Naam

Voornaam Achternaam

Email

example@example.com

Datum

Zijn de interne en externe kwesties die relevant zijn t.a.v. het ISMS, en die invloed ervan op de verwachte uitkomst, vastgesteld?*

De organisatie en haar context

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Heeft de organisatie bepaald welke belanghebbende, relevante partijen er zijn in relatie tot het ISMS?*

Behoeften en verwachtingen van de betrokken partijen

Zijn de eisen (inclusief de wettelijke, reglementaire en contractuele vereisten) van deze belanghebbenden vastgesteld?*

Behoeften en verwachtingen van de betrokken partijen

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Zijn, rekening houdend met de interne en externe kwesties die voor het ISMS relevant zijn en de eisen van de betrokken partijen en de interfaces en afhankelijkheden met andere organisatie, de grenzen en de toepasbaarheid van het ISMS vastgesteld om zodanig de scope/toepassingsgebied ervan te bepalen?*

Scope van het informatie security management systeem

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Wordt het toepassingsgebied/scope van het ISMS gedocumenteerd?*

Scope van het informatie security management systeem

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Wordt het belang van het ISMS door het leiderschap van de organisatie getoond door:*

Vaststelling van het informatiebeveiligingsbeleid en doelstellingen, rekening houdend met de strategische richting van de organisatie en gericht op het continue bevorderen van verbetering? Zorgdragen voor de integratie van de ISMS-benodigdheden in de bedrijfsprocessen? Zorgdragen dat er mensen en middelen beschikbaar zijn t.b.v. het ISMS en het sturen en stimulerend ondersteunen van personen, inclusief management, die bijdragen aan de doeltreffendheid ervan? Communiceren over de belangrijkheid van een effectieve informatiebeveiliging en conformiteit aan de eisen/voor- waarden van het ISMS?

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Is er een adequaat informatiebeveiligingsbeleid geïmplementeerd dat een kader geeft voor het bepalen van de doelstellingen dat passend is t.a.v. de eisen voor informatiebeveiliging en het mogelijk maakt om continue te verbeteren?*

Informatiebeveiligingsbeleid

Wordt het beleid gedocumenteerd en gecommuniceerd naar medewerkers en relevante belanghebbenden?*

Informatiebeveiligingsbeleid

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Zijn de rollen binnen het ISMS duidelijk gedefinieerd en gecommuniceerd?*

Rollen en verantwoordelijkheden

Worden de verantwoordelijkheden en bevoegdheden toe- gewezen m.b.t. de conformiteit en rapportage over de werking en uitkomsten van het ISMS?*

Rollen en verantwoordelijkheden

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Zijn interne en externe kwesties en de eisen van betrokken partijen doorgesproken om de zodanig de risico’s en kansen te bepalen die moeten worden aangepakt, ongewenste effecten te voorkomen of verminderen en om ervoor te zorgen dat het ISMS beoogde doelen kan behalen alsmede dat er continue verbetering kan worden bereikt?*

Risico’s en kansen rondom implementatie van het ISMS

Zijn activiteiten om risico’s en kansen aan te pakken, ingepland en geïntegreerd in de ISMS processen en worden deze beoordeeld op effectiviteit?*

Risico’s en kansen rondom implementatie van het ISMS

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Is er een proces gedefinieerd voor risico analyse op informatiebeveiliging dat de criteria stelt voor het uitvoeren van een risico analyse op informatiebeveiliging, met inbegrip van risicoacceptatie criteria?*

Risico analyse informatiebeveiliging

Is het proces voor risico analyse op informatiebeveiliging herhaalbaar en levert het consistente, valide en vergelijkbare resultaten op?*

Risico analyse informatiebeveiliging

Identificeert het proces voor risico analyse op informatie- beveiliging de risico’s die verband houden met het verlies van vertrouwelijkheid, integriteit en beschikbaarheid van informatie in het kader van het ISMS en worden de risico- eigenaren geïdentificeerd?*

Risico analyse informatiebeveiliging

Zijn informatiebeveiligingsrisico’s geanalyseerd om de realistische waarschijnlijkheid te kunnen boordelen waarop deze zouden plaatsvinden alsmede de daarbij mogelijke gevolgen die daaruit zouden voortvloeien (als deze risico’s zich voordoen) en zijn de mate van risico daarvoor vastgesteld?*

Risico analyse informatiebeveiliging

Zijn de informatiebeveiligingsrisico’s vergeleken met de vastgestelde risicocriteria en geprioriteerd?*

Risico analyse informatiebeveiliging

Is gedocumenteerde informatie over de het informatie- beveiligingsrisicoanalyse proces beschikbaar?*

Risico analyse informatiebeveiliging

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Is er een Informatiebeveiligingsrisico beheersingsproces om passende risicobeheersingsmaatregelen te kunnen selecte- ren voor de uitkomsten van de informatiebeveiligings- risicoanalyse? En zijn er maatregelen vastgesteld waarmee de risicobeheersingsmaatregel die gekozen wordt geïmplementeerd kan worden?*

Informatiebeveiligingsrisico beheersing

Zijn de beheersmaatregelen die zijn vastgesteld, vergeleken met de maatregelen in ISO / IEC 27001: 2013 bijlage A om ervoor te zorgen dat er geen noodzakelijke maatregelen zijn vergeten?*

Informatiebeveiligingsrisico beheersing

Is er een Verklaring van Toepasselijkheid aanwezig waarin staat verklaard waarom de in bijlage A genoemde maatregelen zijn uitgesloten of geïncludeerd en alsmede de status van de beheermaatregel?*

Informatiebeveiligingsrisico beheersing

Is een informatiebeveiligingsrisico beheerplan opgesteld en goedgekeurd door de risico-eigenaren? En zijn de resterende informatiebeveiligingsrisico’s door de risico-eigenaren geautoriseerd?*

Informatiebeveiligingsrisico beheersing

Is gedocumenteerde informatie over het beheerproces t.a.v. informatiebeveiligingsrisico’s beschikbaar?*

Informatiebeveiligingsrisico beheersing

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Zijn meetbare ISMS-doelstellingen en -streefcijfers vastgesteld, gedocumenteerd en gecommuniceerd binnen de gehele organisatie?*

Informatiebeveiligingsdoelstellingen en implementatieproces

Heeft de organisatie, bij het vaststellen van de doelstellingen, bepaald wat er moet gebeuren, wanneer en door wie?*

Informatiebeveiligingsdoelstellingen en implementatieproces

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Heeft informatie security management voldoende mensen en middelen tot zijn beschikking?*

ISMS-middelen en –bevoegdheden

Is voor het bepalen van de mate van geschiktheid voor een rol binnen het ISMS een proces gedefinieerd en gedocumenteerd?*

ISMS-middelen en –bevoegdheden

Zijn de personen van de onderneming die een rol hebben binnen het ISMS geschikt bevonden voor deze rol en worden competenties adequaat gedocumenteerd?*

ISMS-middelen en –bevoegdheden

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Is iedereen binnen de organisatie zich bewust van het belang van informatiebeveiligingsbeleid, hun bijdrage aan de effectiviteit van het ISMS en de gevolgen van het niet voldoen aan de beveiligingseisen?*

Bewustwording en communicatie

Heeft de organisatie de behoefte bepaald van interne en externe communicatie in relatie tot het ISMS, het communicatieproces met inbegrip van wat te communiceren, wanneer, met wie en door wie?*

Bewustwording en communicatie

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Heeft de organisatie bepaald welke documenten er nodig zijn voor het effectief werken van het ISMS?*

Documentatie

Is die documentatie beschikbaar, in de juiste format opgesteld, beoordeeld en goedgekeurd bevonden?*

Documentatie

Wordt de gedocumenteerde informatie zodanig beheerd dat het beschikbaar is, voldoende beschermd, gedistribueerd, opgeslagen, bewaard en worden de versies en wijzigingen bijgehouden?*

Documentatie

En geldt dit ook voor de documenten die afkomstig zijn van derden die vereist zijn voor het ISMS van de organisatie?*

Documentatie

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Is er een programma ontwikkeld en geïmplementeerd dat ervoor zorgt dat het ISMS de uitkomsten, eisen en doelstellingen behaalt?*

Operationele planning en control

Wordt gedocumenteerd bewijs bewaard om aan te tonen dat processen zijn uitgevoerd zoals gepland?*

Operationele planning en control

Worden aanpassingen gepland en beheerd? En worden onvoorziene aanpassingen achteraf beoordeeld om eventuele negatieve resultaten te beperken?*

Operationele planning en control

Zijn processen m.b.t. uitbesteding geïmplementeerd en worden deze gecontroleerd?*

Operationele planning en control

Worden informatiebeveiligingsrisicoanalyses met geplande tussenpozen uitgevoerd? En worden deze ook uitgevoerd als er significante aanpassingen hebben plaatsgevonden? En wordt gedocumenteerde informatie hieromtrent bewaard?*

Operationele planning en control

Zijn informatiebeveiliging risicobeheersing maatregelen geïmplementeerd en wordt gedocumenteerde informatie hieromtrent bewaard?*

Operationele planning en control

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Worden de uitkomsten van de informatiebeveiliging en de effectiviteit van het ISMS geëvalueerd?*

Monitoring, meten en evalueren

Is er vastgesteld wat er moet worden gecontroleerd en gemeten, wanneer, door wie, door middel van welke methoden en wanneer de resultaten moeten worden geëvalueerd?*

Monitoring, meten en evalueren

Wordt als bewijs van de resultaten van de monitoring en meting gedocumenteerde informatie bewaard?*

Monitoring, meten en evalueren

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Worden interne audits om te controleren of het ISMS is effectief en voldoet aan zowel de ISO / IEC 27001: 2013 en de eisen van de organisatie, periodiek uitgevoerd?*

Interne audit

Zijn de audits uitgevoerd door middel van een degelijke methode en in overeenstemming met een auditprogramma op basis van de resultaten van risicobeoordelingen en eerdere controles?*

Interne audit

Worden de resultaten van de audits aan het management gerapporteerd; en wordt documentatie over het auditprogramma en de behaalde resultaten van de audit bewaard?*

Interne audit

Zijn eventueel geïdentificeerde afwijkingen onderworpen aan corrigerende maatregelen*

Interne audit

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Voert het topmanagement een periodiek herziening van het ISMS uit?*

Beoordeling door de directie

Geeft de output van het ISMS management review, veranderingen en verbeteringen aan?*

Beoordeling door de directie

Worden de resultaten van het management review gedocumenteerd, opgevolgd en gecommuniceerd aan betreffende benodigde partijen?*

Beoordeling door de directie

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Zijn activiteiten om te beheersen, controleren, corrigeren en omgaan met de gevolgen van afwijkingen op de norm geïdentificeerd?*

Corrigerende actie en continue verbetering

Is de set van corrigerende maatregelen geëvalueerd die de oorzaak aanpakt van afwijkingen om deze te elimineren en herhaling te voorkomen?*

Corrigerende actie en continue verbetering

Zijn alle geïdentificeerde acties geïmplementeerd, beoordeeld op effectiviteit en hebben ze aanleiding gegeven tot verbeteringen aan het ISMS?*

Corrigerende actie en continue verbetering

Is documentatie bewaard als bewijs van de aard van de afwijkingen de genomen acties en de resultaten?*

Corrigerende actie en continue verbetering

Status binnen de organisatie*

Gebruik de keuzelijsten in de kolom 'Status'

Zijn informatiebeveiligingsbeleidstukken die invoer bieden aan het beheermanagement gedefinieerd en worden deze regelmatig herzien?*