Addendum ISO 27001

Technische en organisatorische maatregelen

Informatiebeveiligingsbeleid

Aanvullend aan het organisatiebeleid dient de directie haar informatiebeveiligingsbeleid te definiëren en actief uit te dragen. Het beleid moet regelmatig worden beoordeeld en zo nodig geactualiseerd.

Organiseren van informatiebeveiliging

De organisatie zal intern vaststellen op welke wijze zij informatiebeveiliging binnen haar organisatie gaat inrichten. Denk daarbij aan de verantwoordelijkheden en bevoegdheden, rollen, scheiding van taken etc. Daarnaast definieert een organisatie haar beleid en maatregelen ten aanzien van de inzet van mobiele apparatuur en met betrekking tot telewerken.

Veilig personeel

Het personeel is essentieel als het gaat om informatiebeveiliging. Vandaar dat een managementsysteem de waarborgen beschrijft dat medewerkers geschikt zijn om hun functie uit te voeren. Denk daarbij aan de juiste screening voorafgaand aan het dienstverband. Maar ook aan bewustzijn via opleiding en training, alsmede disciplinaire maatregelen, tijdens het dienstverband. Tenslotte beschrijft het managementsysteem de noodzakelijke acties bij de beëindiging van een dienstverband.

Beheer van bedrijfsmiddelen

Het managementsysteem beschrijft de verantwoordelijkheid voor bedrijfsmiddelen. Wie is eigenaar, welke eisen worden gesteld aan het veilig gebruik hoe wordt geborgd dat bedrijfsmiddelen in goede staat worden teruggegeven bij beëindiging van de arbeidsrelatie. Alle informatie binnen de organisatie zal moeten worden voorzien van een informatieclassificatie, met daarop aansluitend de passende maatregelen. Om onbevoegde openbaarmaking van informatie welke is opgeslagen op media te voorkomen, moeten passende maatregelen gedefinieerd zijn.

Toegangsbeveiliging

De toegang tot informatie moet ingericht zijn volgens het principe “need to know”. Dit vereist een beleid en passende maatregelen op het gebied van toegangsbeveiliging tot informatienetwerken en systemen. Daarnaast dient een organisatie formele registratie- en uitschrijfingsprocedures te hebben voor toekennen van toegangsrechten.

Cryptografie

Om de vertrouwelijkheid en integriteit van informatie te beschermen dient het managementsysteem de passende cryptografische beheersmaatregelen te bevatten.

Fysieke beveiliging ven beveiliging van de omgeving

Passende maatregelen zijn beschreven om de onbevoegde fysieke toegang tot informatie te voorkomen door bijvoorbeeld het inrichten van beveiligde gebieden. Het managementsysteem bevat maatregelen voor de plaatsing en bescherming van apparatuur opdat geen sprake is van onderbreking van de bedrijfsvoering.

Beveiliging bedrijfsvoering

Bedieningsprocedures en verantwoordelijkheden beschrijven de maatregelen voor de correcte en veilige bediening van informatie-verwerkende faciliteiten. Denk bijvoorbeeld aan het scheiden van de ontwikkel-, test-, acceptatie- en productieomgeving. Andere maatregelen betreffen de bescherming tegen malware, het inrichten van een adequate back-up procedure en de verslaglegging en monitoring van gebeurtenissen.

De organisatie moet procedures ingericht hebben voor de beheersing van operationele software en het beheer van technische kwetsbaarheden. Tenslotte dient de impact van interne audits zo beperkt mogelijk te zijn op de informatiesystemen.

Communicatiebeveiliging

Beheersmaatregelen voor het beschermen van informatie in de netwerken maken onderdeel uit van het managementsysteem. Bijvoorbeeld door het treffen van de passende beveiliging van en scheiding in netwerken. Daarnaast dienen maatregelen getroffen te worden om de informatie die wordt uitgewisseld binnen en met externe partijen te beveiligen.

Acquisitie, ontwikkeling en onderhoud van informatiesystemen

Opnemen van eisen die gesteld worden aan informatiesystemen in de gehele levenscyclus. Denk daarbij aan de eisen die gesteld moeten worden aan nieuwe systemen of uitbreiding van bestaande systemen. Beleid en procedures definiëren voor de beveiliging in ontwikkelings- en ondersteunende processen. Tenslotte moet geborgd zijn dat testgegevens beschermd en gecontroleerd worden.

Leveranciersrelaties

Zorgdragen dat bedrijfsmiddelen die toegankelijk zijn voor leveranciers adequaat beveiligd worden. Erop toezien dat afgesproken informatiebeveiligingsmaatregelen met leveranciers gehandhaafd worden. Overeenkomsten met leveranciers moeten de risico’s m.b.t. informatiebeveiliging bevatten welke verband houden met de toeleveringsketen.

Beheer van informatiebeveiliginsincidenten

Het managementsysteem beschrijft een doeltreffende aanpak van het beheer van informatiebeveiligingsincidenten en –verbeteringen. Inclusief verantwoordelijkheden, rapportages en evaluatie.

Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer

Een organisatie moet haar beleid en passende maatregelen gedefinieerd hebben op het gebied van Informatiebeveiligingscontinuïteit. Dit wordt beschreven in een bedrijfscontinuïteitsplan (BCP) en regelmatig getest en geëvalueerd.

Naleving

Beschrijving van alle maatregelen om te voldoen aan de relevante wettelijke en contractuele eisen. Procedures beschrijven op welke wijze informatiebeveiliging wordt ingericht en uitgevoerd conform de beleidsregels.  ​