‘Certificering van cruciaal belang voor informatiebeveiliging’

DNV

“Natuurlijk weet iedere business manager dat informatiebeveiliging van cruciaal belang is voor zijn of haar organisatie”, zegt Rob Jansen, Lead Auditor bij DNV GL - Business Assurance. “Toch lukt het vaak niet om tot een systematische aanpak te komen. Ik denk dat daar misschien nog wel de grootste waarde van een certificering op basis van ISO 27001 en NEN 7510 zit: het ‘dwingt’ een organisatie als het ware om structuur en systematiek aan te brengen in de informatiebeveiliging.”

Een systeem voor informatiebeveiliging opzetten op basis van een formele norm geeft structuur aan de aanpak die een organisatie op het gebied van IT-security toepast, meent Rob Jansen. Hij is werkzaam bij DNV GL. Deze organisatie verzorgt certificering en trainingen op basis van onder andere ISO 27001 en NEN 7510.

Concrete maatregelen

“Deze standaarden zijn heel concreet. Ze geven een reeks van ‘beheersmaatregelen’ aan die de organisatie helpen om grip te krijgen op risico’s”, vertelt Jansen. “Ook helpen deze normen om een goede beoordeling en analyse van deze risico’s tot stand te brengen. Een certificering is hierbij een belangrijk hulpmiddel. Het is het bewijs dat de organisatie over informatiebeveiliging heeft nagedacht en de beheersmaatregelen goed heeft geïmplementeerd. Het certificaat geeft dus aan dat er binnen de organisatie sprake is van een goed functionerend managementsysteem voor informatiebeveiliging. Daarnaast geeft een certificering de organisatie de mogelijkheid om met regelmaat vast te stellen in hoeverre men nog altijd een goede grip op de risico’s heeft.”

Steeds meer organisaties kiezen voor een formele certificering op basis van ISO 27001 en NEN 7510. Toch zien we in de praktijk dat er nog volop vragen bestaan over certificering. Bijvoorbeeld over de kosten, maar ook over de rol die de certificerende instantie nu precies vervult. Beperkt deze organisatie zich puur tot het certificeren? Of geeft men ook advies en helpt men veranderingen door te voeren?

Proactief aanpakken

“Veel business managers zijn zich de afgelopen jaren bewust geworden van het belang van informatiebeveiliging. Een belangrijke reden daarvoor is dat de impact van een security incidenten steeds hoger uitvallen”, legt Jansen uit. “Het is dan ook logisch dat men is gaan nadenken over de vraag hoe men de impact van deze incidenten kan terugdringen. Dan blijkt dat proactief een systeem van informatiebeveiliging opzetten een efficiënte manier van werken is doordat de impact van incidenten sterk kan worden beperkt en als het onverhoopt toch mis gaat, erover nagedacht is hoe men dient te reageren.”

Jansen schaart onder de impact van een beveiligingsincident overigens niet alleen de financiële kosten, zoals uitgaven voor de extra inzet van medewerkers of externe deskundigen en bijvoorbeeld eventuele extra softwarelicenties en hardware. Ook het verlies van intellectual property en reputatieschade spelen een belangrijke rol. De kosten van het opzetten en certificeren van een managementsysteem voor informatiebeveiliging vallen hierbij in het niet, meent hij.

Duidelijke rol

De rol van DNV GL bij het opzetten van dit soort managementsystemen kunnen spelen, is volstrekt duidelijk, zegt Jansen: “Wij beoordelen op verzoek van organisatie de aanpak die men heeft gekozen, evenals de implementatie van de beheersmaatregelen die in ISO 27001 en NEN 7510 zijn gedefinieerd. Geven wij vervolgens een certificaat af, dan betekent dit dat wij hebben vastgesteld dat men voldoet aan de eisen die in de norm zijn vastgelegd.”

Het kan natuurlijk gebeuren dat gedurende dit beoordelingstraject enkele verbeterpunten naar voren komen. In dat geval overhandigen wij deze lijst met aandachtspunten aan de organisatie waarvoor wij de beoordeling hebben gedaan. Het is echter aan die organisatie zelf om deze punten aan te pakken. Dat kunnen zij zelfstandig doen of in samenwerking met een andere partij. Wij als onafhankelijke certificerende instantie spelen hierbij echter geen rol.”

Waarom is accreditatie belangrijk?

In feite mag elke instantie met een onafhankelijke toezichthoudende commissie van deskundigen organisaties toetsen en daarvan een certificaat afgeven. De vraag is wat de waarde is van zo’n toetsing. Accreditatie is belangrijk omdat de Nederlandse Raad voor Accreditatie (RvA) internationaal erkend is als onpartijdig en onafhankelijk toezichthouder van internationale normen, waarbij vooral gelet wordt op de deskundigheid, onpartijdigheid, onafhankelijkheid en verbetercultuur van een certificerende organisatie. DNV GL is bevoegd om het accreditatiemerk op certificaten te hanteren, waardoor de klant - maar ook zijn klanten - het vertrouwen heeft dat de toetsing juist heeft plaats gevonden met het ultieme doel om internationale handel te bevorderen.

Een certificaat op basis van ISO 27001 en NEN 7510 is drie jaar geldig. Hierbij is het wel goed om te weten dat er een maal per jaar een periodieke audit dient te worden gedaan om vast te stellen in hoeverre het managementsysteem voor informatiebeveiliging van de gecertificeerde organisatie nog steeds naar behoren functioneert. “Veel organisaties zijn continu in beweging, waarbij processen veranderen, medewerkers andere taken en verantwoordelijkheden krijgen, noem maar op. Het is daarom goed om periodiek vast te stellen of het managementsysteem nog altijd goed functioneert.”

Certificering helpt bij AVG

DNV GL heeft inmiddels enkele honderden organisaties in Nederland gecertificeerd op basis van ISO 27001 en NEN 7510. Jansen: “In eerste instantie zagen we vooral belangstelling vanuit de ICT-sector zelf. Vaak combineerde men dit met een kwaliteitssysteem op basis van ISO 9001. Inmiddels zien we een sterk toegenomen belangstelling voor certificering in vrijwel iedere branche. Interessant is ook om te zien dat voorheen vaak werd gedacht dat ISO 27001 en NEN 7510 alleen relevant waren voor grote organisaties, tegenwoordig certificeren wij ook steeds meer bedrijven uit het MKB.”

Een laatste punt dat Jansen wil aanstippen, is de relatie tussen ISO 27001 en GDPR ofwel de Algemene Verordening Gegevensbescherming (AVG). “Dat is voor veel organisaties momenteel een belangrijk punt van aandacht. ISO 27001 stelt dat de organisatie moet voldoen aan alle relevante wet- en regelgeving. Dus ook de Algemene Verordening Gegevensbescherming. Een organisatie die zichzelf wil laten certificeren voor een managementsysteem voor informatiebeveiliging zet daarmee dus ook een hele belangrijk stap richting het voldoen aan de wet- en regelgeving omtrent AVG.”

Certificeren in tien stappen

Om tot een certificering op basis van NEN 7510 te komen, doorloopt een organisatie een proces van tien stappen. Interessant genoeg maakt het hierbij niet uit of deze organisatie nu heel klein is (zeg: 10 tot 15 mensen) of juist heel groot. Dit zijn de tien stappen:

  • Stap 1 - Maak kennis met NEN 7510 en ISO 27001
  • Stap 2 - Zorg voor ondersteuning vanuit het management
  • Stap 3 - Bepaal het beleid voor informatiebeveiliging
  • Stap 4 - Stel een methode voor risicobeoordeling vast
  • Stap 5 - Identificeer, analyseer en beoordeel risico’s
  • Stap 6 - Bepaal de beheersmaatregelen en de doelstellingen voor de risicobehandeling
  • Stap 7 - Maak het definitieve implementatieplan
  • Stap 8 - Train de medewerkers en wijs middelen toe
  • Stap 9 - Voer interne audits, beoordelingen en verbeteringen uit
  • Stap 10 - Start een certificeringstraject
Lees ook
Drie maatregelen die organisaties nu al kunnen nemen in voorbereiding op NIS2

Drie maatregelen die organisaties nu al kunnen nemen in voorbereiding op NIS2

De nieuwe Europese cyberveiligheidswet – NIS2 - die op de tekentafel ligt, vereist actie van veel organisaties. De wet creëert een algemene cyberbeveiligingstandaard op Europees niveau voor bedrijven die (in)direct actief zijn in kritieke sectoren en ketens. Dat betekent dat een flink aantal bedrijven onder deze wetgeving zal vallen, terwijl veel1

Herziene versie van NEN-ISO/IEC 27002 gepubliceerd

Herziene versie van NEN-ISO/IEC 27002 gepubliceerd

De herziene versie van NEN-ISO/IEC 27002 'Informatietechnologie - Beveiligingstechnieken - Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging’ is gepubliceerd. De norm is ontwikkeld voor organisaties van elk type en elke omvang om zaken als afpersing, diefstal van gegevens en uitval van ICT-diensten te voorkomen.

Northwave CERT ziet explosieve stijging cyber security incidenten

Northwave CERT ziet explosieve stijging cyber security incidenten

Northwave - specialist in integrale informatiebeveiliging – ziet een explosieve stijging in het aantal serieuze cyber security incidenten. Het Northwave CERT (Computer Emergency Response Team) is erkend door de internationale CERT organisatie en heeft een vergunning van het Ministerie van Veiligheid en Justitie voor digitaal opsporingswerk. North1