1. Project ISO 27K revisie norm
ISO 27001:2005 vs ISO 27001:2013
www.meta-audit.nl
Presentatie
• Wat is nu nodig
• Roadmap 1 oktober 2014
2. ISO 27001:2013:
Wijzigingen op hoofdpunten
• Opzet volgens Annex SL – raamwerk van een algemeen management systeem
• Andere eisen ‘Management Commitment’ – hoofdstuk Leadership
• Risk assessment eisen zijn algemener
• Andere benadering Plan-Do-Check-Act
• SoA – VvT: beheersmaatregelen zijn meer gekoppeld aan risicobeoordeling, nieuwe
verklaring nodig !
• Preventieve maatregelen worden ‘actions to address, risks & opportunities’
www.meta-audit.nl --- vragen ? 0654 917 017
3. Annex SL –
raamwerk van een algemeen management systeem
• Een nieuwe structuur voor alle management systeem normen
• Gestandaardiseerde terminologie en eisen
www.meta-audit.nl --- vragen ? 0654 917 017
4. 4. Context of the organization
www.meta-audit.nl
Norm per hoofdstuk
• Externe en interne issues vaststellen
• Eisen van belanghebbende partijen
Beleid, doelen, risico en relevante scope ISMS
Toegevoegde waarde ISMS
5. Leadership
• Eisen voor de rol van top management
• Top management leadership: meer zichtbaar, ‘roles’ toewijzen en communiceren
5. 6. Planning
Norm per hoofdstuk
• Nieuw onderdeel voor vaststellen en realiseren IB doelen
• Rekening houden met risico’s en mogelijkheden van organisatie
Beheersmaatregelen zijn ook zelf te definiëren
Risico-eigenaren definiëren, relatie risico <-> BIV
Nieuwe SoA – VvT nodig
7. Support
• Wat is nodig voor een effectieve ISMS
• ‘Documented information’: meer de inhoud dan de naam
Interne en externe communicatie
www.meta-audit.nl --- vragen ? 0654 917 017
6. 8. Operation
Norm per hoofdstuk
• Eisen voor planning en beheersing van ‘operation’
• Periodieke: risico-analyse en –behandeling
Managen van gevonden risico’s en maatregelen
9. Performance evaluation
• Interne audits en management review basis voor performance ISMS en verbetering
• Meer nadruk op meten effectiviteit
• Management beoordeling van veranderingen externe en interne issues
ISMS controls: wat, door wie, wanneer en wie analyseert
www.meta-audit.nl --- vragen ? 0654 917 017
7. 10. Improvement
Norm per hoofdstuk
• Actie op elke geïdentificeerde afwijking
• Correctieve acties en geen herhaling
• Continu verbeteren is een basis eis als in andere management systemen
www.meta-audit.nl --- vragen ? 0654 917 017
8. Annex A – Reference control objectives and controls
• Deels nieuwe indeling
• Nieuwe beheersmaatregelen
• Mapping Annex A – ISO 27001:2005 vs ISO 27001:2013, te gebruiken
voor nieuwe SoA – VvT !
Klik hier voor
handige spreadsheet
in handboek
www.meta-audit.nl --- vragen ? 0654 917 017
9. Vereiste ‘gedocumenteerde informatie’, o.a.:
• Scope van het ISMS
• Informatiebeveiligingsbeleid
• Proces van risico-analyse
• VvT – SoA
• Bewijs van competentie
• Operationele planning en control
• Resultaten risico-behandeling
• ...
• ..
www.meta-audit.nl --- vragen ? 0654 917 017
10. Upgrade onderwerpen, samengevat:
• VvT – SoA
• ‘geïnteresseerde partijen en hun eisen
• Integratie: ISMS-eisen met bedrijfsprocessen
• ‘issues’, clause 4 – context van de organisatie
• Acties om met risico’s en kansen om te gaan (was: preventieve acties)
• Monitoring, meten, analyse en evaluatie: gedetailleerdere eisen
www.meta-audit.nl --- vragen ? 0654 917 017
11. Het 27K revisie project - roadmap
Project revisie 27K
• Wie doet wat: bedrijf zelf, Meta-audit ‘upgrade service’
• Project scope, aandachtspunten upgrade
• Project fasering
‘Upgrade audit ISO 27001:2013
richten op 1 oktober 2014,
mogelijk eerder
www.meta-audit.nl --- vragen ? 0654 917 017