Door Annebel van den Aakster – Business Consultant
De ISO 27001-norm, de standaard voor informatiebeveiliging, bevat een bijlage genaamd Annex A. Deze annex zorgt vaak voor verwarring. Daarom zorgen we in deze blog graag voor duidelijkheid over de betekenis van Annex A, leggen we uit of er verplichte onderdelen zijn, en geven we praktische tips voor de toepassing binnen je organisatie.
Om informatiebeveiliging binnen organisaties naar een passend niveau te brengen is de ISO 27001-norm gecreëerd. De ISO 27001-norm is een wereldwijd erkende norm die eisen voorschrijft voor het inrichten, implementeren en continu verbeteren van een Information Security Management Systeem (ISMS).
De Annex A is een bijlage van de ISO 27001-norm en bevat een lijst van beheersmaatregelen of ‘controls’ die organisaties kunnen implementeren om de beschikbaarheid, integriteit en vertrouwelijkheid van hun informatie en informatiehoudende systemen te borgen.
Gelukkig is het niet voor elke organisatie verplicht om maatregelen voor elke control te implementeren. De ISO 27001-norm vraagt om een risicogebaseerde aanpak: een organisatie zal eerst alle risico’s binnen haar processen moeten inventariseren en daarop baseren welke ‘controls’ nodig zijn om die risico’s te beheersen.
Als je een ISO 27001-implementatie overweegt, is het belangrijk om te weten dat de risicoanalyse een kritisch onderdeel is van het implementatieproces. Het is daarnaast ook noodzakelijk om een ‘Verklaring van Toepasselijkheid’ (VVT) op te stellen. Hierin verantwoord je welke controls je uit de ISO 27001 Annex A gaat toepassen, waarom je sommige controls niet gebruikt en/of de door jou al genomen maatregelen.
De methode die wij binnen BMGRIP hanteren stelt het primaire proces van je organisatie centraal. Deze aanpak (procesgerichte benadering), kijkt vanuit het primaire proces naar de risico’s binnen deze processen. Op basis van de bevonden risico’s binnen deze processen, gaan we samen (aanvullende en van toepassing zijnde) beheersmaatregelen implementeren.
De 93 controls zijn onderverdeeld in vier categorieën:
We helpen je met plezier verder. Heb je vragen over het juist implementeren van de ISO 27001-norm? Heb je hulp nodig bij risicoanalyses of de Verklaring van Toepasselijkheid? Onze business consultants met de juiste en actuele kennis op het gebied van privacy en informatiebeveiliging staan voor je klaar! Vul vandaag nog ons contactformulier in en we nemen zo snel mogelijk contact met je op.
Computerweg 22
3542 DR Utrecht
KvK: 30277648
BTW: NL 8217.37.612.B01
Privacy statement - Disclaimer - © 2024 BMGRIP