Opzet van een toolkit voor ISO 27001 (deel 1)

Binnen onze organisatie is certificering voor ISO 27001 (en daaraan gekoppeld NEN 7510) een speerpunt. Dit jaar heb ik de parttime rol van Security Officer mogen overnemen. Een boeiende uitdaging. Eerste prioriteit: het opzetten van een toolkit om structuur aan te brengen in de documentatie en werkzaamheden. In deze reeks neem ik jullie graag mee in dit proces!

Op dit moment hebben wij in verschillende mappen een grote hoeveelheid bestanden, die onderling verschillen in status. Diverse Excelbestanden vormen daarbij de lijm tussen al deze verschillende bestanden. Deze structuur heeft een aantal nadelen:

  • Bij wijzigingen in bestanden moeten veel verwijzingen handmatig worden aangepast
  • Het is lastig om snel inzicht te krijgen in de werkzaamheden per functie
  • Op verschillende plekken is globaal dezelfde informatie opgenomen
  • Versiebeheer en bijhouden van de status van bestanden is een probleem

Daar komt bij dat het voor een nieuwe Security Officer lastig is om een dergelijk systeem van iemand over te nemen. Iedereen heeft zijn eigen logica voor bijvoorbeeld de naamgeving van bestanden, een mappenstructuur, gebruik van kleuren etc. Al met al genoeg reden om te kijken naar een bepaalde mate van standaardisatie. Dit gaan we doen in de vorm van het opzetten van een toolkit.

In de markt zijn al verschillende toolkits beschikbaar. Het ligt wellicht voor de hand om deze te gebruiken, maar in de praktijk stuit je hierbij toch vaak op problemen en beperkingen. Bovendien zie ik het als een interessante manier om meer kennis op te doen over ISO en de onderliggende structuur en verwevenheid van documenten en activiteiten.

Het begint allemaal met modelleren. Een analyse van de huidige manier van werken leverde een eerste globaal model op. Deze heb ik in SQL Server vervolgens uitgebouwd naar een tabelstructuur met onderliggende relaties. Dit is nog geen definitieve structuur, maar zet al wel de lijnen uit. Dit globale model zou je een domeinmodel kunnen noemen. In de praktijk zal dit de basis vormen waarbij ik stap voor stap onderdelen meer in detail ga uitwerken.

Deze detaillering ga ik eerst toepassen op de onderliggende normen zelf, dus ISO 27001, NEN 7510 en daaraan gekoppeld relevante AVG regelgeving. Dit levert de volgende tabelstructuur op voor dit onderdeel:

tabel toelichting voorbeeld
norm de betreffende normering ISO 27001
norm_hoofdstuk de hoofdstukken en alinea's per norm A.11 Fysieke en omgevingsbeveiliging
norm_inhoud de norm artikelen A.11.1.6 Laad- en loslocatie
norm_bewijs bewijs documenten voor artikel Bijlage 1 Operationele planning v3.2.xls
norm_bewijs_type type bewijs Stamtabel: link (URL) of bestand

Deze tabellen zijn onderling met elkaar verbonden via de volgende structuur:

Zoals je kunt zien is in de tabel norm_hoofdstuk een nho_nho_id beschikbaar. Dit is een verwijzing naar de eigen tabel, zodat er een structuur van meerdere lagen diep kan worden opgenomen, ook wel een recursieve opbouw genoemd. Denk hierbij aan een structuur als volgt:

  • 6
  • 6.1
  • 6.1.1

Op basis van deze tabelstructuur ben ik de inhoud van de stamtabellen gaan toevoegen (norm, norm_hoofdstuk, norm_inhoud en norm_bewijs_type). De eerstvolgende stap is om een applicatiestructuur neer te zetten waarmee deze eerste set tabellen ontsloten gaat worden. Meer hierover in het volgende artikel!

Over mij

Mijn naam is Marcel van Langen. Ik ben werkzaam als freelancer. Een harde en eerlijke werker, met een passie voor doelgerichte oplossingen. Ik voer al jaren mooie klussen uit voor geweldige klanten. Mijn technische specialisaties zijn het Thinkwise platform, SQL Server en ColdFusion development.

Lees verder...
Diensten