U bent bezig met ISO 27001, de internationale norm voor informatiebeveiliging. U kent de theorie: u moet uw risico's in kaart brengen, beleid opstellen en continu verbeteren. Dat is de 'wat'.

Maar dan komt de 'hoe': Hoe zorg ik dat mijn bedrijf echt veilig is? Daarvoor heeft u een handleiding nodig.

Die handleiding is de Annex A of Bijlage A. Vergeet de moeilijke termen. In Jip-en-Janneke-taal is de Annex A niets meer dan de ultieme, uitgebreide boodschappenlijst van de informatiebeveiligingswereld. Dit artikel legt uit wat u écht met die lijst moet doen en waarom het u helpt geld te besparen.

De boodschappenlijst: van deurslot tot wachtwoord

De ISO 27001-norm zelf bestaat uit de eerste 10 hoofdstukken: hier staat in dát u een systeem moet hebben om uw informatie te beveiligen (het ISMS). Dit wordt ook de high level structure genoemd van de ISO27001. Maar dat is voor een andere blog.

De Annex A is de bijlage (sinds de update van 2022) en bevat een lijst van 93 beheersmaatregelen (of controls). Zie dit als een inspiratielijst van beveiligingsoplossingen.

U hoeft niet alle 93 maatregelen op die lijst af te vinken. U gebruikt uw risicoanalyse om te bepalen welke boodschappen u nodig heeft. De maatregelen die u kiest, moeten de risico's in uw bedrijf verkleinen.

De vier onderdelen

Om de 93 maatregelen overzichtelijk te houden, zijn ze verdeeld over vier logische categorieën. Dit maakt het makkelijker om te zien waar in uw organisatie nog iets moet gebeuren:

1. Mensgerichte Maatregelen (People Controls)

Dit gaat over uw personeel en afspraken.

• Voorbeeld: Trainen van medewerkers (hoe herken je phishing?). Screenen van nieuwe medewerkers. Afspraken maken over wat er gebeurt als een medewerker ontslag neemt.

2. Fysieke Maatregelen (Physical Controls)

Dit gaat over het beveiligen van uw gebouw, kantoor en apparatuur.

• Voorbeeld: Camera’s bij de serverruimte. Airco systemen in warme serverruimten. Toegangsbadges. Beveiliging van apparatuur buiten kantoor (laptops in de auto).

3. Organisatorische Maatregelen (Organizational Controls)

Dit gaat over beleid, procedures en structuur. Dit is de basis.

• Voorbeeld: Het opstellen van een officieel Beleid Informatiebeveiliging. Het inrichten van een incidentenprocedure (wat te doen bij een hack?). Afspraken maken met leveranciers.

4. Technologische Maatregelen (Technological Controls)

Dit gaat over software, netwerken en systemen.

• Voorbeeld: Encryptie (versleuteling) van data. Gebruik van Multi-Factor Authenticatie (MFA). Back-up procedure. Beheer van netwerktoegang. Veilige software ontwikkeling. Lifecycle management.

De flexibiliteit van de Annex A

Het lastige van de Annex A 'boodschappenlijst' is dat deze alleen een onderwerp geeft, maar geen details over de uitvoering. Het is flexibel, maar vereist wel inzicht.

De Koolhydraten Analogie: Stel, op uw boodschappenlijst staat "Koolhydraten". U moet zelf nog beslissen of dat in uw specifieke geval aardappelen, rijst, pasta, of misschien zelfs brood zal zijn. De beste keuze is afhankelijk van uw avondmaal, uw voorkeuren, en uw budget.

Hetzelfde geldt voor de Annex A. Er staat bijvoorbeeld de term: 'Capacity Management' (Capaciteitsbeheer). Dit betekent dat u moet nadenken over de capaciteit van uw systemen. Maar:

• In een klein MKB betekent dit misschien alleen dat u één keer per jaar controleert of de server nog voldoende schijfruimte heeft. Of misschien heeft u geen eens servers en moinitort u enkel wat CPU en disk ruimte van laptops. En interesseert u het resultaat daarvan eigenlijk ook niet zo.

• In een groot SaaS-bedrijf betekent dit dat er een geautomatiseerd monitoringsysteem moet zijn dat 24/7 de CPU-belasting en bandbreedte checkt om te voorkomen dat de website vastloopt.

De Annex A vertelt u wat u moet beveiligen, niet hoe. Het 'hoe' is uw strategische keuze, gebaseerd op de risico's en de omvang van uw organisatie.

Wat moet u doen met die Annex A?

De Annex A heeft maar één verplichting: u moet een Verklaring van Toepasselijkheid (VvT) opstellen.

De VvT: Uw Boodschappenbriefje aan de Auditor

De VvT is een lijst waarin u aan de externe auditor uitlegt:

1. Welke van de 93 maatregelen u heeft gekozen om uw risico's te behandelen (bijvoorbeeld: we gebruiken MFA omdat wachtwoorden een risico zijn).

2. Welke u niet heeft gekozen (en waarom). Niet gekozen betekent: u heeft het risico niet, of u lost het op een andere manier op. (Bijvoorbeeld: "We hebben geen fysieke controle voor archieven nodig, want we hebben alles digitaal op een beveiligde server.").

Onze filosofie

Veel consultants dwingen u om alles maar op te schrijven. Dat is inefficiënt. Wij gebruiken de Annex A juist om te tonen dat u slim met uw middelen omgaat. U kiest alleen de maatregelen die echt nodig zijn en die een reëel risico afdekken.

Dit doen wij door een slimme en efficiënte aanpak, met handige systematieken. Zo maken wij het gesprek met een auditor makkelijker: u kan direct begrijpbaar maken (op basis van een risico analyse) waarom bepaalde keuzes zijn gemaakt.

Door een slimme selectie te maken en de maatregelen praktisch te interpreteren op basis van de risico's en de omvang van uw bedrijf, kunt u aantonen dat u 'in control' bent, zonder onnodig geld en tijd te verspillen. Dit is de nuchtere aanpak die het MKB nodig heeft.