‘Certificering van cruciaal belang voor informatiebeveiliging’

DNV

“Natuurlijk weet iedere business manager dat informatiebeveiliging van cruciaal belang is voor zijn of haar organisatie”, zegt Rob Jansen, Lead Auditor bij DNV GL - Business Assurance. “Toch lukt het vaak niet om tot een systematische aanpak te komen. Ik denk dat daar misschien nog wel de grootste waarde van een certificering op basis van ISO 27001 en NEN 7510 zit: het ‘dwingt’ een organisatie als het ware om structuur en systematiek aan te brengen in de informatiebeveiliging.”

Een systeem voor informatiebeveiliging opzetten op basis van een formele norm geeft structuur aan de aanpak die een organisatie op het gebied van IT-security toepast, meent Rob Jansen. Hij is werkzaam bij DNV GL. Deze organisatie verzorgt certificering en trainingen op basis van onder andere ISO 27001 en NEN 7510.

Concrete maatregelen

“Deze standaarden zijn heel concreet. Ze geven een reeks van ‘beheersmaatregelen’ aan die de organisatie helpen om grip te krijgen op risico’s”, vertelt Jansen. “Ook helpen deze normen om een goede beoordeling en analyse van deze risico’s tot stand te brengen. Een certificering is hierbij een belangrijk hulpmiddel. Het is het bewijs dat de organisatie over informatiebeveiliging heeft nagedacht en de beheersmaatregelen goed heeft geïmplementeerd. Het certificaat geeft dus aan dat er binnen de organisatie sprake is van een goed functionerend managementsysteem voor informatiebeveiliging. Daarnaast geeft een certificering de organisatie de mogelijkheid om met regelmaat vast te stellen in hoeverre men nog altijd een goede grip op de risico’s heeft.”

Steeds meer organisaties kiezen voor een formele certificering op basis van ISO 27001 en NEN 7510. Toch zien we in de praktijk dat er nog volop vragen bestaan over certificering. Bijvoorbeeld over de kosten, maar ook over de rol die de certificerende instantie nu precies vervult. Beperkt deze organisatie zich puur tot het certificeren? Of geeft men ook advies en helpt men veranderingen door te voeren?

Proactief aanpakken

“Veel business managers zijn zich de afgelopen jaren bewust geworden van het belang van informatiebeveiliging. Een belangrijke reden daarvoor is dat de impact van een security incidenten steeds hoger uitvallen”, legt Jansen uit. “Het is dan ook logisch dat men is gaan nadenken over de vraag hoe men de impact van deze incidenten kan terugdringen. Dan blijkt dat proactief een systeem van informatiebeveiliging opzetten een efficiënte manier van werken is doordat de impact van incidenten sterk kan worden beperkt en als het onverhoopt toch mis gaat, erover nagedacht is hoe men dient te reageren.”

Jansen schaart onder de impact van een beveiligingsincident overigens niet alleen de financiële kosten, zoals uitgaven voor de extra inzet van medewerkers of externe deskundigen en bijvoorbeeld eventuele extra softwarelicenties en hardware. Ook het verlies van intellectual property en reputatieschade spelen een belangrijke rol. De kosten van het opzetten en certificeren van een managementsysteem voor informatiebeveiliging vallen hierbij in het niet, meent hij.

Duidelijke rol

De rol van DNV GL bij het opzetten van dit soort managementsystemen kunnen spelen, is volstrekt duidelijk, zegt Jansen: “Wij beoordelen op verzoek van organisatie de aanpak die men heeft gekozen, evenals de implementatie van de beheersmaatregelen die in ISO 27001 en NEN 7510 zijn gedefinieerd. Geven wij vervolgens een certificaat af, dan betekent dit dat wij hebben vastgesteld dat men voldoet aan de eisen die in de norm zijn vastgelegd.”

Het kan natuurlijk gebeuren dat gedurende dit beoordelingstraject enkele verbeterpunten naar voren komen. In dat geval overhandigen wij deze lijst met aandachtspunten aan de organisatie waarvoor wij de beoordeling hebben gedaan. Het is echter aan die organisatie zelf om deze punten aan te pakken. Dat kunnen zij zelfstandig doen of in samenwerking met een andere partij. Wij als onafhankelijke certificerende instantie spelen hierbij echter geen rol.”

Waarom is accreditatie belangrijk?

In feite mag elke instantie met een onafhankelijke toezichthoudende commissie van deskundigen organisaties toetsen en daarvan een certificaat afgeven. De vraag is wat de waarde is van zo’n toetsing. Accreditatie is belangrijk omdat de Nederlandse Raad voor Accreditatie (RvA) internationaal erkend is als onpartijdig en onafhankelijk toezichthouder van internationale normen, waarbij vooral gelet wordt op de deskundigheid, onpartijdigheid, onafhankelijkheid en verbetercultuur van een certificerende organisatie. DNV GL is bevoegd om het accreditatiemerk op certificaten te hanteren, waardoor de klant - maar ook zijn klanten - het vertrouwen heeft dat de toetsing juist heeft plaats gevonden met het ultieme doel om internationale handel te bevorderen.

Een certificaat op basis van ISO 27001 en NEN 7510 is drie jaar geldig. Hierbij is het wel goed om te weten dat er een maal per jaar een periodieke audit dient te worden gedaan om vast te stellen in hoeverre het managementsysteem voor informatiebeveiliging van de gecertificeerde organisatie nog steeds naar behoren functioneert. “Veel organisaties zijn continu in beweging, waarbij processen veranderen, medewerkers andere taken en verantwoordelijkheden krijgen, noem maar op. Het is daarom goed om periodiek vast te stellen of het managementsysteem nog altijd goed functioneert.”

Certificering helpt bij AVG

DNV GL heeft inmiddels enkele honderden organisaties in Nederland gecertificeerd op basis van ISO 27001 en NEN 7510. Jansen: “In eerste instantie zagen we vooral belangstelling vanuit de ICT-sector zelf. Vaak combineerde men dit met een kwaliteitssysteem op basis van ISO 9001. Inmiddels zien we een sterk toegenomen belangstelling voor certificering in vrijwel iedere branche. Interessant is ook om te zien dat voorheen vaak werd gedacht dat ISO 27001 en NEN 7510 alleen relevant waren voor grote organisaties, tegenwoordig certificeren wij ook steeds meer bedrijven uit het MKB.”

Een laatste punt dat Jansen wil aanstippen, is de relatie tussen ISO 27001 en GDPR ofwel de Algemene Verordening Gegevensbescherming (AVG). “Dat is voor veel organisaties momenteel een belangrijk punt van aandacht. ISO 27001 stelt dat de organisatie moet voldoen aan alle relevante wet- en regelgeving. Dus ook de Algemene Verordening Gegevensbescherming. Een organisatie die zichzelf wil laten certificeren voor een managementsysteem voor informatiebeveiliging zet daarmee dus ook een hele belangrijk stap richting het voldoen aan de wet- en regelgeving omtrent AVG.”

Certificeren in tien stappen

Om tot een certificering op basis van NEN 7510 te komen, doorloopt een organisatie een proces van tien stappen. Interessant genoeg maakt het hierbij niet uit of deze organisatie nu heel klein is (zeg: 10 tot 15 mensen) of juist heel groot. Dit zijn de tien stappen:

  • Stap 1 - Maak kennis met NEN 7510 en ISO 27001
  • Stap 2 - Zorg voor ondersteuning vanuit het management
  • Stap 3 - Bepaal het beleid voor informatiebeveiliging
  • Stap 4 - Stel een methode voor risicobeoordeling vast
  • Stap 5 - Identificeer, analyseer en beoordeel risico’s
  • Stap 6 - Bepaal de beheersmaatregelen en de doelstellingen voor de risicobehandeling
  • Stap 7 - Maak het definitieve implementatieplan
  • Stap 8 - Train de medewerkers en wijs middelen toe
  • Stap 9 - Voer interne audits, beoordelingen en verbeteringen uit
  • Stap 10 - Start een certificeringstraject
Lees ook
Omgaan met beveiligingsrisico's? Ga voor een organisatie-brede aanpak

Omgaan met beveiligingsrisico's? Ga voor een organisatie-brede aanpak

Kennis over het brede terrein van informatiebeveiliging is essentieel om risico's te beheersen. Brenno de Winter, Martijn Sprengers en Huibert Bouthoorn vertellen over de fundamentals op securitygebied die iedereen moet weten. Een datalek, DDoS-aanval of ransomware. Het risico om als organisatie te maken te krijgen met een informatiebeveiligingsin1

Herziene NEN-ISO/IEC 27005 helpt het risico van lekken van informatiebeveiliging verkleinen

Herziene NEN-ISO/IEC 27005 helpt het risico van lekken van informatiebeveiliging verkleinen

Nieuwe wetgeving zoals de AVG zet organisaties onder nog grotere druk om ervoor te zorgen dat hun informatie veilig is. Maar het hebben van de meest geschikte technologieën en processen kan een mijnenveld zijn. De onlangs herziene NEN-ISO/IEC 27005:2018 'Information technology - Security techniques - Information security risk management' biedt ric1

ISO 27001 en ISO 27002 overgenomen als Europese normen

ISO 27001 en ISO 27002 overgenomen als Europese normen

De ISO 27001 en ISO 27002, de belangrijkste internationale normen voor informatiebeveiliging, zijn recentelijk overgenomen als Europese normen. Beide normen worden hierdoor in alle Europese landen als nationale norm gepubliceerd en conflicterende nationale normen worden ingetrokken. Inhoudelijk zijn de normen ongewijzigd. ISO 27001 ‘Informatietec1