ISO 27001 ‘To Certify or Not to Certify’

Steeds vaker worden ISP’s  in aanbestedingen en RFP’s geconfronteerd met eisen als de internationale ISO/IEC 27001, de enige certificeerbare standaard voor informatiebeveiliging. Dit keurmerk helpt organisaties om privacy en vertrouwelijke informatie beter te beveiligen tegen inbreuken en misbruik of verlies en biedt een bepaalde mate van zekerheid aan alle betrokken partijen.

Over het algemeen heeft certificering als doel om inzicht te geven in het feit of in welke wijze een organisatie voldoet aan een bepaalde norm. Het ISO/IEC 27001 certificaat is een keurmerk dat ook iets zegt over de kwaliteit en werking van het managementproces voor informatiebeveiliging.

Kracht en zwakte
De kracht van ISO 27001 zit hem in het feit dat het niet alleen gaat over digitale informatie, maar over alle informatie (gedrukt, gesproken, etc.) en dit aan de orde stelt  over een 11-tal domeinen zoals logische toegangsbeveiliging, fysieke beveiliging, HRM, business continuity etc. Hierdoor raakt het de gehele organisatie. De zwakte is dat de reikwijdte van de inrichting bepaald wordt door een scope. Deze scope zegt dus veel over waar het certificaat betrekking op heeft en is dus belangrijk.

Het gaat er bij ISO 27001 vooral om de risico’s te identificeren, af te wegen en relevante proportionele maatregelen te selecteren. De norm wordt gekenmerkt door een procesbenadering voor het plannen, implementeren, bewaken, evalueren, onderhouden en verbeteren van maatregelen. Zo kunnen beveiligingsmaatregelen ook bepaald worden door een klant als deze specifieke eisen stelt.

De standaard is dan ook zeer nuttig voor organisaties die gegevens van derden beheren (ISP’s, IT-outsourcingbedrijven, hostingbedrijven en datacenters). Het biedt klanten inzicht en de zekerheid dat het managementproces goed geregeld is en dat de maatregelen afgestemd zijn op de risico’s.

Verplichtingen
Dit komt natuurlijk met bepaalde verplichtingen. Zo word je jaarlijks getoetst. De grootste verplichting van het hebben van het certificaat, is dat de maatregelen in lijn moeten liggen met de risico’s. Deze maatregelen worden dus enerzijds bepaald door de klant maar een dergelijke standaard verondersteld ook een bepaald risicobesef en afweging van de ISP in het kader van het uitvoeren van de dagelijkse business. Je hebt immers wel wat uit te leggen aan je klanten als je als ISP een ISO 27001 certificaat hebt maar de website continu uit de lucht is. Daar kom je niet mee weg. Ook al was misschien een hoge mate van beschikbaarheid geen onderdeel van de SLA met de klant.

Belangen
Uit wet- en regelgeving zoals de ISP wetgeving, de Wet Bescherming Persoonsgegevens en bijvoorbeeld de Tapwet vloeien soms ook verplichte maatregelen voort. Een voorbeeld is de Verklaring omtrent Gedrag (de VOG) voor betrokkenen die betrokken zijn bij de uitvoering van de Tapwet. In sommige gevallen kan wet- en regelgeving van klanten zelfs van toepassing zijn en kan dit tot aanvullende maatregelen leiden.

Dit ondervang je met risicomanagement. Dat is feitelijk het proces om op periodieke basis of in het geval van bepaalde wijzigingen risico’s in kaart te brengen. Dergelijke risicoanalyses worden meestal uitgevoerd vanuit de business (processen en operationele risico’s) of systemen waarbij wet- en regelgeving ook meegenomen wordt in de afwegingen. De uitkomsten van de risicoanalyses worden gebruikt om maatregelen te selecteren of te weigeren waarbij de keuzes beargumenteerd en vastgelegd moeten worden.

Maar hoe richt je hiervoor je organisatie in? Het beste is een goed proces voor risicomanagement en informatiebeveiliging in te richten. Een verantwoordelijke voor dit proces aan te wijzen (meestal een functie of rol toewijzen van Security Officer) en de standaard volgen waarbij de 11 domeinen van de standaard als leidraad kunnen dienen.

Wel of niet certificeren?
Wij zien in de praktijk steeds vaker dat er naast één standaard zoals ISO 27001 ook andere standaarden of certificaten geëist worden. In RFP’s worden deze steeds vaker geëist, terecht of onterecht, maar als ISP heb je de keuze om hierin mee te gaan of niet. Als je erin meegaat, dan is het toch zinvol om te kiezen voor de meest pragmatische en kosten efficiënte benadering. ISO 27001 is in de praktijk de grootste gemene deler. ISP-organisaties die vanuit hun klanten ook eisen opgelegd krijgen ten aanzien van SAS 70 (ISAE 3402), NEN 7510 (zorg) of bijvoorbeeld PCI DSS (creditcard verwerking) doen er goed aan uit te gaan vanuit de ISO 27001 standaard te werken. Dit levert een besparing op en worden over langere termijn de kosten in de hand gehouden van compliance en beheersing.

Desondanks moet de standaard ook niet onderschat worden. Organisaties die aan ISO 27001 beginnen moeten rekening houden met een bepaalde hoeveelheid uit te voeren taken ten aanzien van plannen, implementeren, controleren en bijsturen.


Marcel Lavalette is directeur van CompLions. Hijzelf en zijn collega’s hebben al vele organisaties begeleid naar een ISO 27001 certificaat. Hiertussen zitten de nodige ISP’s dus van de sector is veel kennis in huis. CompLions is gespecialiseerd in normen en standaarden zoals ISO 27001, NEN 7510, PCI DSS, ISO 9001, ISO 14001, SAS 70 (ISAE 3402) en biedt consultancy diensten, security officer abonnementservices en tooling voor ISO 27001 (ISMScontrol) en andere standaarden om deze managementprocessen pragmatisch te implementeren, te borgen en te beheersen. Zo zijn met behulp van de tooling alle activiteiten van risicomanagement, interne- en externe audits tot aan managementreviews en de Verklaring van Toepasselijkheid ondersteund.