Hoofdstuk 9.1 van de ISO 27001 norm schrijft voor dat de organisatie haar informatiebeveiligingsprestaties en de effectiviteit van het Information Security Management System (ISMS) dient te evalueren. Waarom de organisatie diens ISMS prestaties en effectieve implementatie van het ISMS in kaart zou moeten brengen laat zich vrij eenvoudig raden, het geeft namelijk antwoord op de vragen: is de organisatie in staat diens ISMS doelstellingen te realiseren, en waar zitten afwijkingen of zorgpunten welke geadresseerd dienen te worden?
Dit geeft de directie sturingsinformatie om de juiste beslissingen te kunnen nemen, teneinde het ISMS geschikt, adequaat en doeltreffend te houden (ISO 27001, H 9.3) en daarmee te komen tot continue verbetering (ISO 27001, H 10.2). Bijkomend voordeel is dat het de directie de mogelijkheid geeft om bepaalde verantwoordelijkheden te delegeren en bewustwording hieromtrent blijvend bij relevante medewerkers onder de aandacht houdt. Denk hierbij aan de invulling van processen, maatregelen of beleidsonderwerpen. Deze blog geeft u de handvatten om invulling te geven aan de normvereisten van hoofdstuk 9.1 om zo de informatiebeveiligingsprestaties en de effectiviteit van het ISMS te evalueren. Let wel: dit is een mogelijke invulling van de vereisten en dus niet de enige mogelijke invulling.
ISMS & PDCA-cyclus
De besturing van een ISMS laat zich eenvoudig onderverdelen in de PDCA-cyclus van Deming. Het komt waarschijnlijk niet als een verrassing dat het monitoren en meten van prestaties in de Check-fase komt van de ISMS besturing. Men kan deze PDCA-cyclus echter ook separaat loslaten op het monitoren en meten van het ISMS.
Plan
- Identificeer de informatiebehoeften van de organisatie (en diens belanghebbenden). Geef antwoord op de vraag: wat vinden we belangrijk om te weten? Let wel: rekening houdend met de strategische richting van de organisatie, ISMS doelstellingen, huidige risicolijst en -behandelplannen, beleid (en ondersteunende processen en beheersmaatregelen).
- Stem af welke informatiebehoeften prioriteit hebben en formuleer sturingsmechanismen (KPI’s) en inventariseer hoe deze meetbaar te maken. Conform de omschrijving van de normvereiste (ISO 27001, H 9.1), onderkend de norm in principe 2 type metingen welke zich hiervoor laten lenen:
- Prestatiemetingen: doet de organisatie wat er gepland of afgesproken is?; en
- Effectiviteitsmetingen: leveren de activiteiten het gewenste resultaat op?
Mogelijk is er al een heleboel relevante informatie voorhanden op basis van bestaande rapportageverplichtingen vanuit Service Level Agreements, periodieke accountantscontroles, MT- overleggen.
Tips:
- Formuleer meetmethodes welke begrijpelijk zijn en reproduceerbare resultaten kunnen opleveren
- Waar mogelijk: automatiseer de metingen en rapportage.
- Zorg dat de scope van de meting aansluit bij de informatiebehoefte.
- Stem een rapportageprocedure af.
- Via welk format dient er gerapporteerd te worden?
- Wie is voor welke KPI verantwoordelijk?
- Hoe frequent gaan we (waarover) rapporteren?
Do
Laat verantwoordelijke functionarissen op afgesproken momenten of binnen een afgesproken tijdsbestek de rapportage invullen via het vastgestelde format. Voorbeeld:
|
Rapportage-Component
|
Betekenis/Omschrijving
|
|
ISMS doelstelling
|
Op welke ISMS doelstelling heeft deze KPI betrekking?
|
|
Informatiebehoefte
|
Wat willen we weten? Wat is het doel van de meting?
|
|
KPI ID & Omschrijving
|
Wat gaan we meten?
|
|
Verantwoordelijke functionaris
|
Wie is verantwoordelijk voor de rapportage van deze KPI?
|
|
Informatiebron
|
Welke informatiebron gebruiken we als input voor de meting?
|
|
Meetmethode
|
Hoe berekenen we de KPI score? Wat is de formule?
|
|
Meetfrequentie
|
Hoe vaak gaan we meten?
|
|
Target
|
Wat dient het resultaat van de meting minimaal te zijn?
|
|
Score Meting
|
Wat is het resultaat van deze meting?
|
|
Analyse
|
Hoe is dit resultaat tot stand gekomen? Welke trend kan men zien?
|
|
Evaluatie
|
Wat dient er te gebeuren om bij te sturen?
|
Enkele voorbeeld KPI’s:
ISMS
- Prestatie: percentage medewerkers deelname aan awareness trainingen
- Effectiviteit: gemiddelde score medewerkers awareness training
Annex A Controls:
- Prestatie: percentage personeelsmutaties welke correct geborgd zijn
- Effectiviteit: aantal wijzigingen met onverwachte beschikbaarheidsincidenten tot gevolg
Check
Het is belangrijk dat er één functionaris of functiegroep verantwoordelijk is om het rapportageproces te begeleiden, samen te brengen tot één sluitende rapportage en te rapporteren aan de directie.
Voorzie de directie van een samenvattende analyse van:
- De voornaamste bevindingen en diens achterliggende oorzaken;
- De voornaamste trends;
- Wat er nodig is om de KPI’s (of zelfs ISMS doelstelling) toekomstig wel of in hogere mate te realiseren.
Act
Of het nu in de directiebeoordeling gebeurt of eerder, de directie dient beslissingen te nemen over de resultaten van de rapportage en dus, waar nodig, verbeteracties te formuleren. Hiermee wordt het ISMS geschikt, adequaat en doeltreffend gehouden (ISO 27001, H 9.3) om daarmee te komen tot aantoonbare continue verbetering (ISO 27001, H 10.2).
