ISO 27001 checklist

De checklist ISO 27001 is bedoeld om inzicht te geven en een inschatting te maken in hoeverre een organisatie klaar is voor het ISO 27001 informatiebeveiligingsmanagementsysteem (het Information Security Management System (ISMS). Door middel van het beantwoorden van de vragen uit de een ISO 27001 checklist krijgt de organisatie inzicht in hoeverre er voldaan wordt aan de eisen van ISO 27001:2017.

ISO 27001 certificering maakt aantoonbaar dat de organisatie informatiebeveiligingsrisico’s continu beheerst en dat bedrijfskritische informatie op een vertrouwelijke, integere manier wordt geborgd.


Checklist ISO 27001 en inhoud

In de uitgebreide checklist ISO 27001 staan de eisen van de ISO 27001 norm omschreven die van belang zijn voor het inrichten van een certificeerbaar ISMS. Aan de hand van deze checklist ISO 27001 kan worden vastgesteld in welke mate de organisatie de juiste maatregelen al heeft getroffen om aan de eisen van de norm te voldoen.

Een indruk van de onderwerpen en voorbeeldvragen die in de checklist ISO 27001 aan bod komen:

  • De organisatie en haar context
    Zijn de interne en externe zaken die van belang zijn voor het ISMS en de invloed ervan op de verwachte uitkomst, vastgesteld?
  • Behoeften en verwachtingen van de betrokken partijen  
    Heeft de organisatie bepaald welke belanghebbenden of relevante partijen er zijn in relatie tot het ISMS?
  • Reikwijdte van het ISMS
    Wordt het toepassingsgebied (scope) van het ISMS gedocumenteerd?
  • Leiderschap en management commitment
    Wordt het belang van het ISMS door het leiderschap van de organisatie getoond door communicatie over de belangrijkheid van een effectieve informatiebeveiliging?
  • Informatiebeveiligingsbeleid
    Is er een informatiebeveiligingsbeleid geïmplementeerd dat een richtlijn geeft voor het bepalen van de doelstellingen, dat passend is t.a.v. de eisen voor informatiebeveiliging, en het mogelijk maakt om continu te verbeteren?
  • Rollen en verantwoordelijkheden
    Zijn de rollen binnen het ISMS duidelijk gedefinieerd en gecommuniceerd?
  • Risico’s en kansen rondom implementatie van het ISMS
    Zijn activiteiten om risico’s en kansen aan te pakken, ingepland en geïntegreerd in de ISMS-processen en worden deze beoordeeld op effectiviteit?
  • Risicoanalyse informatiebeveiliging
    Is gedocumenteerde informatie over het proces van de risicoanalyse informatiebeveiliging beschikbaar?
  • Beheersing informatiebeveiligingsrisico
    Zijn er maatregelen vastgesteld waarmee de risicobeheersingsmaatregel die gekozen wordt geïmplementeerd kan worden?
  • Informatiebeveiligingsdoelstellingen en implementatieproces
    Heeft de organisatie bij het vaststellen van de doelstellingen bepaald wat er moet gebeuren, wanneer en door wie?
  • ISMS-middelen en -bevoegdheden
    Heeft het ISMS voldoende mensen en middelen tot zijn beschikking?
  • Bewustwording en communicatie
    Is iedereen binnen de organisatie zich bewust van het belang van het informatiebeveiligingsbeleid, hun bijdrage aan de effectiviteit van het ISMS en de gevolgen van het niet voldoen aan de informatiebeveiligingseisen?
  • Documentatie
    Heeft de organisatie bepaald welke documenten er nodig zijn voor het effectief werken van het ISMS?
  • Operationele planning en control
    Wordt gedocumenteerd bewijs bewaard om aan te tonen dat processen zijn uitgevoerd zoals gepland?
  • Monitoring, meten en evalueren
    Worden de uitkomsten van de informatiebeveiliging en de effectiviteit van het ISMS geëvalueerd?
  • Interne audit
    Zijn de audits uitgevoerd door middel van een degelijke methode en in overeenstemming met een auditprogramma, op basis van de resultaten van risicobeoordelingen en eerdere controles?
  • Beoordeling door de directie
    Voert het management een periodieke herziening van het ISMS uit?
  • Corrigerende actie en continue verbetering
    Zijn activiteiten om te beheersen, te controleren en te corrigeren en omgaan met de gevolgen van afwijkingen, op de norm geïdentificeerd?
  • Beveiligingsmaatregelen op basis van de resultaten van de risicoanalyse informatiebeveiliging (voor zover van toepassing)
    Worden benodigde contacten met overheden en belangengroepen onderhouden?
Meer weten over ISO 27001 en de mogelijkheden voor ondersteuning vanuit Kader? Neem geheel vrijblijvend contact met ons op!
Contact

Gerelateerde diensten


Begrippen over Informatiebeveiliging

Meer begrippen
Bel mij
Vul hier uw gegevens in en wij nemen telefonisch contact met u op.