ISO 27001 Annex A: Verantwoordelijkheden en rollen van werknemers

Een goed gestructureerd beheersysteem voor informatiebeveiliging (ISMS) volgens de ISO 27001-norm vormt de basis voor een effectieve implementatie van een holistische strategie voor informatiebeveiliging. De systematische aanpak helpt om vertrouwelijke bedrijfsgegevens te beschermen tegen verlies en misbruik en om potentiële risico's voor het bedrijf op betrouwbare wijze vast te stellen, te analyseren en beheersbaar te maken door middel van passende maatregelen. Daarbij gaat het om veel meer dan alleen de aspecten van IT-beveiliging. De uitvoering van de maatregelen in Annex A van de norm is bijzonder waardevol voor de praktijk

ISO/IEC 27001:2013: Informatietechnologie - Beveiligingsprocedures - Informatiebeveiligingsmanagementsystemen - Eisen

Annex A van ISO 27001: Praktijkrelevant

Annex A van de ISO-norm bevat naast het deel met managementsysteemgerichte eisen (hoofdstukken 4 tot en met 10) een uitgebreide lijst met 35 maatregeldoelen (controls) met 114 concrete maatregelen over een breed scala aan beveiligingsaspecten verdeeld over 14 hoofdstukken.

Opmerking: De verklaringen die in Annex A "maatregelen" worden genoemd, zijn in feite individuele doelstellingen (controles). Zij beschrijven hoe een normconform resultaat van geschikte (individuele) maatregelen eruit moet zien.

Bedrijven moeten deze beheersingsmaatregelen gebruiken als basis voor hun individuele, meer diepgaande structurering van hun informatiebeveiligingsbeleid. Met betrekking tot het onderwerp personeel is met name de doelstelling "Personeelsbeveiliging" in aanhangsel A.7 van belang.

Personeelsprocessen zorgen er in alle fasen van het dienstverband voor dat verantwoordelijkheden en taken op het gebied van informatiebeveiliging worden toegewezen en dat op de naleving ervan wordt toegezien. Overtredingen van het informatiebeveiligingsbeleid - zowel bedoeld als onbedoeld - zijn daarmee niet onmogelijk, maar worden wel veel moeilijker gemaakt. En in het ergste geval voorziet een effectief ISMS de organisatie van passende mechanismen om de inbreuk aan te pakken.

Informatiebeveiliging is geen wantrouwen

Het is geenszins een kwestie van wantrouwen als een bedrijf passende richtlijnen uitvaardigt om ongeoorloofde toegang van binnenuit te bemoeilijken of, beter nog, helemaal te voorkomen. Eén ding is immers duidelijk: als een werknemer op korte termijn wordt ontslagen of dit al is aangekondigd, kan zijn of haar ontevredenheid leiden tot gerichte gegevensdiefstal. Dit gebeurt vooral wanneer de ontslagen werknemer denkt dat hij of zij eigendomsrechten op projectgegevens heeft. Omgekeerd kan een sollicitatie naar een bepaalde baan al zijn gedaan met de bedoeling een criminele daad te plegen.

Andere scenario's wijzen op grove nalatigheid of gewoon roekeloosheid, die even ernstige gevolgen kunnen hebben. Het komt bijvoorbeeld voor dat hele IT-afdelingen zich niet aan hun eigen regels houden - te omslachtig, te tijdrovend. Op kantoor is dat het onzorgvuldig omgaan met wachtwoorden of onbeveiligde smartphones. Maar ook het onzorgvuldig aansluiten van USB-sticks, open documenten op het scherm, geheime documenten in lege kantoren - de lijst van mogelijke omissies is lang.

Annex A.7 van ISO 27001 - Personeelsbeveiliging

Bedrijven die een informatiebeveiligingsmanagementsysteem (ISMS) hebben geïmplementeerd in overeenstemming met de ISO 27001-norm bevinden zich hier in een betere positie. Zij kennen de eisen en de praktijkrelevante Annex A.7 van de internationaal erkende norm. Want ISO 27001 heeft hier veel te bieden: Hoewel de referentiemaatregelen direct verwijzen naar de normeisen, zijn ze altijd gericht op de directe bedrijfspraktijk.

Bedrijven met een effectief ISMS zijn bekend met de in A.7 genoemde doelstellingen, die met het oog op de veiligheid van het personeel moeten worden geïmplementeerd om volledig aan de norm te voldoen - in alle fasen van het dienstverband.

Wat zegt de ISO 27001-norm in Annex A.7?

Maatregelen vóór indiensttreding

De organisatie moet zich ervan vergewissen dat een nieuwe werknemer zijn toekomstige verantwoordelijkheden begrijpt en geschikt is voor zijn rol voordat hij in dienst wordt genomen - volgens Annex A.7.1. In het gedeelte over de eisen (hoofdstuk 7.2) heeft de norm het over "bekwaamheid".

Als doelgerichte referentiemaatregel krijgen sollicitanten voor een baan eerst een veiligheidsmachtiging die in overeenstemming is met ethische beginselen en toepasselijke wetten. Deze controle moet passend zijn in verhouding tot de zakelijke vereisten, de rubricering van de te verkrijgen informatie en de mogelijke risico's (A.7.1.1). Om dit te kunnen bereiken, moet onder meer het volgende aanwezig, gewaarborgd of geverifieerd zijn:

• Een procedure voor het verkrijgen van informatie (hoe en onder welke voorwaarden)
• Een lijst van wettelijke en ethische criteria die in acht moeten worden genomen
• De veiligheidscontrole moet adequaat zijn, in verhouding tot de risico's en de behoeften van het bedrijf
• De aannemelijkheid en authenticiteit van C.V., financiële verklaringen en andere documenten
• De betrouwbaarheid en bekwaamheid van de sollicitant voor de beoogde functie

Contractuele overeenkomsten

De volgende stap gaat over arbeids- en contractuele voorwaarden. Deze referentiemaatregel in Annex A van ISO/IEC 27001 bestaat dus uit de contractuele afspraak over welke verantwoordelijkheden werknemers hebben ten opzichte van het bedrijf en vice versa (A.7.1.2). Een succesvolle implementatie van deze eis houdt onder andere in dat aan deze punten wordt voldaan:

• De ondertekening van een geheimhoudingsovereenkomst door de werknemer (contractant) met toegang tot vertrouwelijke informatie
• Een contractuele verplichting van de werknemer (contractant) om bijvoorbeeld auteursrechten of gegevensbescherming in acht te nemen
• Een contractuele bepaling over de verantwoordelijkheid van werknemers (contractanten) bij het omgaan met externe informatie

Tijdens het dienstverband - De verantwoordelijkheden van het topmanagement.

Werknemers moeten zich bewust zijn van hun verantwoordelijkheden op het gebied van informatiebeveiliging. Dit is het doel van A.7.2, en wat nog belangrijker is, de werknemers moeten deze verantwoordelijkheden ook nakomen.

De eerste maatregel (A.7.2.1) is gericht op de verplichting van het management om zijn werknemers aan te moedigen informatiebeveiliging toe te passen in overeenstemming met het vastgestelde beleid en de vastgestelde procedures. Daartoe moeten ten minste de volgende punten worden geregeld:

• Op welke wijze stimuleert het topmanagement de medewerkers tot implementatie? Waar zijn er risico's?
• Hoe zorgt zij ervoor dat de werknemers op de hoogte zijn van de geïmplementeerde richtlijnen voor de omgang met informatiebeveiliging?
• Hoe controleert zij of medewerkers zich houden aan de richtlijnen voor het omgaan met informatiebeveiliging?
• Hoe motiveert zij haar medewerkers om beleid en procedures te implementeren en veilig toe te passen?

Bewustzijn creëren

In hoofdstuk 7.3 "Bewustzijn" vereist ISO 27001 dat personen die relevante activiteiten uitvoeren op de hoogte zijn van het volgende

• van het informatiebeveiligingsbeleid van de organisatie
• de bijdrage die zij leveren aan de effectiviteit van het beheersysteem voor informatiebeveiliging (ISMS)
• De voordelen van betere prestaties op het gebied van informatiebeveiliging
• de gevolgen van het niet voldoen aan de eisen van het ISMS

Met name nieuwe werknemers moeten regelmatig over dit onderwerp worden geïnformeerd, bijvoorbeeld per e-mail of via het intranet, naast de verplichte briefing over informatiebeveiligingskwesties. Concrete opleidingen (met name over noodplannen en oefeningen), themaspecifieke workshops en bewustmakingscampagnes (bijvoorbeeld via posters) versterken het bewustzijn van het beheersysteem voor informatiebeveiliging.

Referentiemaatregel A.7.2.1 in Annex A van ISO 27001 dient bijvoorbeeld ook om een passend bewustzijn van informatiebeveiliging te creëren. Organisaties moeten hun werknemers en, in voorkomend geval, hun contractanten opleiden en voorlichten over professioneel relevante onderwerpen. De bijbehorende beleidslijnen en procedures moeten regelmatig worden bijgewerkt. Er moet onder meer rekening worden gehouden met de volgende aspecten:

• De wijze waarop het topmanagement zich van zijn kant inzet voor informatiebeveiliging
• de aard van de beroepsopleiding en -scholing
• De frequentie waarmee het beleid en de procedures worden herzien en bijgewerkt
• Andere instrumenten die worden gebruikt
• Concrete maatregelen om werknemers vertrouwd te maken met het interne beleid en de interne procedures op het gebied van informatiebeveiliging

TIP: Zorg voor een goed functionerende communicatie met meerdere kanalen voor kennisoverdracht. De door de norm vereiste bekendheid met het ISMS en aanverwante aspecten hangt namelijk nauw samen met de overdracht van kennis.

Proces van berisping

Annex A 7.2.3: Deze maatregel specificeert de wijze waarop de organisatie zal omgaan met berispingen in het geval van schendingen van de informatiebeveiliging. De basis hiervoor is een proces van corrigerende maatregelen. Het moet formeel worden gedefinieerd, vastgesteld en bekendgemaakt. Er moet voor het volgende worden gezorgd:

• Er moeten criteria bestaan aan de hand waarvan de ernst van een schending van het informatiebeveiligingsbeleid wordt geclassificeerd
• De tuchtprocedure mag niet in strijd zijn met de toepasselijke wetgeving
• De tuchtprocedure moet maatregelen bevatten die de werknemers motiveren om hun gedrag op lange termijn in positieve zin te veranderen

Einde van het dienstverband - Verantwoordelijkheden

Annex A.7.3 van ISO 27001 specificeert als doelstelling een effectief beëindigings- of veranderingsproces om de belangen van de organisatie te beschermen. Deze doelstelling richt zich op de verantwoordelijkheden bij beëindiging of verandering van dienstverband. Dienovereenkomstig moeten informatiebeveiligingsgerelateerde verantwoordelijkheden en verplichtingen die blijven bestaan na beëindiging of verandering van dienstverband worden gedefinieerd, gecommuniceerd en gehandhaafd. Het is zinvol deze aspecten in overweging te nemen:

• Afspraken in arbeidsovereenkomsten over hoe werknemers na beëindiging van het dienstverband moeten omgaan met blijvende informatiebeveiligingsrelevante verantwoordelijkheden en verplichtingen
• controlemechanismen om de naleving van deze afspraken te waarborgen
• Procedures voor het afdwingen van de naleving van blijvende verantwoordelijkheden en taken

Cyberbeveiliging door systematische personeelsbeveiliging

De dreiging van binnenuit is reëel - en de meeste bedrijven zijn zich daarvan bewust. Volgens een beveiligingsonderzoek (Balabit 2018) zijn vooral werknemers met verregaande toegangsrechten kwetsbaar voor aanvallen. En met werknemers die betrokken zijn bij 50 procent van alle inbreuken op de beveiliging, beschouwt 69 procent van de responderende IT-professionals een inbreuk op gegevens van insiders als het grootste risico. Toch wordt er weinig aan gedaan. In de praktijk is het vaak moeilijk om interne medewerkers aan te klagen. Vooral in kleine en middelgrote ondernemingen (KMO's), waar mensen elkaar kennen, wordt vaak een zeker vertrouwen gesteld - soms met onaangename gevolgen. Een goed gestructureerd beheer van de informatiebeveiliging vormt de basis voor het waarborgen van de veiligheid van informatie die bescherming behoeft.

Conclusie: ISO 27001 in de praktijk - Annex A

In Annex A.7 biedt ISO/IEC 27001:2013 referentiemaatregelen voor personeelsbeveiliging die moeten worden geïmplementeerd als onderdeel van de invoering van de norm. Bedrijven moeten deze maatregelen gebruiken als basis voor hun individuele, meer diepgaande ontwerp van hun informatiebeveiligingsbeleid. De maatregelen berusten niet op wantrouwen van werknemers, maar op duidelijk gestructureerde personeelsprocessen.

De ISO 27002-richtlijn definieert een brede catalogus van algemene beveiligingsmaatregelen om organisaties te ondersteunen bij de implementatie van de eisen uit Annex A van ISO 27001. Begin 2022 is de richtlijn uitgebreid herzien en geactualiseerd. De nieuwe editie biedt managers van informatiebeveiliging een nauwkeurige kijk op de te verwachten veranderingen bij de herziening van ISO 27001.

Deskundigheid en vertrouwen

Gecertificeerde bedrijven waarderen managementsystemen als instrumenten voor het topmanagement die transparantie creëren, de complexiteit verminderen en veiligheid bieden. Managementsystemen doen echter nog meer: Beoordeeld en gecertificeerd door een neutrale en onafhankelijke derde partij zoals DQS , creëren ze vertrouwen bij geïnteresseerde partijen in de prestaties van uw bedrijf.

Veel organisaties ervaren certificering nog steeds als een compliance check. Onze klanten daarentegen zien het als een kans om zich te richten op succes-kritische factoren en de resultaten van hun managementsysteem. Want onze kerncompetenties liggen in het uitvoeren van certificeringsaudits en assessments. Dit maakt ons wereldwijd tot een van de toonaangevende aanbieders met de pretentie steeds nieuwe maatstaven te stellen op het gebied van betrouwbaarheid, kwaliteit en klantgerichtheid

Let op: onze artikelen worden uitsluitend geschreven door onze interne experts op het gebied van managementsystemen en door auditors die al lange tijd werkzaam zijn. Als u vragen heeft voor onze auteurs over informatiebeveiliging (ISMS), neem dan contact met ons op. Wij verheugen ons op een gesprek met u.