ZBC Kennisbank

Binnen drie maanden een ISO 27001 certificaat halen

 

Vorige maand werd ik gebeld door de directeur van een kleinere dienstverlener. Hij had binnen drie maanden een ISO 27001-certificaat nodig. Zijn grootste klant had deze eis op tafel gelegd. Als hij hieraan niet zou voldoen, dan was hij die grote klant en dus een belangrijk deel van zijn business kwijt. Hij vroeg of ZBC hem hierbij kon helpen.

Ons standaardantwoord in zo’n geval is  ‘ja’. Maar wel alleen als uw organisatie voldoet aan een aantal voorwaarden. Een ISO 27001 certificaat is tenslotte geen weggeefproduct dat door iedere organisatie geclaimd kan worden. Minimaal moet informatiebeveiliging, zeker door de directeur, serieus genomen worden. En dat moet blijken uit eerder gemaakte keuzes voor risicoreductie. Want juist dan bieden de nieuw ISO-normen, die volgens de High Level Structure (HLS) zijn opgezet, de flexibiliteit om vanuit de eigen bedrijfsvoering en niet vanuit de norm te redeneren. (Zie ook ‘Er moet niks van ISO, maar weet mijn auditor dit ook al?’.)
Een organisatie die behoefte heeft aan een snelle certificatie moet dus voldoen aan een aantal eisen. Dan is die snelle certificatie mogelijk.

Eisen voor een snelle certificatie

De norm zegt dat voor informatiebeveiliging een risicobeheerproces toegepast moet worden, dat belanghebbenden het vertrouwen geeft dat risico’s adequaat worden beheerd. Informatiebeveiliging en ISO 27001 certificering zijn niet synoniem. Ze moeten dan ook worden gescheiden. Informatiebeveiliging is een langetermijndoelstelling die al jaren geldt en die intern en extern leidt tot werkende verbeteringen. ISO 27001 certificering is een kortetermijndoelstelling met een zeer beperkte scope. Het gaat hierbij om die dienstverlening aan klanten, waarbij de organisatie vertrouwelijke of persoonsgegeven verwerkt van die klanten. Uw ISO 27001 certificaat is voor klanten voorwaarde om vertrouwen in u te kunnen hebben. Wanneer u bent gecertificeerd kunnen zij u namelijk aansprakelijk stellen voor uw eigen fouten. (Zie ook ‘Klanten vaak aansprakelijk voor privacy incidenten bij leveranciers’.)
Behalve dat u informatiebeveiliging serieus dient te nemen, zijn voor uw ISO-certificaat nog twee dingen nodig:

  • U moet kunnen aantonen dat uw organisatie in control is bent.
  • U moet kunnen aantonen dat u binnen de scope uw informatiebeveiliging op orde hebt.

Aantonen dat u in control bent

MKB-bedrijven zijn bijna per definitie in control. Doorgaans is de directie (mede-) eigenaar van het bedrijf. De directie is gewend om met risico’s om te gaan, om de continuïteit van het bedrijf en dus haar dienstverlening te borgen. De afstand tussen de directie en de werkvloer is klein. De sturing gebeurt vaak op basis van ongeschreven wetten zoals ‘klant is koning’, ‘contact is belangrijker dan contract’, ‘afspraak is afspraak’ en ‘een afspraak is goed en geldig tot we een betere afspraak maken’. Vertrouwen intern en extern is de basis voor een effectieve en efficiënte samenwerking en de directie beschouwt het monitoren van en het inspelen op inbreuken op dit vertrouwen als één van haar belangrijkste taken. Als men een tijdje in zo’n organisatie rondloopt, dan ervaart men dat die organisatie in control is. De ISO-norm eist echter aantoonbaarheid.
Voor die aantoonbaarheid zal zo nauw mogelijk aangesloten moeten worden bij de huidige praktijk,  Wat nu gebeurt moet dus vertaald worden naar aantoonbaarheid. Iets anders zal niet gaan werken.
Natuurlijk moet u hier wel zorgvuldig mee omgaan. Veel klanten doen zaken met u omdat uw dienstverlening gebaseerd is op ‘Het onmogelijke doen we direct; wonderen duren iets langer’. Dat u niet altijd in staat bent om dit te garanderen, nemen ze voor lief. Ze weten dat uw inspanningsverplichting op basis van ‘best effort’ vaak meer waard is dan bijvoorbeeld een SLA als met een KPN van 80 kantjes.
De meest essentiële processen voor kleinere dienstverleners zijn doorgaans:

  • het standaard leveringsproces van diensten;
  • omgaan met veranderende behoeften (meestal van klanten);
  • omgaan met incidenten en tekortkomingen.

Binnen de scope de control hiervan aantoonbaar maken, is gebaseerd op twee punten:

  • de opbouw van het basismanagementsysteem via beleid, risicoanalyses, doelstellingen en maatregelen (op basis van huidige praktijk). (Zie ‘Architectuur en aanpak ISO 27001’.)
  • de inrichting van de control.

In de praktijk is de controlfunctie bijna realtime. Er is iets aan de hand op de werkvloer en vrijwel onmiddellijk wordt (vaak in overleg met de directeur) gekeken wat er aan de hand is, worden oplossingen afgewogen en bepaald en wordt actie ondernomen, die wordt geaccepteerd door de klant of de directeur. (Zie ook ‘ITIL pragmatisch en flexibel’.) Dit mechanisme moet natuurlijk blijven bestaan. Het is immers één van de belangrijkste USP’s voor de klant. Borging vindt daarom plaats in procedures voor incidentafhandeling en wijzigingen. Uiteraard moet die afhandeling dan wel vastgelegd worden.
Het daarnaast (half-) jaarlijks doorlopen van het geheel middels een interne audit, is goed om los te komen van de waan van de dag. Echter is dat meestal meer gericht op informatiebeveiliging als langetermijndoelstelling dan op ISO 27001.

Aantonen dat binnen de scope informatiebeveiliging op orde is

Binnen de scope moet informatiebeveiliging op orde zijn. Kern van dit issue is dat u ervoor zorgt, dat de scope zo klein mogelijk is. Daarbij zijn de vertrouwelijke gegevens van klanten het uitgangspunt. Als u probeert alles te beveiligen, waar zich nu vertrouwelijke data bevinden, dan valt bijna alles binnen de scope. Daarom moet het worden omgedraaid. U moet vaststellen waar die vertrouwelijke data van klanten zich mogen bevinden en daar maatregelen op treffen. (Zie ook ‘Hoe privacy regelen in projecten en bij uitbesteding’.)
Grofweg heeft u te maken met twee typen vertrouwelijke data:

  • data die verwerkt worden met behulp van een applicatie en dus in een database zijn opgeslagen;
    Wanneer dit geheel draait in een datacenter, dan bent u van veel problemen af. Dan hoeft u alleen een stuk beheer te doen. De rest heeft u uitbesteed en moet contractueel goed geregeld zijn.
  • data die tijdelijk aan u worden toevertrouwd als onderdeel van een project.

De laatstgenoemde data zorgen doorgaans voor problemen, omdat er vaak geen policy is hoe hiermee om te gaan. De kern is dat voor deze groep gegevens een omgeving gecreëerd wordt, die los staat van allerlei andere omgevingen. Het moet een omgeving zijn: 

  • waarin eenvoudig en zeer specifiek rechten toegewezen kunnen worden;
  • waarin tools aanwezig zijn om de naleving van die rechten eenvoudig te controleren;
  • waarin documenten ge-upload en gedownload kunnen worden;
  • die automatisch versiebeheer doet.

Ieder willekeurig documentmanagementsysteem voldoet aan deze eisen. De kans is groot, dat u hier online (dus in een datacenter) al de beschikking over heeft binnen bijvoorbeeld Office 365 (Sharepoint), Google Drive, AFAS of Jira. Als keihard de regel geldt, dat vertrouwelijk informatie van klanten alleen daar opgeslagen mag worden en vooral niet per mail uitgewisseld mag worden, dan is het in het kader van de certificatie niet nodig om maatregelen te treffen voor werkplekken, laptops, smartphones, thuiswerkplekken enzovoort, behalve een veilige verbinding met de productieomgevingen (en die heeft u meestal al voor de toegang tot de datacenters, waar de vertrouwelijke informatie is opgeslagen). Ook de shares (mappenstructuur) kunnen dan buiten de scope gehouden worden.
Als u dat regelt, dan is aantoonbaarheid van de informatiebeveiliging binnen de scope niet moeilijk meer en kan dit snel worden gerealiseerd.

Wat is er nog meer nodig?

Verder moet u bij de certificeringsaudit:

  • de verplichte documentatie kunnen overleggen, waarmee u kunt aantonen dat het managementsysteem werkt; niet zoals vroeger door het hebben van allerlei procedures, maar door aan te tonen, dat u uw doelstellingen realiseert en uw risico’s beheert.
  • minstens één keer de volledige plan-do-check-act cyclus zijn doorlopen om het voorgaande punt aantoonbaar te maken;  met de in de vorige hoofdstukken genoemde punten heeft u de planfase uit de PDCA cyclus doorlopen.

Het is niet nodig om alle verbeterpunten al voor de audit gerealiseerd te hebben. Als het geen verplichte documenten uit de norm zijn, kunnen ze ook later worden geïmplementeerd.

Wanneer u al langer informatiebeveiliging serieus heeft genomen in uw dienstverlening aan klanten en kunt leunen op de maatregelen die het datacenter al getroffen heeft, kan de do-fase in doorlooptijd beperkt blijven. Voorkeur heeft een periode van 3 maanden (of meer uiteraard), maar als klanten u in uw nek hijgen kan dit ook in één maand. Vervolgens doet u een interne audit (check-fase), zoals beschreven staat in ‘Architectuur en aanpak ISO 27001’ en de resultaten hiervan legt u vast in het verbeterplan. Hierin komen ook de maatregelen te staan waarmee de geconstateerde afwijkingen uit de interne audit worden verwerkt. Als dit aangepaste verbeterplan is beoordeeld en goedgekeurd door de directie (act-fase), dan bent u klaar voor de externe audit.

Natuurlijk werkt een dergelijke aanpak alleen als u informatiebeveiliging al langer serieus neemt en alleen nog de aantoonbaarheid moet verbeteren. Als u het zonder dat toch probeert te worden gecertificeerd, dan is het risico groot, dat de auditor daarin niet meegaat. En dat is dan uiteraard terecht.

ZBC helpt organisaties via coaching of cursussen om hun informatiebeveiliging conform ISO 27001 of NEN 7510 te verbeteren en desgewenst daarvoor gecertificeerd te worden.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 10 juni 2017


2 Responses to “Binnen drie maanden een ISO 27001 certificaat halen”

  1. Cees schreef:

    Wiebe: Als keihard de regel geldt, dat vertrouwelijk informatie van klanten alleen daar (in een datacenter) opgeslagen mag worden en vooral niet per mail uitgewisseld mag worden, dan is het in het kader van de certificatie niet nodig om maatregelen te treffen voor werkplekken, laptops, smartphones, thuiswerkplekken enzovoort, behalve een veilige verbinding met de productieomgevingen (en die heeft u meestal al voor de toegang tot de datacenters, waar de vertrouwelijke informatie is opgeslagen).

    Reactie: Was het maar zo simpel. Ook al staat er op een laptop geen enkele data die bescherm moet worden, een onbeschermde laptop kan wel ongewenste TOEGANG GEVEN tot data die beschermd moet worden. Denk aan de mogelijkheid dat een beheerder belangrijke wachtwoorden opslaat op zijn laptop en die laptop verliest, of denk aan een beheerder die zijn antivirus niet op orde heeft en ongemerkt via een key-logger zijn wachtwoorden deelt met anderen. Dat wil je toch niet? Denk ook simpelweg aan iemand die een belangrijk wachtwoord met een sticker op zijn werkplek plakt. En zo kan ik nog een tijdje doorgaan. Hoezo geen maatregelen nodig voor werkplekken, laptops, etc?

    De aanwezigheid van data is niet het enige criterium om iets wel of niet te beschermen. Ook de TOEGANG TOT data moet beschermd worden. ISO laat dit zien door voor al deze zaken beheersmaatregelen aan te dragen.

    • Wiebe Zijlstra schreef:

      Cees, dit artikel ging erover dat door toepassing van security by design (scheiden vertrouwelijke klantdata van overige data) snel een hoog niveau van beveiliging en vooral aantoonbaarheid gerealiseerd kan worden. De aanvullende maatregelen kunnen dan zeer beperkt blijven. Two factor authentication (het gebruik van een token), zeker voor beheerders, is dan vanzelfsprekend. Ook kun je dan heel gefocust werken aan een zeer beperkt aantal zaken zaken, waar gebruikers zich aan moeten houden. Dus geen wachtwoorden op geeltjes en geen vertrouwelijke informatie printen, downloaden of exporteren. En als het voor beheerders of sommige gebruikers toch noodzakelijk is om vertrouwelijke data op een laptop mee te nemen, dan wordt de harde schijf versleuteld.
      Dit zijn echter details, waarmee ik het artikel niet wilde vervuilen, maar die zeker aan de orde komen in onze cursussen en coachingstrajecten. Het uitgangspunt van onze dienstverlening m.b.t. ISO 27001 is daadwerkelijke beveiliging van essentiele data op een slimme manier. Dat kun je doen door ze te scheiden van andere data want als je ze vermengd met data op je shares (in je mappenstructuur), dan kun je weinig anders dan alle regeltjes van ISO toe te passen. En dan is het nog steeds minder veilig dan met de toepassing van dit logische principe. Mijn motto is niet voor niets: “Eerst de goede dingen doen en dan de dingen goed doen”. En dat moet je niet omdraaien.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *