2. PwC
Agenda
Achtergrond van ISO 27001
ISO 27001 implementatie in drie sporen
Projectopzet
Slide 2
4 november 2010Praktische Implementatie van de ISO 27001
5. PwC
Informatiebeveiliging
Achtergrond van ISO 27001
H ISO 27002 NEN Vertaling
5 Security Policy Beveiligingsbeleid
6 Organization of Information Security Beveiligingsorganisatie
7 Asset Management Classificatie en beheer van
bedrijfsmiddelen
8 Human resources security Beveiligingseisen ten aanzien van
personeel
9 Physical and Environmental Security Fysieke beveiliging en beveiliging
van de omgeving
10 Communications and Operations
Management
Beheer van communicatie- en
bedieningsprocessen
11 Access Control Toegangsbeveiliging
12 Information Systems Acquisition,
Development and Maintenance
Ontwikkeling en onderhoud van
systemen
13 Information Security Incident
Management
Incidentmanagement
14 Business Continuity Management Continuïteitsmanagement
15 Compliance Naleving
Slide 5
Praktische Implementatie van de ISO 27001
6. PwC
• Hoe zorgt een organisatie dat zijn informatie “adequaat beveiligd” is?
• ISO 27002 en diens definitie van informatiebeveiliging volstaan niet meer:
“Preservation of confidentiality, integrity and availability of information”
• Informatiebeveiliging gaat niet (meer) over statische risico‟s en
maatregelen maar over dynamische.
• Dit is wat security management beoogt.
Informatiebeveiliging
Achtergrond van ISO 27001
Slide 6
Praktische Implementatie van de ISO 27001
7. PwC
ISO 27001 versus ISO 27002
ISO 27002
• Ontwikkeld in 1989
• Lange lijst met beveiligingsmaatregelen (133)
• Kritiek in 1995:
• Onvoldoende implementatie richtlijnen
• Welke maatregelen wel en welke niet?
• Risico management geen onderdeel van ISO 27002
• Tegen ISO 27002 geen certificering mogelijk
ISO 27001
• 1998: ISO 27001, norm voor de implementatie van ISO 27002 op basis
van een risico management systeem.
• ISO 27001 is de leidende norm op informatiebeveiliging en
geadopteerd door de Rijksoverheid en de zorg
• Tegen ISO 27001 certificering mogelijk
Achtergrond van ISO 27001
Slide 7
Praktische Implementatie van de ISO 27001
8. PwC
ISO 27001
Achtergrond van ISO 27001 Plan
Do
Check
Act ISMS
Bron: ISO 27001
Slide 8
Praktische Implementatie van de ISO 27001
9. PwC
ISO 27001
Achtergrond van ISO 27001
• Gebaseerd op een management systeem (ISMS) net zoals ISO 9001
• Bestaat uit ongeveer 100 eisen
• ISO 27001 eis 4.2.1g) verwijst normatief naar de ISO 27002
maatregelen die minimaal zouden moeten worden overwogen
• Enige overlap in ISO 27001 met ISO 27002:
• Eisen aan informatiebeveiligingsbeleid (H. 5)
• Beheer van bedrijfsmiddelen (H. 7)
• Beveiligingsbewustzijn (H. 8)
• Management van beveiligingsincidenten (H. 13)
Slide 9
Praktische Implementatie van de ISO 27001
10. PwC
ISO 27001
Achtergrond van ISO 27001
Plan
Do
Check
Act
Security
officer
Management
Auditors
Lijnmanagement
Werkvloer
Slide 10
Praktische Implementatie van de ISO 27001
12. PwC
ISO 27001 implementatie in drie sporen
ISO 27001 implementatie in drie sporen
• Spoor 1: ISMS handboek en PDCA processen implementeren
• Spoor 2: baseline bepalen en implementeren
• Spoor 3: risico analyses uitvoeren en resultaten borgen
Slide 12
Praktische Implementatie van de ISO 27001
13. PwC
Spoor 1: ISMS handboek en PDCA processen
implementeren
ISO 27001 implementatie in drie sporen
• Fundamentele keuze is de ISMS scope (cf. ISO 27001, 4.2.1a):
Toepassingsgebied en grenzen van het ISMS vaststellen met
betrekking tot kenmerken van de bedrijfsvoering, de organisatie,
de locatie, bedrijfsmiddelen en technologie, waaronder gegevens
over en rechtvaardiging van eventuele uitsluitingen van het
toepassingsgebied.
• Een beperkte scope kiezen lijkt aanlokkelijk, maar het is niet
noodzakelijk.
Slide 13
Praktische Implementatie van de ISO 27001
14. PwC
Spoor 1: ISMS handboek en PDCA processen
implementeren
ISO 27001 implementatie in drie sporen
Onderwerpen in het ISMS handboek:
• ISMS scope
• Informatiebeveiligingsbeleid
• Beveiligingsorganisatie (verantwoordelijkheden gerelateerd aan
PDCA)
• Vastlegging van de risicobeoordeling en –behandeling methode
• Interne en externe controles
• Management review (bijsturing door management)
• Documentatie systeem
Slide 14
Praktische Implementatie van de ISO 27001
15. PwC
Spoor 1: ISMS handboek en PDCA processen
implementeren
ISO 27001 implementatie in drie sporen
Management review (bijsturing door management)
• Review „sluit‟ de PDCA cyclus en is misschien wel het allerbelangrijkste
van ISO 27001
• Input voor de review:
• Resultaten van onafhankelijke beoordelingen
• Terugkoppeling van belanghebbende partijen (klachten)
• Resultaten van voorgaande reviews
• Procesprestaties en naleving van het ISMS handboek
• Gerapporteerde beveiligingsincidenten en –trends
Slide 15
Praktische Implementatie van de ISO 27001
16. PwC
Spoor 2: baseline bepalen en implementeren
ISO 27001 implementatie in drie sporen
• Vergelijk de bestaande maatregelen met ISO 27002 en branche
specifieke standaarden
• Leg alle bestaande en „common sense‟ maatregelen vast in een
baseline, zinvol voor zowel management als operationele
medewerkers („tactische documentatie‟)
Slide 16
Praktische Implementatie van de ISO 27001
17. PwC
Spoor 2: baseline bepalen en implementeren
ISO 27001 implementatie in drie sporen
• Zorg voor onderhoudbare referenties tussen de tactische
documentatie en de operationele documentatie
• Beleg de verantwoordelijkheid voor onderhoud en implementatie
van de baseline documenten in de lijn
• Dit vergemakkelijkt de (interne/externe) review ook enorm
Slide 17
Praktische Implementatie van de ISO 27001
18. PwC
Spoor 2: baseline bepalen en implementeren
ISO 27001 implementatie in drie sporen
PZ maatregelen
PZ procedures
ICT maatregelen Toegangsbeveiliging Bewustzijn
ICT handboek
Instructie
medewerkers
Beveiligings-
jaarplan
Instructie
lijnmanagement
VOG voor alle
medewerkers
Kritische
security patches
< 1 dag
Initiële
wachtwoorden
worden niet
herbruikt
Minimaal 1 keer per
jaar een bewustzijn
event
tactisch
operationeel
Slide 18
Praktische Implementatie van de ISO 27001
19. PwC
Spoor 3: risico analyses uitvoeren en resultaten
borgen
ISO 27001 implementatie in drie sporen
• Getrapte risico analyse methode:
• High-level Business Impact Analysis (BIA) om kritische
bedrijfsprocessen te bepalen
• Gedetailleerde Risicobeoordeling en Behandeling (RBB) methode
voor kritische bedrijfsprocessen
• Vaak is het makkelijk om informatiesystemen als basis voor
bedrijfsprocessen te nemen
Slide 19
Praktische Implementatie van de ISO 27001
20. PwC
Spoor 3: risico analyses uitvoeren en resultaten
borgen
ISO 27001 implementatie in drie sporen
Baseline beveiliging
SAP
……
…..
Callcenter
…..
….
HRKritische systemen
Slide 20
Praktische Implementatie van de ISO 27001
21. PwC
Spoor 3: risico analyses uitvoeren en resultaten
borgen
ISO 27001 implementatie in drie sporen
• Voorbeeld van Business Impact Analysis op informatiesysteem
Slide 21
Praktische Implementatie van de ISO 27001
22. PwC
Spoor 3: risico analyses uitvoeren en resultaten
borgen
ISO 27001 implementatie in drie sporen
• Simpel Excel tool gebaseerd op ISO 27005
Slide 22
Praktische Implementatie van de ISO 27001
24. PwC
Project – fasering / resultaatpaden
PROJECT
PvA +
Kosten /
baten
300
85
Organisatie
ISMS
Basis
maatregelen
Maatregelen
perobject
Aanstellen
Security
Officer
Aanstellen
Coördinator
Per sector
Ontwerp
Informatie-
beveiliging
Inrichten
Informatie-
beveiliging
BEHEER
analyse
ISO 27002,
specifiek
Verificatie
relevantie
Ontwerp en
Bouw
Maatregelen
Invoeren
Maatregelen
(oa training)
Inventaris
Objecten
(loc/sys/app)
eerste filter &
vaststellen
Eigenaar
Impact
analyse
(BIA)
Risico
Analyse
(RBB)
600 55
besluit
133
FASE I
FASE II
FASE III
Projectopzet
Slide 24
Praktische Implementatie van de ISO 27001
25. PwC
Project – fasering / resultaatpaden
PROJECT
PvA +
Kosten /
baten
300
85
Organisatie
ISMS
Basis
maatregelen
Maatregelen
perobject
Aanstellen
Security
Officer
Aanstellen
Coördinator
Per sector
Ontwerp
Informatie-
beveiliging
Inrichten
Informatie-
beveiliging
BEHEER
analyse
ISO 27002,
specifiek
Verificatie
relevantie
Ontwerp en
Bouw
Maatregelen
Invoeren
Maatregelen
(oa training)
Inventaris
Objecten
(loc/sys/app)
eerste filter &
vaststellen
Eigenaar
Impact
analyse
(BIA)
Risico
Analyse
(RBB)
600 55
besluit
133
FASE I
FASE II
FASE III
Projectopzet
Certificering punt
< 3 maanden > < 6-9 maanden >
Slide 25
Praktische Implementatie van de ISO 27001
26. PwC
Aandachtspunten bij ISO 27001 implementatie
Projectopzet
• Maak er geen papieren tijger van
• Zorg voor betrokkenheid van het management
• Bestaande informatiebeveiliging is de basis (niet opnieuw beginnen)
• Zorg dat je operationele medewerkers meekrijgt
• Zorg voor koppeling tussen beleid en de werkvloer
• Neem ook technische beveiliging mee (Cisco, Windows etc.)
• Voer zinvolle risico analyses uit:
• realistische ambities
• concentratie op de echt kritische zaken
• Certificering is een mooi projectdoel om na te streven
• Informatiebeveiliging is geen project….
Slide 26
Praktische Implementatie van de ISO 27001