‘Certificering van cruciaal belang voor informatiebeveiliging’

DNV

“Natuurlijk weet iedere business manager dat informatiebeveiliging van cruciaal belang is voor zijn of haar organisatie”, zegt Rob Jansen, Lead Auditor bij DNV GL - Business Assurance. “Toch lukt het vaak niet om tot een systematische aanpak te komen. Ik denk dat daar misschien nog wel de grootste waarde van een certificering op basis van ISO 27001 en NEN 7510 zit: het ‘dwingt’ een organisatie als het ware om structuur en systematiek aan te brengen in de informatiebeveiliging.”

Een systeem voor informatiebeveiliging opzetten op basis van een formele norm geeft structuur aan de aanpak die een organisatie op het gebied van IT-security toepast, meent Rob Jansen. Hij is werkzaam bij DNV GL. Deze organisatie verzorgt certificering en trainingen op basis van onder andere ISO 27001 en NEN 7510.

Concrete maatregelen

“Deze standaarden zijn heel concreet. Ze geven een reeks van ‘beheersmaatregelen’ aan die de organisatie helpen om grip te krijgen op risico’s”, vertelt Jansen. “Ook helpen deze normen om een goede beoordeling en analyse van deze risico’s tot stand te brengen. Een certificering is hierbij een belangrijk hulpmiddel. Het is het bewijs dat de organisatie over informatiebeveiliging heeft nagedacht en de beheersmaatregelen goed heeft geïmplementeerd. Het certificaat geeft dus aan dat er binnen de organisatie sprake is van een goed functionerend managementsysteem voor informatiebeveiliging. Daarnaast geeft een certificering de organisatie de mogelijkheid om met regelmaat vast te stellen in hoeverre men nog altijd een goede grip op de risico’s heeft.”

Steeds meer organisaties kiezen voor een formele certificering op basis van ISO 27001 en NEN 7510. Toch zien we in de praktijk dat er nog volop vragen bestaan over certificering. Bijvoorbeeld over de kosten, maar ook over de rol die de certificerende instantie nu precies vervult. Beperkt deze organisatie zich puur tot het certificeren? Of geeft men ook advies en helpt men veranderingen door te voeren?

Proactief aanpakken

“Veel business managers zijn zich de afgelopen jaren bewust geworden van het belang van informatiebeveiliging. Een belangrijke reden daarvoor is dat de impact van een security incidenten steeds hoger uitvallen”, legt Jansen uit. “Het is dan ook logisch dat men is gaan nadenken over de vraag hoe men de impact van deze incidenten kan terugdringen. Dan blijkt dat proactief een systeem van informatiebeveiliging opzetten een efficiënte manier van werken is doordat de impact van incidenten sterk kan worden beperkt en als het onverhoopt toch mis gaat, erover nagedacht is hoe men dient te reageren.”

Jansen schaart onder de impact van een beveiligingsincident overigens niet alleen de financiële kosten, zoals uitgaven voor de extra inzet van medewerkers of externe deskundigen en bijvoorbeeld eventuele extra softwarelicenties en hardware. Ook het verlies van intellectual property en reputatieschade spelen een belangrijke rol. De kosten van het opzetten en certificeren van een managementsysteem voor informatiebeveiliging vallen hierbij in het niet, meent hij.

Duidelijke rol

De rol van DNV GL bij het opzetten van dit soort managementsystemen kunnen spelen, is volstrekt duidelijk, zegt Jansen: “Wij beoordelen op verzoek van organisatie de aanpak die men heeft gekozen, evenals de implementatie van de beheersmaatregelen die in ISO 27001 en NEN 7510 zijn gedefinieerd. Geven wij vervolgens een certificaat af, dan betekent dit dat wij hebben vastgesteld dat men voldoet aan de eisen die in de norm zijn vastgelegd.”

Het kan natuurlijk gebeuren dat gedurende dit beoordelingstraject enkele verbeterpunten naar voren komen. In dat geval overhandigen wij deze lijst met aandachtspunten aan de organisatie waarvoor wij de beoordeling hebben gedaan. Het is echter aan die organisatie zelf om deze punten aan te pakken. Dat kunnen zij zelfstandig doen of in samenwerking met een andere partij. Wij als onafhankelijke certificerende instantie spelen hierbij echter geen rol.”

Waarom is accreditatie belangrijk?

In feite mag elke instantie met een onafhankelijke toezichthoudende commissie van deskundigen organisaties toetsen en daarvan een certificaat afgeven. De vraag is wat de waarde is van zo’n toetsing. Accreditatie is belangrijk omdat de Nederlandse Raad voor Accreditatie (RvA) internationaal erkend is als onpartijdig en onafhankelijk toezichthouder van internationale normen, waarbij vooral gelet wordt op de deskundigheid, onpartijdigheid, onafhankelijkheid en verbetercultuur van een certificerende organisatie. DNV GL is bevoegd om het accreditatiemerk op certificaten te hanteren, waardoor de klant - maar ook zijn klanten - het vertrouwen heeft dat de toetsing juist heeft plaats gevonden met het ultieme doel om internationale handel te bevorderen.

Een certificaat op basis van ISO 27001 en NEN 7510 is drie jaar geldig. Hierbij is het wel goed om te weten dat er een maal per jaar een periodieke audit dient te worden gedaan om vast te stellen in hoeverre het managementsysteem voor informatiebeveiliging van de gecertificeerde organisatie nog steeds naar behoren functioneert. “Veel organisaties zijn continu in beweging, waarbij processen veranderen, medewerkers andere taken en verantwoordelijkheden krijgen, noem maar op. Het is daarom goed om periodiek vast te stellen of het managementsysteem nog altijd goed functioneert.”

Certificering helpt bij AVG

DNV GL heeft inmiddels enkele honderden organisaties in Nederland gecertificeerd op basis van ISO 27001 en NEN 7510. Jansen: “In eerste instantie zagen we vooral belangstelling vanuit de ICT-sector zelf. Vaak combineerde men dit met een kwaliteitssysteem op basis van ISO 9001. Inmiddels zien we een sterk toegenomen belangstelling voor certificering in vrijwel iedere branche. Interessant is ook om te zien dat voorheen vaak werd gedacht dat ISO 27001 en NEN 7510 alleen relevant waren voor grote organisaties, tegenwoordig certificeren wij ook steeds meer bedrijven uit het MKB.”

Een laatste punt dat Jansen wil aanstippen, is de relatie tussen ISO 27001 en GDPR ofwel de Algemene Verordening Gegevensbescherming (AVG). “Dat is voor veel organisaties momenteel een belangrijk punt van aandacht. ISO 27001 stelt dat de organisatie moet voldoen aan alle relevante wet- en regelgeving. Dus ook de Algemene Verordening Gegevensbescherming. Een organisatie die zichzelf wil laten certificeren voor een managementsysteem voor informatiebeveiliging zet daarmee dus ook een hele belangrijk stap richting het voldoen aan de wet- en regelgeving omtrent AVG.”

Certificeren in tien stappen

Om tot een certificering op basis van NEN 7510 te komen, doorloopt een organisatie een proces van tien stappen. Interessant genoeg maakt het hierbij niet uit of deze organisatie nu heel klein is (zeg: 10 tot 15 mensen) of juist heel groot. Dit zijn de tien stappen:

  • Stap 1 - Maak kennis met NEN 7510 en ISO 27001
  • Stap 2 - Zorg voor ondersteuning vanuit het management
  • Stap 3 - Bepaal het beleid voor informatiebeveiliging
  • Stap 4 - Stel een methode voor risicobeoordeling vast
  • Stap 5 - Identificeer, analyseer en beoordeel risico’s
  • Stap 6 - Bepaal de beheersmaatregelen en de doelstellingen voor de risicobehandeling
  • Stap 7 - Maak het definitieve implementatieplan
  • Stap 8 - Train de medewerkers en wijs middelen toe
  • Stap 9 - Voer interne audits, beoordelingen en verbeteringen uit
  • Stap 10 - Start een certificeringstraject
Lees ook
Zonder dataclassificatie geen passende informatiebeveiliging

Zonder dataclassificatie geen passende informatiebeveiliging

Eén van de kritische succesfactoren voor informatiebeveiliging, is ervoor zorgen dat deze passend is. Maar wat is passend? Het antwoord op deze vraag wordt, naast de dreigingen en kwetsbaarheden, voor een belangrijk deel bepaald door de classificatie van de informatie. Welke data moet na een calamiteit als eerste weer beschikbaar zijn? Hoe lang ma1

Effectief om gaan met informatiebeveiliging

Effectief om gaan met informatiebeveiliging

Onlangs las ik een onderzoek waarin wordt gesteld dat ouders die veel boeken bezitten over bevallen en opvoeden, de beste ouders zijn. Dan kijk ik naar mijn boekenkast en denk ik: “Kijk, de beste pappa van de wereld!”. Uit de conclusie van het onderzoek blijkt echter dat het helemaal niet uitmaakt welke boeken je hebt of hoe veel. Het gaat om het1

Informatiebeveiliging als business enabler

Informatiebeveiliging als business enabler

In een wereld waarin alles en iedereen met elkaar in verbinding staat, groeit het besef dat het beveiligen van gegevens essentieel is. Snelle, door technologie gedreven, ontwikkelingen als consumerization of IT, mobiele devices, the Internet of Things en cloud computing vragen om gerichte aandacht voor de bescherming van informatie. Daarnaast zorg1