Security Professionals - ipfw add deny all from eindgebruikers to any

Integratie ISO 9001:2008 en 27001:2013

09-03-2015, 11:35 door denii, 5 reacties
Hallo Allemaal,

We zijn bezig met de implementatie van de ISO 27001:2013 en hier en daar lees ik online dat het praktisch is om deze te integreren met bestaande KMS-en. Omdat we de ISO 9001:2008 al hebben lijkt me dit een goede optie. Heeft iemand misschien bronnen voor me waar de overlap tussen beide staat beschreven of waar ik meer praktische informatie kan vinden. Als ik zelf zoek vind ik alleen informatie uit 2012 of ouder waaruit ik kan opmaken dat het de ISO 27001:2005 betreft.

We zijn overigens niet op zoek naar partners om te ondersteunen bij de implementatie ;-)
Reacties (5)
09-03-2015, 12:55 door Anoniem
Bronnen? ik neem aan dat je beide normen hebt? Want dat is je bron :)

Om twee management systemen te onderhouden lijkt mij niet heel erg zinnig, dus ja, integratie (helemaal als scoping van beide normen gelijk opgaat) wel makkelijk. Je hebt dus al een management systeem. Maak 1 handboek met beleid t.a.v. kwaliteit en informatiebeveiliging. En neem relevante (verplichte) documenten en processen van beide normen op in het KMS. Audit cyclus herzien zodat deze beide normen afdekt. Preventief/correctief integreren (let op: dit gaat wijzigen in de nieuwe versies). Je jaarcyclus opstellen op basis van beide management cycli etc etc.
09-03-2015, 13:24 door Cornelius
Beste Denii,

Ik weet zo geen resources waar de overlap beschreven staat, maar ik denk dat je 't in het pragmatische moet zoeken.

- Binnen de ISO9001 beschrijf je je bedrijfsprocessen, daaraan kun je gemakkelijk een BIA toevoegen, zowel op proces- als systeemniveau. De risicoanalyse kun je bijvoorbeeld ook per bedrijfsproces uitvoeren.
- Binnen ISO9001 beschrijf je procedures en dergelijke (in je "kwaliteitshandboek"), daar kun je ook je security-procedures aan toevoegen. Denk bijvoorbeeld aan agendering werkoverleggen (security als vast agendapunt), indiensttreding, uitdiensttreding, etc.
- Binnen ISO9001 beschrijf je je periodieke activiteiten, hier kun je ook de ISO27001-activiteiten aan toevoegen.
- Binnen ISO9001 beschrijf je je interne audits op verschillende onderdelen, hier kun je eenvoudig de ISO27001-onderwerpen aan toevoegen.

Kun je hier iets mee?
09-03-2015, 17:29 door User2048 - Bijgewerkt: 09-03-2015, 17:30
Hier vind je informatie over de "High Level Structure" (HLS) die alle managementsystemen gaan gebruiken: https://www.google.nl/?gws_rd=ssl#q=iso%20high%20level%20structure. Dit geldt al voor ISO 27001:2013 en ISO 9001:2015 gaat het ook toepassen. De HLS maakt het makkelijker om managementsystemen te integreren.
11-03-2015, 09:28 door Anoniem
Het is zoals User2048 al zegt, beide normen hebben/ krijgen dezelfde structuur. Dat betekent dat de hoofdstukindeling en omschrijving en terminologie gelijkgetrokken wordt.

in praktijk betekent dit dat je dus inderdaad veel elementen kunt samenvoegen. Denk aan 1 beleidsverklaring waarin kwaliteitsbeleid en informatiebeveiligingsbeleid zijn samengevoegd, 1 organogram, 1 overzicht van communicatie/ werkoverleg, 1 set van functieprofielen waarin zowel TVB mbt informatiebeveiliging en kwaliteit zijn opgenomen etc.

succes en als je nog vragen hebt dan hoor ik het wel. Gr Gerben Bekooy, Van de Pol Consult.
14-03-2015, 09:20 door Anoniem
Door denii: Hallo Allemaal,

We zijn bezig met de implementatie van de ISO 27001:2013 en hier en daar lees ik online dat het praktisch is om deze te integreren met bestaande KMS-en. Omdat we de ISO 9001:2008 al hebben lijkt me dit een goede optie. Heeft iemand misschien bronnen voor me waar de overlap tussen beide staat beschreven of waar ik meer praktische informatie kan vinden. Als ik zelf zoek vind ik alleen informatie uit 2012 of ouder waaruit ik kan opmaken dat het de ISO 27001:2005 betreft.

We zijn overigens niet op zoek naar partners om te ondersteunen bij de implementatie ;-)

Op www.nen.nl/denieuweiso staat informatie over de nieuwe structuur die voor alle managementsystemen gaat gelden, de zogenaamde HLS. Ook is er een aparte pagina over Informatiebeveiliging: http://www.nen.nl/NEN-Shop/Vakgebieden/ICT/ISO27001-Informatiebeveiliging.htm
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.