Een datalek of ander informatiebeveiligingsincident is funest voor iedere organisatie. Niet alleen kan het je organisatie plat leggen, ook kan het behoorlijke schade opleveren aan het imago van je organisatie. Een ISO 2700-implementatietraject en het behalen van de certificering zorgt dat je blijvend kan voldoen aan wet- en regelgeving omtrent informatiebeveiliging en verkleint bovendien de kans op financiële en reputatieschade.
Met de continue groei van online apparaten en toename van gegevensdeling, stijgt het belang van informatieveiligheid. Het dreigingenlandschap is blijvend divers en bevat dreigingen op menselijk, organisatorisch en technisch vlak, zie bijvoorbeeld de analyse van ENISA. Een gecontroleerd proces, is nodig om risico’s te identificeren en “passende” maatregelen te implementeren. Certificering is niet per se een doel, maar voor veel organisaties een musthave bij de acquisitie van nieuwe klanten; ze kunnen immers aantonen dat gevoelige informatie en vertrouwelijke gegevens veilig zijn binnen hun organisatie.
Wat is een ISO 27001-certificering?
ISO 27001 is een internationale norm/standaard voor informatiebeveiliging en is de standaard geworden waar ook andere normen uit putten. Deze norm beschrijft aan welke vereisten een managementsysteem voor informatiebeveiliging van organisaties moet voldoen (het ‘ISMS’) en de bijlage A voorziet in techniek neutrale normen om feitelijke risico’s te verlagen. Daarmee beschrijft de ISO 27001 vooral richtlijnen voor het procesmatige beheersen van risico’s. Er zitten veel voordelen aan de implementatie van de ISO 27001. Bijvoorbeeld:
- Je organisatie kan (aantoonbaar) aan wet- en regelgeving op het gebied van informatiebeveiliging voldoen.
- De kans op beveiligingsincidenten is lager en als ze onverhoopt tóch plaatsvinden, is bekend wat er is gedaan om ze te voorkomen of sneller op te lossen.
- Een ISO 27001-certificering zorgt niet alleen extern, maar ook intern voor vertrouwen. Ook medewerkers kunnen er van uitgaan dat de organisatie waar ze voor werken vertrouwelijk omgaat met hun persoonsgegevens.
- Je bespaart kosten; de investering in ISO 27001 is veel lager dan de kosten die een datalek of ander informatiebeveiligingsincident met zich meebrengt.
- Het vergroot het bewustzijn van medewerkers, doordat jaarlijks wordt getoetst of je organisatie nog voldoet aan de ISO 27001-normeisen. Dit regelmatige beoordelingsproces helpt om de informatiebeveiliging van je organisatie op peil te houden en continu te verbeteren. Niet in de laatste plaats bij de leidinggevenden van de organisatie.
- Een ISO-certificering draagt bij aan verbeterde interne processen en bevat een grote component die uw informatiehuishouding in kaart brengt. Om te voldoen aan de ISO 27001-norm, beschrijf je als organisatie de processen en procedures binnen je organisatie waaronder de gegevensstromen.
Proces ISO 27001-certificering
Een ISO 27001-implementatietraject ziet er op hoofdlijnen als volgt uit:
- Met behulp van een Contextanalyse en Business Impact Analyse (BIA) bepaal je de scope van het project.
- Daarna volgt een risicoanalyse om te bepalen welke risico’s je loopt en welke normen van toepassing zijn.
- Daarna volgt in de regel een nulmeting en op basis van de resultaten een verbeterplan.
- Na de implementatie van de noodzakelijke verbeteringen is het raadzaam een proefbeoordeling uit te voeren, om te bepalen of je organisatie klaar is voor de eindbeoordeling door een externe, onafhankelijke auditor.
- Zijn de uitkomsten van de proefbeoordeling positief? Dan komt een externe, onafhankelijke auditor langs voor een eindoordeel. Dit gaat in twee fases: fase 1 gaat in op uw ISMS (het proces) en fase 2 gaat in op de feitelijke maatregelen die zijn getroffen. De externe auditor bepaalt of je organisatie voldoet aan alle vereisten.
Bij een positieve beoordeling ontvang je als organisatie(onderdeel) een ISO 27001-certificaat. Dit certificaat is drie jaar geldig, waarna een nieuwe audit volgt voor een eventuele verlenging. Ook komt er jaarlijks een auditor langs voor een tussentijds oordeel op noodzakelijke verbeteringen.
Qbit-tips
De adviseurs van Eurofins Cyber Security Nederland (Qbit) hebben jarenlange ervaring met het implementeren van ISO 27001. Een aantal van deze tips delen ze graag.
Tip 1: Begin bij het begin
Het klinkt als een dooddoener en toch zien we het in de praktijk nog wel eens misgaan: een goed begin is het halve werk. Een ISO 27001 implementatietraject begint bij een goede contextanalyse, waarbij je de scope van het project bepaald.
Tip 2: Gebruik een tool
Om het overzicht te houden in het traject, helpt het om een tool in te zetten. Dat kan een innovatief softwareprogramma zijn, maar ook een simpele Excel sheet kan prima volstaan. De belangrijkste voorwaarde is dat de tool past bij jouw organisatie en dat de tool jouw organisatie helpt de risico’s te beheren, maatregelen te koppelen en documenten (inclusief versiebeheer!) te beheren.
Tip 3: Zorg dat iedereen geïnformeerd is
Informatiebeveiliging is een zaak van iedereen; niet alleen van de security-officer of de projectmanager. Het is dan ook van belang dat iedereen in de organisatie goed geïnformeerd is over de werkwijzen en dat sleutelfiguren binnen de organisatie goed weten uit te leggen hoe de organisatie met verbeterpunten omgaat. Betrek de directie actief bij de beoordeling; ook zij worden als stakeholder geïnterviewd door de auditor en moeten over voldoende kennis en ervaring beschikken om gemaakte keuzes uit te kunnen leggen.
Tip4: Het behalen van de ISO-certificering is een startpunt
Je organisatie is een ‘beëdigde leerling’. Het proces moet daarna doorlopen, anders worden dreigingen alsnog niet tijdig ondervangen.
Dit artikel is gesponsored door Qbit (onderdeel Eurofins Cyber Security Nederland).