ISO 27001:2022 vastleggen

ISO 27001:2022 staat bekend als de internationale standaard als het gaat om informatiebeveiliging binnen een organisatie.

Vanaf Profit 4 wordt binnen Control framework een standaard type voor de ISO 27001:2022 uitgeleverd. Hier zit ook een standaard lijst met controls bij en de bijbehorende InSite-pagina’s zijn opgemaakt voor gebruik. Je kunt dus gelijk aan de slag voor de audit!

Het control framework werk je uit op verschillende niveau's. Het hoogste niveau is het type control framework: ISO 27001:2022 (-3). Deze is standaard meegeleverd vanuit AFAS. Hierbinnen vallen de plannen die gebaseerd zijn op dit type. Deze maak je zelf aan. Daaronder vallen de regels die gaan over een plan in een specifieke periode. Ook deze maak je zelf aan. Hieronder per niveau een voorbeeld:

Inhoud

Type

Onder Algemeen / Control framework / Inrichting / Type control framework is het standaard type beschikbaar: -3: ISO 27001:2022. Deze gebruik je om de ISO 27001 uit te werken. Deze is al standaard ingesteld en niet wijzigbaar omdat deze door AFAS wordt onderhouden. Wil je toch een wijziging in het type doorvoeren, dan kun je het type kopiëren en deze baseren op het standaard type -3. Bijvoorbeeld wanneer je een andere ISO certificering wil uitwerken.

Type control framework kopiëren

  1. Ga naar Algemeen / Control framework / Inrichting / Type control framework
  2. Selecteer type control framework -3: ISO27001:2022
  3. Klik bovenin het scherm op Acties / Kopiëren.

Plan

Een plan bevat de basisinrichting die vaker, bijvoorbeeld jaarlijks, of voor verschillende administraties, kan worden gebruikt. Onder het type control framework ISO 27001:2022 maak je zelf een Plan aan. AFAS levert geen standaard plan mee. Je baseert dit plan dus op het standaard type -3 (of een eigen kopie van dit type).

Control framework plan aanmaken voor ISO 27001

  1. Ga naar Algemeen / Control framework / Inrichting / Control framework plan.
  2. Klik op Nieuw.
  3. Selecteer bij Control framework type: ISO 27001:2022 (-3).
  4. Geef een omschrijving mee en kies eventueel de verantwoordelijken.
  5. Klik op Volgende en kies de administratie(s) waar dit plan betrekking op heeft.
  6. Klik op Volgende en kies welke controls vanuit het type je mee wilt nemen naar dit plan.
  7. Klik op Voltooien.

Je kunt één of meer plannen aanmaken. Denk hierbij bijvoorbeeld aan een specifiek plan per land.

Per plan selecteer je de controls die hierop van toepassing zijn. De controls zijn binnen het type vastgelegd. Deze worden door AFAS meegeleverd en onderhouden. Dit zijn regels die horen bij deze ISO-certificering. Je kunt zelf bekijken welke eisen je in jouw plan wil gebruiken. Zelf kun je ook nieuwe controls aanmaken met de knop Nieuw. Dit doe je in de eigenschappen van het control framework plan onder het tabblad Controls.

Let op

Wanneer je control toevoegt binnen de eigenschappen van het plan, worden deze niet toegevoegd in het type control framework (in dit geval ISO 27001:2022). Dit control moet je dus, indien gewenst, in elk apart plan opnieuw toevoegen.

Binnen het plan kun je ook controls toevoegen die wel in het type aanwezig zijn, maar nog niet in het plan voorkomen. Dit doe je met de knop Toevoegen rapportage-eisen.

Binnen het tabblad Draaiboekregels voeg je via Nieuw draaiboekregels toe van het draaiboektype control framework toe. Ook kun je hier bovenin het scherm een draaiboek toevoegen. Hier kun je alleen kiezen uit draaiboeken van het type control framework. Hoe je een draaiboek aanmaakt, lees je hier.

Het team dat betrokken is bij het vastleggen van ISO voeg je toe onder het tabblad Verantwoordelijken. Met de knop Onderhouden kun je een team met teamleden toevoegen.Teams en teamrollen kun je onderhouden via Control framework / Inrichting / Team(rol). Je kunt de draaiboekregels en de verantwoordelijke ook instellen op het niveau van de regel. Hieronder behandelen we deze daarom uitgebreider, maar dit werkt op het niveau van het plan op dezelfde manier.

Regel

Een regel bevat de inhoud waar je als organisatie mee aan de slag gaat en waar de eventuele audit op zal worden uitgevoerd.

Via Algemeen / Control framework / Control framework maak je een nieuwe regel aan of open je een bestaande regel. Regels worden gekenmerkt door een specifieke periode. Je kan bijvoorbeeld een regel aanmaken voor het jaar 2024. De regel koppel je aan een plan die je al hebt ingericht zoals hierboven staat beschreven.

De volgende onderdelen komen vanuit het plan mee naar de regel:

  • Verantwoordelijken
  • De gekozen administratie(s)
  • Controls (rapportage-eisen), de volgende onderdelen:
    • Algemene informatie
    • Draaiboekregels
    • Beheersmaatregelen

Draaiboekregels

Je maakt op het tabblad Draaiboekregels via Nieuw een nieuwe draaiboekregel aan. De regel die je hebt aangemaakt, heeft een begin en einddatum waar de draaiboektaak op wordt gestart. Via de actieknop Toevoegen draaiboek kun je direct een heel draaiboek toevoegen. Om hier een draaiboek te kunnen selecteren, moet dit draaiboek van het type control framework zijn.

De meeste instellingen binnen de regel wordt overgenomen van het plan dat is gekozen binnen de regel. Je kunt hiervan binnen de eigenschappen van de regel afwijken.

Controls

Op het tabblad Controls komen de rapportage-eisen terug die je in het plan hebt gekozen. Je hebt dit tabblad beschikbaar in zowel het plan als de regel. Ook binnen de regel kun je zelf rapportage-eisen toevoegen of verwijderen.

Let op

Wanneer je control toevoegt binnen de eigenschappen van de regel, worden deze niet toegevoegd in het type control framework (in dit geval ISO 27001:2022) of het plan waar de regel onder valt. Dit control moet je dus, indien gewenst, in elk apart plan opnieuw toevoegen. Leg daarom de controls zoveel mogelijk vast op plan-niveau. Dit voorkomt extra werk.

In de eigenschappen van de controls kies je ook voor Draaiboekregels en Verantwoordelijken. Deze worden niet vanuit het plan overgenomen en kun je zelf instellen per eis. Ook kun je ervoor kiezen om bij verantwoordelijken een specifiek team te kiezen alleen voor deze rapportage-eis.

Per control kun je specificeren of deze Niet van toepassing is door dit vinkveld aan te vinken. Hierbij geef je ook een toelichting nadat je het veld hebt aangevinkt. Bijvoorbeeld omdat dit control dit jaar niet getoetst wordt. Ook kun je een status toevoegen aan de control.

Ten slotte kun je beweegredenen aan controls toevoegen door ook deze aan te vinken. In het standaard type ISO 27001:2022 (-3) zijn door AFAS vier beweegredenen beschikbaar: Business, Risk, Legal en Contract. Deze zijn niet zelf te onderhouden. Wil je toch andere beweegredenen gebruiken, maak dan een eigen Type control framework aan.

De verschillende Beweegredenen en het vinkveld Niet van toepassing zijn zichtbaar in de rapportage Verklaring van toepasselijkheid (Profit).

Verantwoordelijken

Binnen het control framework maak je gebruik van teams. Deze teams richt je in op verschillende niveau's. Je kunt per plan, regel of zelfs per control (de rapportage-eis) een specifiek team aanwijzen. Dit doe je in de eigenschappen van het het plan, de regel of het control onder het tabblad Verantwoordelijken. In het stappenplan hieronder zie je hoe je een team koppelt aan een plan.

Teamrollen aanmaken

  1. Ga naar: Algemeen / Control framework / Inrichting / Teamrol.
  2. Maak hier de rollen aan die je wil gebruiken. Koppel hierbij type control framework ISO 27001:2022 (-3) aan de teamrol. Bij teamrollen kun je denken aan bijvoorbeeld auditor, eindverantwoordelijke of procesverantwoordelijke.

Team aanmaken en koppelen aan een plan

  1. Ga naar: Algemeen / Control framework / Inrichting / Team.

    Maak een team aan met medewerkers of contacten. Deze koppel je ook aan ISO 27001:2022 (-3). Je gebruikt hierbij de zojuist aangemaakte teamrollen.

  2. Ga naar: Algemeen / Control framework / Inrichting / Control framework plan.
  3. Open de eigenschappen van het ISO-Plan.
  4. Ga naar tabblad Verantwoordelijken. Kies hier het team dat je hebt aangemaakt.

Beheersmaatregelen

Binnen de controls kun je onder tabblad Beheersmaatregelen specifieke risico's in kaart brengen met betrekking tot de controls en aangeven wat de maatregelen zijn die je hiervoor neemt. Deze voeg je toe in de vorm van Beheersmaatregelcombinaties. Deze richt je omgevingsbreed in.

Beheersmaatregelcombinatie aanmaken en toevoegen

  1. Ga naar Algemeen / Control framework / Inrichting / Type beheersmaatregel om het type beheersmaatregel in te richten. Hiervoor worden de waarden Maatregel en Risico standaard meegeleverd. Maar je kunt ook eigen typen hieraan toevoegen. Bijvoorbeeld dreiging of kans.
  2. Bij Control framework / Beheersmaatregel specificeer je de verschillende waarden. Benoem hier bijvoorbeeld bepaalde risico's of maatregelen waarover je uiteindelijk gaat vastleggen.
  3. Koppel nu de waarden uit stap 2 die met elkaar in verband staan. Dit doe je via Control framework / Inrichting / Beheersmaatregelcombinatie. Hier koppel je maximaal vijf beheersmaatregelen aan elkaar. Bijvoorbeeld een risico, maatregel en kans die alle drie met elkaar te maken hebben.

De aangemaakte beheermaatregelcombinatie voeg je toe in de eigenschappen van de specifieke controls onder het tabblad Beheersmaatregelen. Deze vind je op het tabblad Controls in de eigenschappen van regel.

Een beheermaatregel hoeft niet altijd gekoppeld te zijn aan een control/rapportage-eis. Je kunt een type beheersmaatregelen en beheersmaatregelen ook afzonderlijk benaderen. Op InSite zijn hier overzichtelijke pagina's voor beschikbaar. Per type beheersmaatregel genereert InSite ook een nieuwe portalpagina. Lees hier meer over.

Risico en maatregel

Er zijn twee standaard type beheersmaatregelen: Risico en Maatregel. Je voegt zelf beheersmaatregelen toe die op één van deze (of een eigen) type beheersmaatregel zijn gebaseerd. Wanneer je een beheersmaatregel van het type Risico toevoegt, kun je hierbij een risicoscore laten genereren. Dit doe je als volgt:

  1. Ga naar Algemeen / Control framework / Risico.
  2. Klik op Nieuw.
  3. Vul de code, een omschrijving en eventueel de verantwoordelijke.
  4. Vul onder risicoscore voor maatregelen en onder risicoscore na maatregelen een aantal sterren van één t/m vijf in.

    Dit resulteert in een Risicoscore. De formule hiervoor is Kans * Impact.

  5. Vervolgens kies je bij de Risicobehandeling uit vier opties: Accepteren, Mitigeren, Overdragen en vermijden.

Definitief maken

Wanneer de vastlegging voor een regel is afgerond, kan deze definitief gemaakt worden. Dit doe je als volgt:

  1. Ga naar Algemeen / Control framework / Control framework.
  2. Selecteer de regel die je definitief wil maken
  3. Klik bovenin op de actieknop Definitief maken

De beheersmaatregelen die binnen deze regel in de beheersmaatregelcombinaties zijn vastgelegd, worden op dat moment definitief en zijn op deze manier in te zien op elk gewenst moment, bijvoorbeeld door de accountant. Wanneer je op een later moment via Control framework / Beheersmaatregel in de maatregelen iets wijzigt, heeft dit geen invloed op de regels die definitief zijn gemaakt.

Rapportage

Het rapport Verklaring van toepasselijkheid (Profit) is beschikbaar via Algemeen / Uitvoer / Rapport. Ook kun je het rapport starten vanuit de control framework regel via Acties/ Afdrukken Verklaring van toepasselijkheid.

Dit rapport genereer je per Control framework regelnummer (CF-regelnummer). In het rapport zie je de periode van de regel met daaronder per control de aangevinkte beweegredenen en of het control in deze regel wel of niet van toepassing is, inclusief toelichting. Wanneer je dit rapport genereert voor een eigen type control framework, let er dan op dat dit standaard rapport alleen de eerste vijf opgegeven beweegredenen laat zien.

InSite

AFAS levert standaard pagina's mee om je Control framework op InSite te raadplegen. Deze pagina's vallen onder drie typen pagina's: Om gebruik te maken van de verschillende pagina's op InSite, moeten deze drie typen pagina's eerst worden geactiveerd. Hierna zijn de InSite pagina's vindbaar binnen Sitebeheer via Bewerken / Onderhouden pagina's. Om ze toegankelijk te krijgen voor bezoekers van de site, maak je de pagina's vast aan het menu.

Typen pagina's:

  • Control frameworks
  • Kwaliteitsmanagements
  • Beheersmaatregelen

Voor de ISO 27001:2022 zijn er (net als voor ieder type control framework) een aantal InSite pagina's beschikbaar. Deze vallen onder type pagina Control framework. Denk hierbij aan een portalpagina en een overzichtspagina met alle aangemaakte regels. Ook zijn er pagina's beschikbaar om, binnen dit type control framework, regels of rapportage-eisen (controls) toe te voegen en aan te passen.

Daarnaast is er een centraal portaal beschikbaar voor alle openstaande control frameworks: de portalpagina Kwaliteitsmanagement (Type pagina Kwaliteitsmanagements). Omdat ISO 27001:2022 en CSRD standaard worden uitgeleverd, staan deze hier al op. Zo heb je één overzichtelijke pagina om vanuit te werken wanneer je met control frameworks aan de slag gaat.

Op InSite kun je ook beheersmaatregelen overzichtelijk inzien en aanmaken. Hiervoor is onder andere de portalpagina Risico beschikbaar (type pagina Beheersmaatregelen). Op deze pagina wordt niet gekeken vanuit een type control framework, maar worden de beheersmaatregelen afzonderlijk bekeken.

Je autoriseert de toegang tot InSite pagina's standaard via functionaliteiten en autorisatierollen. De InSite pagina’s van Control framework zijn beschikbaar in de twee functionaliteiten: Control framework beheren en Control framework raadplegen. De InSite pagina’s van Beheersmaatregelen zijn beschikbaar in de twee functionaliteiten: Beheersmaatregelen beheren en Beheersmaatregelen raadplegen.

Autorisatie

Het menu-item Control framework is te autoriseren in de autorisatietool. Ook kun je hier de verschillende tabbladen autoriseren. Gebruik hiervoor bijvoorbeeld standaard gebruikersgroep PR-014 Control Framework Applicatiebeheer (Profit). Elke gebruiker is deze groep heeft alle rechten op control framework. Daarnaast is er de gebruikersgroep PR-015 Control Framework (Profit) voor InSite. Gebruikers is deze groep hebben alleen rechten om control framework te onderhouden en beheren in InSite.

Dossier

Vanaf profit 5 beschik je voor het control framework over twee type dossieritems:

  • Vraag vanuit accountant
  • Vraag vanuit audit

Deze type dossieritems hebben ook een meegeleverde workflow en bijbehorende overzichtspagina's op InSite.