Informatiebeveiliging wordt een steeds belangrijker onderwerp, ook voor je klanten en relaties. Zij willen dan ook graag zeker weten dat dit goed geregeld is en dat ze geen risico lopen. Met het ISO 27001-certificaat kun je aantonen dat je een goed managementsysteem hebt en de risico’s beheerst. Maar voor je het certificaat krijgt, moet je een certificeringstraject in. Hoe ziet dat traject eruit?
Voordat het traject begint, moet je als bedrijf een intakeformulier invullen. Op dat formulier staat onder meer hoeveel FTE je hebt, welke processen zijn er binnen de organisatie, wat je zelf doet en welke IT-zaken e uitbesteed hebt. Daar komt dan het aantal audit-dagen uit, die nodig zijn om een goede audit uit te voeren.
Managementsysteem
De audit zelf wordt in twee delen geknipt. Tijdens de eerste audit – vaak Stage 1 genoemd – wordt gekeken de naar de prestatie van het managementsysteem, vertelt directeur Marco Bijl van DigiTrust. Daarbij wordt onder meer gekeken naar je informatiebeveiligingsbeleid, de risicobeoordeling en behandeling, alle gedocumenteerde informatie, de jaarplanning, KPI’s, directiebeoordeling en interne audits.
Dit blijkt vaak de fase waar de meeste moeite mee is, aldus Bijl. “Als het misgaat bij een IT-bedrijf, dan gaat het altijd fout bij het managementsysteem. Dat is iets wat vaak lastig wordt gevonden om te begrijpen.”
Mochten hier problemen gevonden worden, dan betekent dit niet direct dat het traject wordt stopgezet. “Vaak zijn die problemen op te lossen voordat fase 2 drie weken later van start gaat.”
Technische beheersmaatregelen
De tweede audit (Stage 2) begint altijd met het bespreken van de problemen uit fase 1. Vaak heeft de organisatie nog wat aanpassingen aan het managementsysteem gedaan. Deze worden dan nogmaals beoordeeld door de auditor.
Daarna start officieel het tweede deel van de audit. Deze blijkt vaak een stuk eenvoudiger voor de meeste bedrijven. Hierin wordt gekeken naar de technische beheersmaatregelen. “Dit onderdeel bestaat uit dertien hoofdstukken, die ieder een ander onderdeel van de beheersmaatregelen omvatten.”
Denk daarbij aan regels met betrekking tot bedrijfsmiddelen, awareness, toegangsrechten, cryptografie, je kantoor, malware, veilig ontwikkelen, back-up, leveranciers en hoe je omgaat met beveiligingsincidenten.
Certificaat
Het uiteindelijke certificaat wordt pas uitgereikt als blijkt dat alles uit de eerste en tweede fases in orde is. “Aan het einde van iedere fase maken we een auditrapport. Vervolgens moet de klant nog enkele documenten aanleveren, zodat het een compleet dossier wordt. Dit dossier wordt op juistheid en compleetheid nagekeken door de DigiTrust certificeringsmanager”, vertelt Bijl.
“Als er niet al te veel afwijkingen zijn, wordt het certificaat uitgereikt.” Een paar niet kritieke afwijkingen is dus niet erg. Dat mogen er uiteraard niet te veel zijn, en er mogen zeker geen kritieke afwijkingen aanwezig zijn, weet Bijl.
Het certificaat wordt uitgereikt tijdens een officiële uitreiking. Maar daarna is het traject nog niet voorbij. “Je gaat een driejarig contract met DigiTrust aan. Dat betekent dat er na de uitreiking van het certificaat nog twee controles komen. Die controles vinden ieder jaar plaats. Na drie jaar vindt er een hercertificering plaats. Die lijkt op de eerste certificering, maar duurt minder lang.”
Wil je meer weten over ISO 27001 certificering of wil je zelf het certificeringstraject doorlopen? Neem dan eens contact op met de DigiTrust back-office-specialisten!
