ISO 27001 & Annex A

Door Annebel van den Aakster – Business Consultant

De ISO 27001-norm, de standaard voor informatiebeveiliging, bevat een bijlage genaamd Annex A. Deze annex zorgt vaak voor verwarring. Daarom zorgen we in deze blog graag voor duidelijkheid over de betekenis van Annex A, leggen we uit of er verplichte onderdelen zijn, en geven we praktische tips voor de toepassing binnen je organisatie.

Wat is eigenlijk de ISO 27001 Annex A?

Om informatiebeveiliging binnen organisaties naar een passend niveau te brengen is de ISO 27001-norm gecreëerd. De ISO 27001-norm is een wereldwijd erkende norm die eisen voorschrijft voor het inrichten, implementeren en continu verbeteren van een Information Security Management Systeem (ISMS). 

De Annex A is een bijlage van de ISO 27001-norm en bevat een lijst van beheersmaatregelen of ‘controls’ die organisaties kunnen implementeren om de beschikbaarheid, integriteit en vertrouwelijkheid van hun informatie en informatiehoudende systemen te borgen.

Zijn alle 93 controls verplicht van de ISO 27001 Annex A?

Gelukkig is het niet voor elke organisatie verplicht om maatregelen voor elke control te implementeren. De ISO 27001-norm vraagt om een risicogebaseerde aanpak: een organisatie zal eerst alle risico’s binnen haar processen moeten inventariseren en daarop baseren welke ‘controls’ nodig zijn om die risico’s te beheersen. 

Waar moet ik op letten?

Als je een ISO 27001-implementatie overweegt, is het belangrijk om te weten dat de risicoanalyse een kritisch onderdeel is van het implementatieproces. Het is daarnaast ook noodzakelijk om een ‘Verklaring van Toepasselijkheid’ (VVT) op te stellen. Hierin verantwoord je welke controls je uit de ISO 27001 Annex A gaat toepassen, waarom je sommige controls niet gebruikt en/of de door jou al genomen maatregelen.

Onze aanpak

De methode die wij binnen BMGRIP hanteren stelt het primaire proces van je organisatie centraal. Deze aanpak (procesgerichte benadering), kijkt vanuit het primaire proces naar de risico’s binnen deze processen. Op basis van de bevonden risico’s binnen deze processen, gaan we samen (aanvullende en van toepassing zijnde) beheersmaatregelen implementeren.

De 93 controls zijn onderverdeeld in vier categorieën:

  • Organisatorische beheersmaatregelen
  • Mensgerichte beheersmaatregelen
  • Fysieke beheersmaatregelen
  • Technologische beheersmaatregelen.

Neem contact met ons op!

We helpen je met plezier verder. Heb je vragen over het juist implementeren van de ISO 27001-norm? Heb je hulp nodig bij risicoanalyses of de Verklaring van Toepasselijkheid? Onze business consultants met de juiste en actuele kennis op het gebied van privacy en informatiebeveiliging staan voor je klaar! Vul vandaag nog ons contactformulier in en we nemen zo snel mogelijk contact met je op.

Realiteitszin bij het werken met de NEN 7510 in de zorg: balanceren tussen veiligheid en praktisch gemak

In de complexe wereld van informatiebeveiliging in de gezondheidszorg staat één uitdaging centraal: het vinden van de juiste balans tussen veiligheid ...

Klaar om je security, privacy en continuity
binnen jouw organisatie te verbeteren?

Privacy statement - Disclaimer - © 2024 BMGRIP