Intern auditeren van ISMS volgens ISO 27007

Informatieveiligheid heeft in onze wereldwijde economie zeer snel aan belang gewonnen. Om dit gestructureerd aan te pakken, hebben al heel wat bedrijven en overheden een informatieveiligheidbeheersysteem opgezet conform de eisen van ISO 27001.
ISO 27001

Net zoals in de ISO 9001, ISO 14001, ISO 45001... omvat ISO 27001 de eis om het ISMS intern te auditeren. Hierbij worden de richtlijnen van ISO 19011 gevolgd, aangevuld met extra richtlijnen die specifiek ingaan op het uitvoeren van ISMS-audits en de competentie van ISMS-auditors. Die extra richtlijnen zijn opgenomen in een aparte standaard, nl. ISO 27007.

Het auditprogramma en de auditobjectieven

Alles begint met het opstellen van een auditprogramma waarbij de identificatie van de objectieven van dit auditprogramma vereist is. Die objectieven zijn bijvoorbeeld:

  • de verificatie van de conformiteit met de relevante wettelijke en contractuele eisen en andere eisen met hun veiligheidsimplicaties;
  • de evaluatie van de doeltreffendheid van acties genomen om de risico's en kansen m.b.t. informatiebeveiliging aan te pakken.

In dit laatste voorbeeld komt ook de kern van het informatieveiligheidbeheersysteem aan de oppervlakte: beheer van risico’s en kansen. Het spreekt voor zich dat het auditprogramma hier ook op focust.

De auditcriteria

Een audit kan maar gebeuren wanneer de auditcriteria zijn vastgesteld. Die auditcriteria zijn net zoals in andere managementsystemen o.m. het beleid, de doelstellingen, de documentatie, wettelijke vereisten, contractuele – en andere vereisten m.b.t. informatieveiligheid. Bijzondere aandacht gaat uit naar de risicocriteria, het risicobeoordelingsproces en het risicobehandelingsproces. Uiteraard mag hier de Statement of Applicability niet worden vergeten: de identificatie en toevoeging van eventuele sectorspecifieke of andere noodzakelijke controles, de motivering voor het uitsluiten van controles van ISO 27001-bijlage A... Ook de eisen van de klant m.b.t. informatieveiligheid maken deel uit van de criteria, net zoals de informatiebeveiliging die wordt toegepast door leveranciers en externe partijen aan wie een deel van de processen werd uitbesteed.

Het uitvoeren van audits

De ISO 27007-standaard doorloopt vervolgens alle stappen van de audit en voegt specifieke aandachtspunten betreffende informatieveiligheid toe. Hierbij worden dezelfde stappen gehanteerd als zijn voorgesteld in ISO 19011, maar is er bijzondere aandacht voor veiligheid en haalbaarheid van de audit. De ISO 27007 omvat verder een informatieve Bijlage A die heel wat handvaten aanreikt voor het uitvoeren van een ISMS-audit.

De auditorcompetentie

Tenslotte gaat de standaard dieper in op de competentie van ISMS-auditors. ISMS-auditors moeten beschikken over kennis en vaardigheden op het gebied van informatietechnologie en -beveiliging, die bijvoorbeeld door relevante certificeringen (bv. onder accreditatie volgens ISO 17024) kunnen worden aangetoond. Zij moeten ook in staat zijn om de zakelijke vereisten op het gebied van informatieveiligheid te begrijpen.

februari 2020

Dirk De Paepe is Master in Militaire- en Luchtvaartwetenschappen met een jarenlange internationale ervaring in de operationele processen van luchtvaart-, ruimtevaart- en defensiebedrijven. Hij is in zijn loopbaan ook actief betrokken bij het implementeren, onderhouden en auditeren van managementsystemen in diverse sectoren. Hierbij hanteert hij steeds een pragmatische aanpak met aandacht voor de grootst mogelijke toegevoegde waarde voor het betrokken bedrijf.