Certificering ISO/IEC 27001 - NEN7510
Wat is certificatie?
Certificatie is het door een onafhankelijke partij laten beoordelen van een object en/of proces. Dit gebeurt aan de hand van een op voorhand algemeen geaccepteerde en beschikbare norm. De Code voor Informatiebeveiliging is zo’n algemeen erkende norm.
Waarom certificatie?
In onze praktijk komen we grofweg twee groepen tegen die aan het nadenken zijn over certificatie van informatiebeveiliging. De ene groep wordt door de externe omgeving ´verplicht´om aan informatiebeveiliging aandacht te besteden en wil middels een certificaat aan de compliance-eisen voldoen. De andere groep wil -zonder deze druk van buitenaf- het interne kwaliteitsmanagementsysteem verbeteren. De volgende beweegredenen geven aan dat informatiebeveiliging een belangrijk issue kan zijn voor veel organisaties:
§ een certificaat kan bijdragen aan de externe marktwerking en de concurrentiepositie versterken. Het certificaat levert ook een positieve bijdrage aan het imago;
§ informatiebeveiliging is een kwaliteitsonderwerp: wanneer een traject gestart wordt dat uiteindelijk moet leiden tot certificatie, zal dit onmiddellijk een positief effect hebben op de kwaliteit en beheersing van belangrijke bedrijfsprocessen;
§ vanuit een toezichthoudend orgaan kan vereist worden dat specifieke aandacht wordt besteed aan informatiebeveiliging. Een certificaat kan afdoende zijn om aan de compliance-eisen te voldoen;
§ bij outsourcing wordt steeds vaker aan de partij aan wie outsourcing plaatvindt, de eis gesteld gecertificeerd te zijn tegen de Code voor Informatiebeveiliging;
Wie mag certificeren?
De onafhankelijke partij, ofwel de certificerende instelling, moet zelf geaccrediteerd zijn door de Raad voor Accreditatie (RvA). De RvA is in Europees verband het aangewezen orgaan dat in Nederland beoordeelt of een certificerende instelling voldoet aan de eisen die daaraan gesteld worden. Een certificerende instelling moet conform een bepaald kwaliteitssysteem opereren, deskundig zijn op het gebied waarbinnen certificatie plaatsvindt en zodanig onafhankelijk en onpartijdig zijn dat het certificaat naar zijn waarde kan worden afgegeven.
Waartegen wordt gecertificeerd op het gebied van informatiebeveiliging?
Op het gebied van informatiebeveiliging kan een organisatie op dit moment gecertificeerd worden tegen de ISO/IEC 27001. Deze norm is beter bekend onder de naam Code voor Informatiebeveiliging. Deze Code is gebaseerd op de van oorsprong Engelse ‘British Standard’ nummer ‘ISO BS17799’.
De norm ISO/IEC 27001 omvat de beschrijving van eisen die worden gesteld aan het beheersen van het totale informatiebeveiligingsproces. De norm wordt aangevuld met de ISO 27002, waarin ongeveer 130 individuele normen staan die één op één zijn terug te voeren naar de ‘best practices’ zoals verwoord in de ISO/IEC 27001, maar dan normatief geformuleerd. Beide normen zijn formeel geaccepteerde ISO standaarden, de certificatie vindt plaats tegen de 27001 norm.
Hoe werkt certificeren?
Het belangrijkste aspect waarop de certificatie zal worden gebaseerd is de werking van het ‘Information Security Management System(ISMS)’. Dit systeem draagt zorg voor de beheersing van het totale informatiebeveiligingsproces. Ten aanzien van de 130 mogelijke normen moet door de te certificeren organisatie worden vastgesteld welke normen van toepassing zijn. Aan de hand van een onderbouwde risicoanalyse dient een Verklaring van Toepasselijkheid te worden opgesteld waarin alle van toepassing zijnde normen zijn aangegeven.
Om een certificaat te verkrijgen moet een organisatie door een daartoe geaccrediteerde certificatie instelling worden beoordeeld aan de hand van de normen volgend uit de ISO-IEC 27001. De organisatie dient een verzoek in bij een certificerende instelling, waarna een intakegesprek plaatsvindt. Afhankelijk van de resultaten van het intakegesprek wordt een offerte uitgebracht. De organisatie kan verzoeken om een pre-audit uit te voeren.
Pre-audit
In sommige gevallen kan het verstandig zijn ervoor te kiezen dat eerst een pre-audit wordt uitgevoerd. Bijvoorbeeld als de organisatie niet helemaal zeker is dat men klaar is voor certificatie. Tijdens de pre-audit inspecteert de lead/auditor het kwaliteitshandboek, controleert de procedures en maakt een korte ronde door de organisatie om een indruk te krijgen van de mate waarin het kwaliteitsmanagementsysteem is ingevoerd. Een ander belangrijk doel van dit inleidende bezoek is om bepaalde onderdelen uit het kwaliteitsmanagementsysteem bloot te leggen die extra aandacht nodig hebben. Hiermee kan een globale indruk worden gekregen van de status van de informatiebeveiliging. Aan de hand van de uitkomsten van de proefbeoordeling kan de opdrachtgever beslissen om wel of niet het certificatietraject in te gaan. Deze proefbeoordeling is optioneel. Wanneer wordt besloten om het feitelijke certificatietraject in te gaan, zal de certificerende instelling het onderzoek in twee fasen uitvoeren.
Certificatietraject
Fase 1: Toetsen van de documentatie
De eerste fase omvat het toetsen van de documentatie. Hierbij worden onder andere de analyse van risico’s van informatiebeveiliging, de Verklaring van Toepasselijkheid en de kernelementen van (de werking van) het ISMS beoordeeld.
Fase 2: De implementatiebeoordeling
Aan de hand van de resultaten van het documentatieonderzoek zal de certificerende instelling starten met de tweede fase, de implementatiebeoordeling. De doelstellingen hiervan zijn: vaststellen dat de organisatie haar eigen beleid, doelen en procedures naleeft en vaststellen dat het ISMS voldoet aan alle eisen van de ISMS norm en aan de beleidsdoelstellingen van de organisatie.
Hoe lang is een certificaat geldig?
Aan de hand van de resultaten van het onderzoek zal de certificerende instelling overgaan tot de besluitvorming over de verstrekking van het certificaat. Indien in voldoende mate aan de gestelde normen is voldaan, volgt uitreiking van het certificaat. Een certificaat is drie jaar geldig, waarbij de organisatie zich verplicht om zich minimaal jaarlijks te laten herbeoordelen.
Wat kost certificeren?
De kosten van certificeren zijn onder meer afhankelijk van de grootte van de organisatie (aantal medewerkers) en het aantal locaties. Van een organisatie met meerdere vestigingen moeten ook alle vestigingen geauditeerd, dus door het auditteam bezocht, worden. Op basis van deze factoren wordt het aantal benodigde dagen berekend. De organisatie en de certificerende instelling sluiten een contract. Onze tarieven zijn marktconform. Op basis van uw informatie kunnen wij een geheel vrijblijvend voorstel doen.
Eind 2009 is Duijnborgh Certification BV opgericht. Dit is een zelfstandige organisatie die naar verwachting in 2010 de accreditatiestatus zal verkrijgen van de Raad voor Accreditatie, om wereldwijd als certificerende instelling te mogen opereren tegen de ISO/IEC 27001.
Nieuws
Duijnborgh Audit lanceert Engelstalige website
Nieuwegein, 16 juni 2009 - Het Engelse deel van de website van Duijnborgh Audit richt zich op de buitenlandse klanten en prospects
Lees meer...Testimonial
SKAR over Quickscan IT-continuiteit
"De uitkomsten van de Quickscan en de Zelfevaluatie hebben mij, als manager Bedrijfsvoering van Skar, aanvullend inzicht gegeven in de mate waarin de organisatie afhankelijk is van haar automatisering en of zij voldoende is voorbereid op ICT-verstorende incidenten....."
Lees meer...