26 Februari 2019

Wat kan ik verwachten van het certificeringstraject?

Informatiebeveiliging wordt een steeds belangrijker onderwerp, ook voor je klanten en relaties. Zij willen dan ook graag zeker weten dat dit goed geregeld is en dat ze geen risico lopen. Met het ISO 27001-certificaat kun je aantonen dat je een goed managementsysteem hebt en de risico’s beheerst. Maar voor je het certificaat krijgt, moet je een certificeringstraject in. Hoe ziet dat traject eruit?

Voordat het traject begint, moet je als bedrijf een intakeformulier invullen. Op dat formulier staat onder meer hoeveel FTE je hebt, welke processen zijn er binnen de organisatie, wat je zelf doet en welke IT-zaken e uitbesteed hebt. Daar komt dan het aantal audit-dagen uit, die nodig zijn om een goede audit uit te voeren.

Managementsysteem

De audit zelf wordt in twee delen geknipt. Tijdens de eerste audit - vaak Stage 1 genoemd - wordt gekeken de naar de prestatie van het managementsysteem, vertelt directeur Marco Bijl van DigiTrust. Daarbij wordt onder meer gekeken naar je informatiebeveiligingsbeleid, de risicobeoordeling en behandeling, alle gedocumenteerde informatie, de jaarplanning, KPI’s, directiebeoordeling en interne audits.

Dit blijkt vaak de fase waar de meeste moeite mee is, aldus Bijl. “Als het misgaat bij een IT-bedrijf, dan gaat het altijd fout bij het managementsysteem. Dat is iets wat vaak lastig wordt gevonden om te begrijpen.”

Mochten hier problemen gevonden worden, dan betekent dit niet direct dat het traject wordt stopgezet. “Vaak zijn die problemen op te lossen voordat fase 2 drie weken later van start gaat.”

Technische beheersmaatregelen

De tweede audit (Stage 2) begint altijd met het bespreken van de problemen uit fase 1. Vaak heeft de organisatie nog wat aanpassingen aan het managementsysteem gedaan. Deze worden dan nogmaals beoordeeld door de auditor.

Daarna start officieel het tweede deel van de audit. Deze blijkt vaak een stuk eenvoudiger voor de meeste bedrijven. Hierin wordt gekeken naar de technische beheersmaatregelen. “Dit onderdeel bestaat uit dertien hoofdstukken, die ieder een ander onderdeel van de beheersmaatregelen omvatten.”

Denk daarbij aan regels met betrekking tot bedrijfsmiddelen, awareness, toegangsrechten, cryptografie, je kantoor, malware, veilig ontwikkelen, back-up, leveranciers en hoe je omgaat met beveiligingsincidenten.

Certificaat

Het uiteindelijke certificaat wordt pas uitgereikt als blijkt dat alles uit de eerste en tweede fases in orde is. “Aan het einde van iedere fase maken we een auditrapport. Vervolgens moet de klant nog enkele documenten aanleveren, zodat het een compleet dossier wordt. Dit dossier wordt op juistheid en compleetheid nagekeken door de DigiTrust certificeringsmanager”, vertelt Bijl.

“Als er niet al te veel afwijkingen zijn, wordt het certificaat uitgereikt.” Een paar niet kritieke afwijkingen is dus niet erg. Dat mogen er uiteraard niet te veel zijn, en er mogen zeker geen kritieke afwijkingen aanwezig zijn, weet Bijl.

Het certificaat wordt uitgereikt tijdens een officiële uitreiking. Maar daarna is het traject nog niet voorbij. “Je gaat een driejarig contract met Digitrust aan. Dat betekent dat er na de uitreiking van het certificaat nog twee controles komen. Die controles vinden ieder jaar plaats. Na drie jaar vindt er een hercertificering plaats. Die lijkt op de eerste certificering, maar duurt minder lang.”

Wil je meer weten over ISO 27001 certificering of wil je zelf het certificeringstraject doorlopen? Neem dan eens contact op met de DigiTrust back-office-specialisten!

Meer informatie?

DigiTrust werkt onder andere voor:

Adapcare - Adapcare - DigiTrust
BeeSmart - BeeSmart - DigiTrust
Betty Blocks - Betty Blocks - DigiTrust
Bevolkingsonderzoek Noord - Bevolkingsonderzoek Noord - DigiTrust
Brein B.V. - Brein B.V. - DigiTrust
BringWay - BringWay - DigiTrust
CAM IT solutions - CAM IT solutions - DigiTrust
CJ2 Hosting - CJ2 Hosting - DigiTrust
DSD Business Internet - DSD Business Internet - DigiTrust
Deutsche Telekom Healthcare Solutions - Deutsche Telekom Healthcare Solutions - DigiTrust
Doclogic - Doclogic - DigiTrust
Empriva - Empriva - DigiTrust
Enexis netbeheer - Enexis netbeheer - DigiTrust
Fonky Sales - Fonky Sales - DigiTrust
Fortes - Fortes - DigiTrust
Gemeenten Oplossingen - Gemeenten Oplossingen - DigiTrust
Gflex ICT - Gflex ICT - DigiTrust
ITB2 Datacenters - ITB2 Datacenters - DigiTrust
Jouw Omgeving - Jouw Omgeving - DigiTrust
Karmac I&I - Karmac I&I - DigiTrust
Kred'it software - Kred'it software - DigiTrust
Lannet IT - Lannet IT - DigiTrust
Leukeleu - Leukeleu - DigiTrust
Link-it - Link-it - DigiTrust
Loko ICT - Loko ICT - DigiTrust
Magenta MultiMedia Tools - Magenta MultiMedia Tools - DigiTrust
Mr-Orange - Mr-Orange - DigiTrust
Perplex Internet Marketing - Perplex Internet Marketing - DigiTrust
Provincie Brabant - Provincie Brabant ISO27001 - BIO - DigiTrust
Provincie Overijssel - Provincie Overijssel - DigiTrust
Ritense - Ritense - DigiTrust
Simpel telefonie - Simpel telefonie - DigiTrust
Sprenkels & Verschuren - Sprenkels & Verschuren - DigiTrust
The Computer Company - The Computer Company - DigiTrust
The People Group - The People Group - DigiTrust
Topicus - Topicus - DigiTrust
Veltwerk - Veltwerk - DigiTrust
Way 2 Web software - Way 2 Web software - DigiTrust
Webhelp Nederland - Webhelp Nederland - DigiTrust
Your Hosting Business - Your Hosting Business - DigiTrust
eVerbinding - eVerbinding - DigiTrust
spotONvision - spotONvision - DigiTrust

Meer klanten