor het beheren van gedocumenteerde informatie moet de organisatie, voor zover van toepassing, invulling geven aan distributie, toegang, het terugvinden alsmede het gebruik.
N.v.t.: documenten worden digitaal verwerkt.

ISO27001/7.5.3-d: Voor het beheren van gedocumenteerde informatie moet de organisatie, voor zover van toepassing, invulling geven aan opslag en behoud, waaronder behoud van leesbaarheid.
Belangrijke informatie die alleen op papier bestaat wordt ingescand en opgeslagen.

ISO27001/7.5.3-f: ISO27001/7.5.3-f: Voor het beheren van gedocumenteerde informatie moet de organisatie, voor zover van toepassing, invulling geven aan bewaring en vernietiging.
Bewaren en vernietigen van informatie wordt besproken in het document Algemeen Beleid onder Naleving van wettelijke en contractuele verplichtingen (A18.1).

DO: Uitvoering
Operationele planning
Om te voldoen aan de informatiebeveiligingseisen en om de in 6.1 vastgestelde maatregelen te implementeren, heeft de organisatie een operationele planning opgesteld (zie document “ISMS Planning en Register”).
Beheersing wijzigingen
De organisatie maakt gebruik van de volgende procedures om geplande wijzigingen te beheersen en de consequenties van onbedoelde wijzigingen te beoordelen, en zo nodig maatregelen treffen om nadelige effecten tegen te gaan.

Informatiebeveiliging in projectbeheer (A.6.1.5).
Beëindiging of wijziging van verantwoordelijkheden van het dienstverband (A.7.3.1).
Toegangsrechten intrekken of aanpassen (A.9.2.6).
Wijzigingsbeheer (A.12.1.2): voor het beheersen van veranderingen in de organisatie, bedrijfsprocessen, informatieverwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging.
Procedures voor wijzigingsbeheer met betrekking tot systemen (A.14.2.2).
Technische beoordeling van toepassingen na wijzigingen bedieningsplatform (A.14.2.3).
Beperkingen op wijzigingen aan softwarepakketten (A.14.2.4).
Beheer van veranderingen in dienstverlening van leveranciers (A.15.2.2)

Beheersing uitbestede processen

De organisatie heeft een lijst met uitbestede processen opgesteld en houdt deze up-to-date.
De organisatie heeft de volgende maatregelen toegepast voor leveranciers die toegang hebben tot bedrijfsmiddelen:

Informatiebeveiligingsbeleid voor leveranciersrelaties (A.15.1.1).
Opnemen van beveiligingsaspecten in leveranciersovereenkomsten (A.15.1.2).
Toeleveringsketen van informatie- en communicatietechnologie (A.15.1.3)

De organisatie heeft de volgende maatregelen toegepast voor uitbestede processen waarbij het niveau van de informatiebeveiliging en de dienstverlening in overeenstemming met de overeenkomsten gehandhaafd moet blijven:

Monitoring en beoordeling van dienstverlening van leveranciers (A.15.2.1).
Beheer van veranderingen in dienstverlening van leveranciers (A.15.2.2).

Risicobeoordeling van informatiebeveiliging
De organisatie voert minimaal eens per jaar een nieuwe risicobeoordeling uit. Dit gebeurt op de wijze zoals in dit document beschreven bij 6.1.2. De planning van risicobeoordelingen is opgenomen in de operationele planning.
Behandeling van informatiebeveiligingsrisico’s
Na iedere risicoanalyse wordt er een behandelplan gemaakt (op de wijze zoals beschreven bij 6.1.3). Het behandelplan is opgenomen in het document “ISMS Planning en Register”. De acties in het behandelplan bevatten een deadline en een eigenaar. Bewaking van de acties vindt plaats zoals beschreven bij 9.1 (Monitoren en meten).
CHECK: Evaluatie van de prestaties
Monitoren, meten, analyseren en evalueren
De organisatie evalueert de informatiebeveiligingsprestaties en de doeltreffendheid van het managementsysteem voor informatiebeveiliging door op verschillende wijzen te monitoren, te meten, te analyseren en te evalueren.

De organisatie moet vaststellen wat gemonitord en gemeten moet worden, met inbegrip van informatiebeveiligingsprocessen en –beheersmaatregelen (a)
De organisatie heeft een document “ISMS Planning en Register” opgesteld waarin is vastgesteld wat er gemonitord en gemeten moet worden..
De gekozen methode voor monitoren en meten levert vergelijkbare en reproduceerbare resultaten op.

De organisatie moet vaststellen welke methoden worden toegepast voor het, voor zover van toepassing, monitoren, meten, analyseren en evalueren, om geldige resultaten te bewerkstelligen (b)

De organisatie moet vaststellen wanneer moet worden gemonitord en gemeten (c)
De security officer werkt het document “ISMS Planning en Register” minimaal elke maand bij.

De organisatie moet vaststellen De organisatie moet vaststellen wie moet monitoren en meten (d)

De organisatie moet vaststellen wanneer de resultaten van het monitoren en meten moeten worden geanalyseerd en geëvalueerd (e)
De security officer analyseert de resultaten en deelt deze met de directie tijdens directiebeoordelingen om tot een evaluatie te komen.

De organisatie moet vaststellen wie deze resultaten moet analyseren en evalueren (f)

De organisatie moet geschikte gedocumenteerde informatie bewaren als bewijsmateriaal van de resultaten van het monitoren en meten
In het document “ISMS Planning en Register” worden de resultaten verzameld en bewaard. De security officer maakt na elke update van het document een pdf-bestand om de tussentijdse status van monitoren en meten te bewaren.

Interne audit
Om informatie over het functioneren ISMS te verkrijgen voert de organisatie minimaal eens per jaar een interne audit uit op alle eisen van de norm en op alle eigen eisen.

Doel interne audit (a-b)
De interne audit is bedoeld om te onderzoeken of het of het ISMS en de bijbehorende beheersmaatregelen effectief zijn ingericht om geïdentificeerde risico’s in voldoende mate te beheersen.

Auditprogramma (c)
De organisatie heeft een auditplanning opgesteld die voldoet aan de eisen van de norm. De planning houdt rekening met het belang van de betrokken processen en de resultaten van voorgaande audits door die betreffende onderdelen frequenter te auditen dan andere onderdelen.

Auditcriteria en reikwijdte van de interne audit (d)
Bij het uitvoeren van een interne audit maakt de organisatie gebruik van het document “Interne Audit”, waarbij de auditor middels concrete vragen toetst of er wel of niet aan de interne eisen wordt voldaan voor een gekozen reikwijdte.

Objectiviteit en onpartijdigheid van auditoren (e)
In de spreadsheet “Planning en Register” is op het tabblad Auditplanning is per onderwerp aangegeven wie de interne audit uitvoert. Hierbij is rekening gehouden met de objectiviteit en onpartijdigheid.

Rapportage resultaten van de interne audit (f)
De resultaten van de interne audit worden (in samengevatte vorm) opgeleverd aan de directie van de organisatie (bijvoorbeeld tijdens de ‘directiebeoordeling’, zie volgende onderwerp van dit document). De directie bepaalt met wie en op welke wijze de resultaten met de rest van de organisatie zal worden gedeeld.

Bewaren resultaten van de interne audit (g)
Het document “Interne Audit” wordt als bewijs van de resultaten van de interne audit beschouwd. In het document kan verwezen worden naar onderliggende bewijzen.

Directiebeoordeling
Het minimaal eens per jaar beoordelen van de status van het ISMS is één van de middelen die de directie in staat stelt om invulling te geven aan het leiderschap en de betrokkenheid die de norm ISO27001 van de directie eist. Tijdens de directiebeoordeling moeten de onderwerpen in de template “Directiebeoordeling” in overweging worden genomen. Directiebeslissingen worden in het document vastgelegd. Acties worden overgenomen in het document “ISMS Planning en Register”.
ACT: Verbetering
Afwijkingen en corrigerende maatregelen
De organisatie heeft de activiteiten geïdentificeerd waarbij afwijkingen kunnen worden gedetecteerd:
Informatiebeveiligingsincidenten worden niet als afwijkingen beschouwd. Incidenten kunnen wel het gevolg zijn van afwijkingen. De organisatie heeft een aparte procedure voor het afhandelen van informatiebeveiligingsincidenten.

Afwijkingen detecteren
Afwijkingen ten opzichte van
Afwijkingen corrigeren

Monitoren en meten (9.1)
Afwijkingen ten opzichte van planning en doelen
Proces is opgenomen in het document “ISMS Planning en Register”.

Interne audits (9.2)
Afwijkingen ten opzichte van de norm en eigen eisen
Proces is opgenomen in het document “Interne Audit”.

Directiebeoordelingen (9.3)
Afwijkingen ten opzichte van beleid / doelstellingen
Afwijkingen worden besproken in directiebeoordeling en kunnen tot corrigerende acties leiden.

Leveranciers-beoordelingen (A.15.2.1)
Afwijkingen ten opzichte van eigen eisen / contract
Afwijkingen worden besproken in directiebeoordeling en kunnen tot corrigerende acties leiden.

PEN-testen (A.12.6.1)
Afwijkingen ten opzichte van eigen / third party eisen
Afwijkingen worden besproken met security officer en kunnen tot corrigerende acties leiden.

Systeemtesten (A.14.2.8)
Afwijkingen ten opzichte van eigen eisen
Afwijkingen worden besproken binnen IT-afdeling en kunnen tot corrigerende acties leiden.

Privacy audits
Afwijkingen ten opzichte van wettelijke eisen
Afwijkingen worden besproken met security officer en kunnen tot corrigerende acties leiden.

Meldingen intern
Afwijkingen ten opzichte van eigen eisen / wet / contract
Afwijkingen worden besproken met security officer en kunnen tot corrigerende acties leiden.

(Externe) Certificatieaudits
Afwijkingen ten opzichte van de norm
Afwijkingen worden besproken met security officer en kunnen tot corrigerende acties leiden.

Continue verbetering
Het ISMS van de organisatie is ingericht volgens het PDCA-model. Door het uitvoeren van de in dit document beschreven processen en procedures werkt de organisatie continu aan het verbeteren van de geschiktheid, adequaatheid en doeltreffendheid van het managementsysteem voor informatiebeveiliging. Hieronder een overzicht van alle processen en procedures en de wijze waarop zij bijdragen aan continue verbetering.

Onderdeel
Evaluatie / Verbetering

Context (4.1 en 4.2)
Implementatie wordt beoordeeld en actueel gehouden vanuit de directiebeoordeling. Beslissingen en acties (9.3).

Toepassingsgebied (4.3)
Implementatie wordt beoordeeld en actueel gehouden vanuit de directiebeoordeling. Beslissingen en acties (9.3).

Leiderschap en betrokkenheid (5.1)
Implementatie wordt beoordeeld en actueel gehouden vanuit de directiebeoordeling. Beslissingen en acties (9.3).

Beleid (5.2)
Implementatie wordt beoordeeld en actueel gehouden vanuit de directiebeoordeling. Beslissingen en acties (9.3).

Rollen (5.3)
Implementatie wordt beoordeeld actueel gehouden vanuit de directiebeoordeling. Beslissingen en acties (9.3).

Managementsysteemrisico’s (6.1.1)
Implementatie wordt beoordeeld en actueel gehouden vanuit de directiebeoordeling. Beslissingen en acties (9.3).

Maatregelenplan voor managementsysteemrisico’s (6.1.1)
Implementatiestatus van het plan is opgenomen in de monitoring (9.1)

Implementatie wordt beoordeeld en actueel gehouden vanuit de directiebeoordeling. Beslissingen en acties (9.3).

Risicobeoordelingsproces (6.1.2)
Naleving eisen wordt gecontroleerd met interne audits (9.2). Afwijkingen worden gecorrigeerd (10.1)

Risicobehandelproces (6.1.3)
Naleving eisen wordt gecontroleerd met interne audits (9.2). Afwijkingen worden gecorrigeerd (10.1)

Informatiebeveiligings-doelstellingen (6.2)
Doelstellingen worden beoordeeld actueel gehouden vanuit de directiebeoordeling. Beslissingen en acties (9.3).

Plan voor Informatiebeveiligings-doelstellingen (6.2)
Implementatie van het plan is opgenomen in de monitoring (9.1)

Resultaten en doeltreffendheid worden beoordeeld tijdens de directiebeoordeling (9.3)

Ondersteuning (H7)
Naleving eisen wordt gecontroleerd met interne audits (9.2). Afwijkingen worden gecorrigeerd (10.1)

Operationele planning en beheersing (8.1)
Status operationele planning is opgenomen in de monitoring (9.1)

Uitvoering risicobeoordelingsproces (8.2)
Uitvoering is opgenomen in de operationele planning (8.1). Planning wordt gemonitord (9.1).

Resultaten en doeltreffendheid worden beoordeeld tijdens de directiebeoordeling (9.3)

Uitvoering Risicobehandelproces (8.3)
Uitvoering is opgenomen in de operationele planning (8.1). Planning wordt gemonitord (9.1).

Uitvoering behandelplan (8.3)
Implementatie van het plan is opgenomen in de monitoring (9.1)

Resultaten en doeltreffendheid worden beoordeeld tijdens de directiebeoordeling (9.3)

Monitoren en meten (9.1)
Naleving eisen wordt gecontroleerd met interne audits (9.2). Afwijkingen worden gecorrigeerd (10.1)

Resultaten en doeltreffendheid worden beoordeeld tijdens de directiebeoordeling (9.3)

Interne audits (9.2)
Naleving eisen wordt gecontroleerd met interne audits (9.2). Afwijkingen worden gecorrigeerd

Resultaten en doeltreffendheid worden beoordeeld tijdens de directiebeoordeling (9.3)

Uitvoering directieboordelingen (9.3)
Uitvoering is opgenomen in de operationele planning (8.1). Planning wordt gemonitord (9.1).

Directieboordeling bevat (waar mogelijk) verbeteringen ten aanzien van het managementsysteem.

Afwijkingen corrigeren (10.1)
Naleving eisen wordt gecontroleerd met interne audits (9.2). Afwijkingen worden gecorrigeerd (10.1)

Resultaten en doeltreffendheid worden beoordeeld tijdens de directiebeoordeling (9.3)

Beheersmaatregelen
Naleving eisen wordt gecontroleerd met interne audits (9.2). Afwijkingen worden gecorrigeerd (10.1)

Alle verbeteringen worden in het document “Planning en Register” geplaatst, zodat de voortgang in de monitoring wordt opgenomen. Ook los van de PDCA kunnen er verbeteringen worden bedacht en doorgevoerd.
EINDE DOCUMENT