HELP!! mijn klanten vragen om een ISO27001 certificaat
Download hier de pdfDe aandacht voor cyber security is de laatste jaren enorm toegenomen. Dit is ook niet meer dan normaal als je kijkt naar de cijfers over cyber aanvallen en datalekken. Waar het vroeger een paar zolderkamer hackers waren waar je voor op moest passen zijn er de afgelopen 15 jaar grote criminele netwerken ontstaan. De schade die wordt veroorzaakt lopen op tot astronomische bedragen. En dit zien je klanten ook, dus worden er steeds hogere eisen gesteld aan het beveiligingsniveau van toeleveranciers. En het eisen van een ISO27001 certificaat is bijna standaard geworden bij middelgrote bedrijven.
Maar hoe begin je hieraan? Hoe zorg je ervoor dat de hoeveelheid tijd en effort die nodig is voor certificering, past bij de doelstellingen van de organisatie? In dit artikel leggen we uit hoe je op een praktische manier een certificeringstraject kan aanvliegen zonder al te veel moeite.
Waarvoor doe je het
Zoals in de inleiding al aangegeven werd, zien wij regelmatig dat organisaties vanuit commerciële motieven een ISO-certificaat willen hebben. Dit is een goed uitgangspunt omdat het een investering in tijd en geld met zich meebrengt en dat er dus baten tegen over de gemaakte kosten moeten staan. Maar in essentie is een ISO-certificering voor jezelf en niet voor je klanten. Het beschermen van de data je organisatie en je klanten is van essentieel belang voor het succes van de organisatie. En hierbij houden we in het achterhoofd dat bij elke maatregel de kosten/baten analyse moet kloppen.
Bepaal de scope
Een belangrijk punt binnen een certificeringstraject is het bepalen van de scope. Wat wil je precies certificeren? Dit is erg afhankelijk van de eerste vraag, “waarvoor doe je het”. Als je alleen maar externe data verwerkt binnen een specifieke dienst, kan je ervoor kiezen om alleen die dienst te certificeren. Let hierbij wel op dat deze scope op je certificaat komt te staan, dus hij is dan ook maar smal toepasbaar. Maar een tegen argument is natuurlijk als je de hele organisatie in scope plaatst, zal hier meer effort in gaan zitten, dus dit moet dan ook wel passen in het kosten/baten plaatje.
Managementsysteem
Als je voorheen jezelf al eens in een ISO-certificering hebt verdiept weet je dat het in de basis een managementsysteem is. Dit is ook wat er gecertificeerd wordt. In essentie is dit managementsysteem gelijk over alle type certificering met wat nuance verschillen. Het gaat er dus om dat je kan aantonen dat er voor het specifieke onderwerp (Informatiebeveiliging, kwaliteit, privacy, etc.) aandacht is vanuit het management. Ook is het belangrijk dat in het geval van ISO27001, je kan aantonen dat er binnen de processen specifiek aandacht is voor informatiebeveiliging en dat dit meetbaar gemaakt wordt. Dat is in feiten de kern van de certificering.
Implementatietraject
Om de kans op certificering reëel te houden, denken wij dat je minimaal 6 maanden nodig hebt om alle zaken op orde te krijgen en voldoende aantoonbaar bewijs te verzamelen van de werking van het managementsysteem. Maar in de praktijk zien we dat organisaties hier meestal een jaar voor uit trekken. Dit geeft wat meer lucht en zorgt ervoor dat je niet te overhaast hoeft te implementeren.
In principe kent het implementatietraject een x aantal stappen, deze zullen we hieronder kort toelichten:
Bepaal je scope:
Dit hebben we al eerder behandeld maar de vuistregel is dat het moet passen op de waarom vraag. Het is belangrijk dat je kan uitleggen waarom deze scope is gekozen, en dat het management deze goed keurt.
Bepaal je context:
Vanuit de scope kan je de context van het managementsysteem bepalen. Denk hier aan de organisatiestructuur, interne en externe belanghebbende en welke wet- en regelgeving er van toepassing is. Dit zal er voor een dienst heel wat anders uit zien dan voor de hele organisatie.
Inventariseer welke informatie belangrijk is:
Om de informatie van de organisatie en/of klanten te kunnen beschermen moet je eerst weten welke informatie er is. Je zal dus moeten inventariseren welke informatie er is. En zodra dit duidelijk is voer je een Business Impact Analyse (BIA) uit. In de BIA bekijk je hoeveel impact een incident met die data voor de organisatie zou hebben. Dit geeft de mogelijkheid om maatregelen te prioriteren op basis van de BIA-score. Vervolgens doe je een kwetsbaarheidsanalyse waarbij je in detail bekijkt hoe groot de kans is op een incident en hoe kwetsbaar de informatie is. Als je de drie eerdergenoemde getallen met elkaar vermenigvuldigd krijg je een risico getal. Ook dit getal gebruik je later om prioriteiten aan te brengen in de verbeter acties.
Zorg voor overlegstructuren:
De iSO27001 normering kent een aantal verplichte overlegstructuren, deze moeten plaats vinden en worden genotuleerd om aan te kunnen tonen dat er aandacht is voor informatiebeveiliging. De agenda van deze overleggen moeten een aantal verplichte onderwerpen bevatten (Incidente, verbeteracties, interne audits, etc.).
Interne Audits:
Zorg dat er een meerjarige planning is voor het intern auditen van de verschillende onderwerpen uit de Annex A (hierover later meer). Er zal ook iemand moeten worden aangesteld als interne auditor en het liefst moet deze onafhankelijk zijn. In kleine organisaties wordt een dubbele pet nog wel toegestaan, maar voorkom dat de slager zijn eigen vlees keurt.
Definieer beveiliging maatregelen:
Hier komt de Annex A om de hoek kijken. De Annex A is een lijst met beveiligingsmaatrelen die je kan toepassen. De ISO27001 geeft alleen de onderwerpen aan en je mag als bedrijf hier zelf invulling aangeven. Maar een verdere uitwerking van deze onderwerpen worden beschreven in ISO27002, genoemd controls. Je mag ook je eigen controls definiëren, maar het is goed om de ISO27002 als leidraad te gebruiken omdat externe auditors de control teksten wel als handvat gebruiken. Het is ook niet verplicht om alle maatregelen uit de Annex A toe te passen maar bij het certificaat zit wel een verklaring van toepasselijkheid, dus als je ze niet toepast wordt dat als onderdeel van het certificaat vermeld.
PDCA
Plan-Do-Check-Act, is het hoofd mantra van ISO27001 (en vele andere), met als doel dat alle maatregelen nu niet perfect hoeven te zijn maar dat je kan aantonen dat je constant probeert te verbeteren. Dit zorgt ervoor dat je een reële en haalbare planning kan opstellen. Niet alles hoeft nu perfect, maar zorg wel voor een plan. Een ander aspect is dat je voortschrijdende inzichten hier ook in moet verwerken. Dus werken de maatregelen niet of onvoldoende, of kost het te veel tijd waardoor het niet haalbaar is, moet dit geïdentificeerd worden en er moet een plan worden opgesteld hoe en wanneer je dit gaat verbeteren.
Conslusie
Dit is in hoofdlijnen hoe je toewerkt naar een ISO27001 certificering, er komen nog wel wat meer details bij kijken, maar dat gaat te ver voor dit blog. Mocht je naar aanleiding hiervan nog vragen hebben neem gerust contact met ons op, zodat we je vragen kunnen beantwoorden.
Download onze ISO 27001 brochure
Alle informatie over een ISO 27001 traject in één handig overzicht? Download de ISO 27001 brochure hieronder.