Nulmeting en gap-analyse bij ISO 27001
Een nulmeting en gap-analyse zijn de eerste stappen om je voor te bereiden op ISO 27001 . Je brengt in kaart waar je nu staat en wat er nog mist ten opzichte van de norm. Het verschil: een nulmeting beschrijft je huidige situatie, een gap-analyse legt die naast de eisen van de norm en benoemt de gaten. De norm zelf is verkrijgbaar via NEN . Wil je het hele traject zien? Bekijk het stappenplan.
Deze stap voorkomt verrassingen. Je weet vooraf hoeveel werk er ligt, wat je al goed doet, en waar je budget en tijd naartoe gaan.
Wat is het verschil tussen een nulmeting en een gap-analyse?
De begrippen worden door elkaar gebruikt, maar er zit een logisch verschil tussen.
| Onderdeel | Wat het is | Resultaat |
|---|---|---|
| Nulmeting | Een foto van je huidige informatiebeveiliging | Overzicht van wat je nu hebt |
| Gap-analyse | Die foto vergelijken met de eisen van ISO 27001 | Lijst met gaten en acties |
In de praktijk doe je beide in één traject. Eerst de nulmeting (wat is er?), dan de gap-analyse (wat mist er?). Een installatiebedrijf dat al firewalls, back-ups en een wachtwoordbeleid heeft, ontdekt zo vaak dat de maatregelen er wel zijn, maar de documentatie en systematiek ontbreken.
De stappen van een gap-analyse
Je kunt een gap-analyse zelf doen met de norm in de hand, of een externe adviseur inschakelen voor een frisse blik. Beide kan; bij een eerste certificering helpt ervaring.
- Verzamel je huidige documentatie en maatregelen. Beleid, procedures, technische instellingen.
- Loop de eisen uit hoofdstuk 4-10 langs. Voldoe je al, deels, of niet?
- Bekijk de 93 Annex A maatregelen. Welke heb je al, soms zonder het zo te noemen?
- Noteer de gaten en hun impact. Wat ontbreekt, en hoe belangrijk is het?
- Prioriteer op basis van risico. Begin met de gaten die het meeste risico afdekken.
Checklist per hoofdstuk (4 tot 10)
ISO 27001 bestaat uit de managementeisen in hoofdstuk 4 tot en met 10. De tabel geeft per hoofdstuk waar je tijdens de gap-analyse naar kijkt. Een uitgebreide uitleg per hoofdstuk staat op eisen van de norm.
| Hoofdstuk | Wat je controleert |
|---|---|
| 4. Context | Ken je je belanghebbenden en is de scope van het ISMS bepaald? |
| 5. Leiderschap | Is de directie betrokken en is er een informatiebeveiligingsbeleid? |
| 6. Planning | Is er een risicobeoordeling en een SoA? |
| 7. Ondersteuning | Zijn middelen, competenties, bewustzijn en documentatie geregeld? |
| 8. Uitvoering | Worden de gekozen maatregelen daadwerkelijk uitgevoerd? |
| 9. Evaluatie | Doe je metingen, interne audits en directiebeoordeling? |
| 10. Verbetering | Pak je afwijkingen aan en verbeter je continu? |
Wat doe je met de uitkomst?
De gap-analyse levert een geprioriteerde actielijst op. Die lijst is je projectplan. Per gat bepaal je wie eigenaar is, wat de actie is en wanneer het klaar moet zijn.
De grootste gaten zitten meestal niet in de techniek, maar in documentatie, eigenaarschap en de risicoanalyse. Begin daar. Daarna stroomt het traject door naar het opbouwen van je ISMS en uiteindelijk de certificeringsaudit.
Ben je een klein bedrijf? Lees hoe je het traject betaalbaar houdt op ISO 27001 voor een klein bedrijf.
Meer informatie
- Stappenplan – Van nul naar certificaat
- Scope bepalen – Hoe baken je het toepassingsgebied af voordat je begint?
- Eisen van de norm – Alle hoofdstukken uitgelegd
- Risicoanalyse – Het fundament van je ISMS
- Het ISMS – Het hart van ISO 27001
- Kosten en tijdlijn – Wat kost certificering?