ISO 27002 compliance

“Informatiebeveiliging op een volwassen niveau”

Situatieschets

De klant wil compliant zijn aan een variant van de norm ISO-27002 om de informatiebeveiliging op een volwassen niveau te brengen. Er was ooit een begin gemaakt maar dat is stil komen te liggen. De vraag van de klant was daarom de toetsing op te pakken en af te ronden. Bij aanvang van de werkzaamheden bleek de risico analyse al wel uitgevoerd. Door afwezigheid van medewerkers en daarmee grote werkdruk bij de overige mensen zat de grootste uitdaging in het bespreken van de risico’s met de in de risico analyse opgenomen verantwoordelijken.

Methode

De risico analyse was al uitgevoerd, alle maatregelen waren voorzien van een of meer bedrijfsprocessen die als verantwoordelijke iets met het risico zouden moeten doen. Aan de hand van interviews met deze verantwoordelijken is voor de maatregelen opzet en bestaan vastgesteld en daar waar het ontbrak aan bewijslast is een uitzondering geschreven welke aan het management is voorgelegd ter acceptatie van het aanwezige risico. Na het afronden van de toetsing zijn alle uitzonderingen opgepakt en opgelost. Opgeleverde bewijslasten, documenten en verklaringen zijn door de interne auditor gereviewed en geaccordeerd.

Resultaat

Ondanks de slechte bereikbaarheid van de collega’s is met de uitgevoerde toetsing en risico acceptatie voor de uitzonderingen de klant compliant aan de ISO norm 27002. Voor enkele uitzonderingen bleek veel tijd en resources nodig zodat hier projecten voor zijn opgestart. Vanaf moment van opleveren maakt de toetsing deel uit van de jaarlijkse externe audit.