Ja.
Niet voor iemand die zulke stomme vragen stelt.

Vertel eerst maar eens of het om een slager op de hoek of een groot datacenter gaat, en hoeveel van je ISMS je al op orde hebt (als je nog moet beginnen wens ik je veel geluk; tenzij je een flut-auditor hebt ingehuurd, zul je dat hard nodig hebben).

Je huurt een of meerdere consultants in gespecialiseerd in dit vak gebied als je zelf geen personeel hebt dat gecertificeerd is. Vervolgens in overleg zet je samen met die gene een implementatie team op welke vervolgens aan de hand van de eigen interne audits aanbevelingen zullen doen. Dit is bestaande uit 14 domeinen waar elk een risk assessment in gebeurd.

Wat ik kan zeggen is onderschat niet hoeveel tijd dit kost en zorg dat van de top tot de werkvloer er betrokkenheid is.

Verder zie zowel de consultant(s) als de externe controleur als een vriend in plaats van een vijand. Zo vaak gezien dat management zich aangevallen voelde vanwege geconstateerde gebreken. Het is normaal dat je niet alles op orde hebt zolang je werkt aan verbetering gaat de uiteindelijk certificering zelden mis.

Een audit is niet zo spannend als je je zaakjes op orde hebt. Gewoon aantonen waar je aan voldoet en hoe je daaraan voldoet. Als je weet wat de norm inhoudt, dan zou dat geen probleem moeten zijn. Als je je moet voorbereiden voor een audit op een norm, heb je je zaken dus normaal niet op orde en dat ga je ook niet even snel voor elkaar krijgen.

Door een ISO27001 project te doen waarin je langs als je processen loopt,

Meestal is daarvoor een consultant/bedrijf ingehuurd die daar kennis van heeft - en weet hoe zo'n audit gaat - omdat ze dat vaker gedaan hebben.

Gewoon out of the blue een externe auditor laten langskomen wordt een duur dagje en bijna zeker zonder certificaat.

Wat een zelfingenomenheid.

@TS

Om een ISO certificering te kunnen behalen moet je (grotendeels) voldoen aan de gelijknamige norm. De eerste stap zou kunnen zijn om de ISO 27001 (norm) en 27002 (implementatie richtlijn) aan te schaffen. Een tweede stap kan zijn om vast te stellen wat de scope van de certificering moet gaan worden. Wil je bijvoorbeeld een specifieke applicatie laten certificeren of een hele organisatie. Houd er rekening mee dat een te grote scope ervoor kan zorgen dat omvang van het certificeringstraject zodanig groot wordt dat de kosten/resources niet langer toereikend zijn.

Zodra je weet wat je wilt certificeren en wat er nodig is om te komen tot de certificering (wat is de huidige en gewenste situatie conform richtlijnen norm) kun je aan de slag met een plan van aanpak.

Wanneer je niet structureel bezig bent met al deze materie is het zeker het overwegen waard om je hierin te laten begeleiden.

Mijn gouden tip is om klein te beginnen en vanuit daar uit te breiden. Zo blijft alles behapbaar en heb je de mogelijkheid om je management systeem (ISMS) te finetunen waarbij de impact beperkt blijft.

Als jij die vraag nu moet gaan stellen, dan hebben jullie de nodige problemen.

Maar hoever zijn jullie hier al mee? Is dit allemaal al geïntegreerd in jullie bedrijfsprocessen?
Is er al iemand verantwoordelijk voor deze processen?

Maar huur een bedrijf in dat hierin gespecialiseerd is, zodat al jullie processen doorgelicht worden. En zorg ervoor dat in ieder geval jij er niet verantwoordelijk voor bent. Want als jij deze vraag hier moet stellen, dan ben je helaas ongeschikt hiervoor.

Was ook mijn eerste gedachte, hoewel ik het antwoord van Erik wel begrijp. Ik had alleen een wat meer genuanceerde beantwoording gegeven.

Zoals de vraag nu gesteld is, ontstaat bij mij de indruk dat iemand heeft besloten "we moeten ISO2700x hebben". Vervolgens is er gekeken, hoe komen we aan zo' n certificaat? Oh een audit. Informatiebeveiliging is techniek, dus we zeggen tegen onze IT' er: "zorg dat het op orde is, want er komt een audit aan" . \

Als het daadwerkelijk zo is gegaan, is het kansloos. Informatiebeveiliging gaat veel verder dan alleen de techniek. Denk aan processen, documentatie, registratie, etc. Er zijn hier al diverse goede antwoorden gegeven, dus ik ga geen herhaling van zetten doen in deze post.

Is dat zo?

Laat ik het wat scherper stellen met één m.i. cruciale tip: laat de voltallige directie plus hoger management vooraf schriftelijk vastleggen (en door elk van hen ondertekenen) wat hun exacte doel is m.b.t. een helder beschreven scope, ofwel:
1) Het ASAP, met minimale resources, verkrijgen van een ISO 27001 certificaat ter verbetering van de marktpositie (en/of het niet verliezen van bestaande klanten die nieuwe eisen stellen);
2) Het beschikbaar stellen van alle noodzakelijke resources om de informatiebeveiliging op een fatsoenlijk peil te brengen en te houden, met als bevestiging ISO 27001 certificaten in de komende jaren.

Type 1 (de overgrote meerderheid) hoeft mij niet meer te bellen, want uit ervaring weet ik -helaas- dat het zeer frustrerend is om aan een dood paard te trekken.

M.b.t. dode paarden en organisaties die graag "ISO 27001" roepen, uit https://www.randstad.nl/binaries/content/assets/randstadnl/werkgevers/algemene-voorwaarden-2020-randstad.pdf (vette opmaak toegevoegd door mij):
Volgens https://www.randstad.nl/over-randstad/over-ons-bedrijf/certificering-randstad hebben ze geen ISO 27001 certificaat, en volgens https://www.security.nl/posting/680448/Randstad+slachtoffer+van+ransomware-aanval+en+datadiefstal zijn ze grondig gehacked.

Overigens zegt wel een ISO 27001 certificaat niets over de mate van IB als deze door een flut-auditor is verstrekt. Alleen respectabele auditors zullen geen certificaat afgeven als je bijv. een netjes gedocumenteerd patchbeleid hebt bestaande uit "wij patchen niet".

Helaas is de situatie bij Randstad tekenend voor hoe commerciële en niet-commerciële organisaties omgaan met IB. Burgemeester Ellen Nauta van Hof van Twente (een gemeente die aan de BIO, een uitbreiding op ISO 27001/27002, moet voldoen) loog gisteren dan ook maar een klein beetje (zie https://security.nl/posting/680414) met "Experts hebben ons laten weten dat een situatie als deze, helaas iedere organisatie kan overkomen".
Dat moet natuurlijk zijn: "... de meeste organisaties...".

Voor de meeste certificeringen, zo ook ISO 27001, stel je zelf de regels op waaraan je zelf moet voldoen.

Het nummertje geeft aan op welk gebied je de afspraken gaat maken. 27001 gaat over informatiebeveiliging.
Als jij dus zegt dat je al je informatie op floppies zet en deze in een dichtgeplakte envelop in een Tupperware bakje bewaard en je hebt dat beschreven in je procedures.
Wanneer de auditor komt en je kunt dat laten zien dan ben je geslaagd, is je envelop niet dichtgelikt ben je gezakt.

Is natuurlijk een beetje heel simplistisch maar daar komt het ongeveer wel op neer.

Jij bepaalt de regels binnen een raamwerk en daar moet je procedures over schrijven en bewijzen dat je ze toepast.

Erik van Straten: “ Overigens zegt wel een ISO 27001 certificaat niets over de mate van IB als deze door een flut-auditor is verstrekt.”

De auditor verstrekt geen certificaten; dat doet de certificatie manager. En flutauditors bestaan niet. Er worden hoge eisen aan auditors gesteld die certificatie onderzoeken doen.

Aan de topic starter zou ik willen zeggen dat uit de vraagstelling blijkt dat dit niet goed gaat komen. Reken op een project van een jaar. Inrichting van eens ISMS is geen sinecure. Je kunt een cursus van 3 dagen volgen bij Security Academy dan weet je in ieder geval wat je moet gaan doen.

Fout. Jij bent af. Er worden ruim 170 eisen gesteld aan het ISMS. Daar krijg je een certificaat voor. En geen van die eisen mag je uitsluiten. Dat geldt wel voor de maatregelen, maar dat moet dan strikt onderbouwd zijn door de risicoanalyse en door het management bevestigd zijn.

Houd er ook rekening mee dat de security auditoren zelf dingen kunnen gaan uittesten als ze er zijn. Al is het iets simpels als aangeven dat hij/zij naar het toilet moet. Als je dan aangeeft waar die zijn (of je begeleid diegene erheen) en er niet in de buurt blijft om te zien wanneer diegene weer naar buiten komt, maar in je huisregels staat dat elke bezoeker altijd wordt begeleid heb je direct feest. Meerdere van dit soort acties meegemaakt bij informatiebeveiligingsaudits.

Het gaat niet alleen om de techniek op orde hebben maar ook het gedrag van de mensen die aanwezig zijn.

Technisch heb je gelijk, maar je begrijpt wat ik bedoel (iemand bij de certificerende organisatie verstrekt al dan niet een certificaat op basis van de bevindingen van de auditor).

Zoals ik schreef, als jouw patchbeleid luidt "wij patchen niet" voldoe je, strikt genomen, aan ISO 27001 - dat vereist dat jouw ISMS op orde is, niet persé jouw informatiebeveiliging. En natuurlijk zijn niet alle auditors even bekwaam, nauwgezet en integer. Ook met de scope kun je "spelen". Last but not least krijgen klanten (vaak pas na flink doorvragen) een vinkjeslijst genaamd "SoA" - maar geen beschrijving van de feitelijk genomen maatregel(en) per vinkje.

Voor de meeste klanten zegt een ISO 27001 certificaat helemaal niets over de mate van IB, tenzij dat certificaat is uitgegeven door een gerenommeerde uitgever - die diens reputatie niet op het spel zal willen zetten bij het eerstvolgende IB incident bij de gecertificeerde partij. Verstandige (vaak door ervaring wijs geworden) klanten zullen daarom uitsluitend ISO 27001 certificaten van specifieke auditors (lees: certificeerders) accepteren.

Nog een tip dan maar: onderzoek vóóraf welke certificerende instantie voor al jouw (potentiële) klanten goed genoeg is. Ik kon er zo gauw geen NL artikel over vinden, zie bijv. https://www.riskcrew.com/2020/07/how-to-choose-an-iso-27001-certification-body/.

Security consultants, specialisten, auditors mogen enkel testen uitvoeren waar je als bedrijf vrijwaring voor geeft als bedrijf zijnde.

Als fysieke beveiliging onderdeel is van de risk assessment dan verkondigen ze wat ze gaan doen ver van te voren maar niet hoe en wie. Daarna sturen ze iemand onverwacht langs in het bepaalde timeframe waar je nog nooit contact mee hebt gehad van hun buitenteam met een alias een geloofwaardig verhaal en wordt er opgenomen hoe de werkvloer reageert op het bezoek en waar in het bedrijf toegang tot verkregen kan worden. Als je ook nog vrijwaring geeft voor nondestructive infiltration, exfiltration dan kunnen ze ook je hele beveiliging proberen te omzeilen. Zonder die vrijwaring zijn ze afhankelijk van enkel social engineering, gesloten ruimtes of het bemachtigen van onbewaakte toegangsmiddelen.

De lead auditor daar in tegen vraagt je toestemming tot alle onderdelen benoemd in de domeinen en gaat rustig onder begeleiding een boekwerk aan checklists en regelt de personeel interviews. Het veldwerk resultaat dat zie je vaak pas laat in het proces terug en vaker dan zelden zijn de mislukte inbraak pogingen gestaged om te zien wat de respons is van het actieve personeel en management. De specialisten hebben vaak badge bij zich waar mee ze zich dan kunnen identificeren en hebben de naam, telefoonnummer van de persoon die op de hoogte is van de geplande afspraak voor het de escaleren van de situatie.

Dat is overigens wel een klassieke fout: de weken voor een audit snel even de tuin aanharken om een audit nog te halen. Je kunt een audit gebruiken als motivatie om je organisatie strak te trekken, maar met schone schijn spelen neem je alleen maar jezelf en je klanten in de maling. Nog even los van dat het neerkomt op fraude, want het is echt geen examen onder het mom van 'gehaald is gehaald'. Neem de kwestie dus serieus en neem ruim de tijd om relevante aanpassingen te doen binnen je organisatie en vooral ook te zorgen dat die aanpassingen duurzaam zijn.

Dit, verder fiets je er doorheen. ISO27001 stelt technisch niet zo veel voor, het is vooral gericht op bedrijfsprocessen.

Dat ligt er maar aan hoeveel van de 114 maatregelen in de bijlage van de norm je al op orde hebt. Meestal is bij een beetje professionele organisatie een groot deel al op orde maar zaken die dat vaak niet zijn, zijn restore testen, pen testen, controle op toegangsrechten, inzicht in wetgeving, inzicht in welke assets men heeft e.d., toch vaak wel tientallen zaken die na de risicoanalyse aandacht nodig hebben.