ISO 27001 schept verplichtingen

In de afgelopen maanden hebben in Nederland diverse incidenten plaatsgevonden waarbij vertrouwelijke dossiers van organisaties openbaar zijn geworden door hackers of als gevolg van menselijke fouten. Een aantal van deze organisaties is ISO 27001 gecertificeerd. Tot nu toe betrof het geen van onze klanten die wij geholpen hebben bij het implementeren van ISO 27001, maar die mogelijkheid is wel aanwezig.

Belangrijk is dat de ISO 27001 standaard voor informatiebeveiliging geen garantie biedt over de mate van implementatie van bepaalde beveiligingsmaatregelen. Het zegt iets over het proces, waarbij je op basis van een risicoafweging tot een maatregelenselectie komt. Dit proces moet continu getoetst en indien nodig verbeterd worden. Daarbij kan het voorkomen dat een onderkent risico genomen wordt omdat dit nu eenmaal de keuze van de organisatie zelf is of dat er onvoldoende middelen voorhanden zijn om de maatregel te kunnen implementeren. Hier ligt zowel de zwakte als de kracht van het certificaat.

Men gaat er veelal vanuit dat er impliciet een bepaald beveiligingsniveau geboden wordt door een organisatie met een ISO 27001 certificaat, ondanks dat dit geen onderdeel is van een contract of SLA hoeft te zijn.Het is dus lastig uit te leggen voor een datacenter met een ISO 27001 certificaat dat er down time is opgetreden, ook al valt deze ruim binnen de marge van de SLA. Dit kan één keer gebeuren, maar indien dit vaker gebeurt, zegt dit toch vaak iets over het risicomanagementproces en de effectiviteit van maatregelen.

Risicoanalyses en audits zijn over het algemeen een momentopname. Zodra een organisatie of een (informatie)systeem door bijvoorbeeld een update verandert, kan er door deze verandering een nieuw risico ontstaan en kan een eerdere effectieve maatregel niet meer toereikend zijn. Het is dus zaak deze risicobeoordelingen en afwegingen frequent uit te voeren, vooral als er zich veranderingen voordoen zowel intern als bij een ketenpartner.

Goede wijzigingsprocedures met impactanalyses en triggers voor het eventueel uitvoeren van risicoanalyses, zijn essentieel voor het risicomanagementproces. Organisaties met een ISO 27001 certificaat worden geacht dit op orde hebben. Zonder goede wijzigingsprocedures is feitelijk nooit hard te maken of de maatregelen in overeenstemming zijn met de risicoafwegingen en daarmee nog effectief zijn. ISO 27001 schept dus verplichtingen. Klanten gaan ervan uit dat deze procedures effectief zijn en men verwacht impliciet een bepaald beveiligingsniveau, een niveau dat zelfs contract/SLA overstijgend is.

Velen van de ISO 27001 gecertificeerde organisaties zullen zich eerder drukker maken om een controle audit om een behaald certificaat te behouden, maar wanneer deze organisatie zich bij het risicomanagementproces ook richt op de wijzigingen, is de kans erg groot dat het wel goed komt met de controle audit, het certificaat wordt behouden en het beveiligingsniveau wordt verhoogt. Een goede borging van het risicomanagement proces is de basis van het certificaat en draagt bij aan een betere beveiliging omdat de business op basis van geïdentificeerde dreigingen de risico’s kan bepalen en keuzes kan maken.Marcel Lavalette
is Algemeen Directeur van CompLions. Dit bedrijf is gespecialiseerd in normen en standaarden zoals ISO 27001, NEN 7510, PCI DSS, ISO 9001, ISO 14001, SAS 70 (ISAE 3402) en biedt consultancy diensten, security officer abonnementservices en tooling voor ISO 27001 (ISMScontrol) en andere standaarden om deze managementprocessen pragmatisch te implementeren, te borgen en te beheersen.