ZBC Kennisbank

Wanneer is informatiebeveiliging volgens NEN 7510 of ISO 27001 te certificeren

 

NB: Dit artikel is bijna 10 jaar oud. De wereld, informatiebeveiliging en de ISO-norm zijn intussen veranderd. Daardoor zijn veel zaken in dit artikel niet meer waar. Hierover hebben we al veel geschreven, maar Google blijft nog steeds doorverwijzen naar dit artikel. Daarom deze inleiding en een verwijzing naar actuele artikelen zoals die o.a. te vinden zijn in de rubriek Aanpak informatiebeveiliging ISO 27001 en ISO 27002.

Inhoudsopgave

  1. Hoe ingewikkeld wil u het maken?
  2. Certificering betekent ‘in control’ zijn
  3. Implementatieschema ISO 27001, 27002 of NEN 7510
  4. Inrichting van de interne controle
  5. Certificering binnen drie maanden

1. Hoe ingewikkeld wil u het maken?

In veel directievergaderingen wordt het stil als het over informatiebeveiliging gaat. Want als u de consultants en accountants mag geloven, die het kunnen weten, dan stelt u zich aan nogal wat gevaren bloot en roept u vreselijke gevolgen over u af, als u zich niet tot de tanden toe wapent tegen informatiebeveiligingsrisico’s. (Zie ook ‘Professionele informatiebeveiligers maken zich vaak ongeloofwaardig’.) En natuurlijk loopt u risico’s. Maar maakt u zich geen zorgen. U loopt ook risico’s als u zich in het verkeer begeeft. Waar het om gaat , is dat u die risico’s niet onbewust loopt, maar bewust neemt.
Gecertificeerd worden volgens ISO 27001 of NEN 7510 betekent dat in uw organisatie de informatiebeveiliging ‘in control’ is. Dat is zeker niet hetzelfde als honderden maatregelen hebben getroffen om informatie en de informatievoorziening veilig te maken. Het is ook niet hetzelfde als 100% beveiliging nastreven. 100% beveiliging is een eis die gesteld wordt aan organisaties waarvoor informatieverwerking core business is, zoals de AIVD en Defensie, maar zeker niet aan een doorsnee Nederlands bedrijf. Als doorsnee Nederlands bedrijf moet u de bedrijfseconomische risico’s afdekken, die volgens uw eigen inschatting een zeer aanzienlijke schade kunnen opleveren, als u er geen maatregelen tegen treft. U moet dus zien een balans te vinden en zeker niet domweg beveiligen.

nen_5710

De auditor zal bij certificatie op die balans letten. Als hij zijn werk goed doet, let hij niet alleen op tekortkomingen, maar evenzeer op verspilling.

2. Certificering betekent ‘in control’ zijn

Om het nu eens heel kort door de bocht te zeggen: processen zijn certificeerbaar als u de volgende drie dingen doet:

  • zeggen wat u gaat doen,
  • doen wat u hebt gezegd,
  • laten zien, dat u gedaan hebt wat u eerder gezegd hebt.

Dit is de basis voor ieder kwaliteitssysteem. Als u zegt, dat u alleen zinvolle maatregelen treft, die maatregelen daadwerkelijk implementeert en dit dan namens de directie laat contoleren, dan bent u in feite klaar. Ook als het misschien beter zou kunnen. De keuze om het wel of niet beter te doen, is de keuze van het management en niet van de auditor. Niet voor niets zijn zowel Mac Donalds als het Amstelhotel beide ISO-gecertificeerd. Dat men bij de één meer verwacht dan bij de ander heeft te maken met de keuzes van het management en de bedrijfscommunicatie van beide bedrijven.
Bij een ISO 27001 of NEN 7510 certificering werkt het net zo. U maakt als organisatie zelf uw keuzes, wat auditors of regelgevers ook roepen. Laat u zich door hen niet misleiden. Uw systeem inrichten op controle, maakt het meestal niet veiliger. (Zie ook ‘Uw informatiebeveiliging verbetert niet door meer bureaucratie met een ISMS’.)

3. Implementatieschema ISO 27001, 27002 of NEN 7510

Het implementatieschema voor ISO 27001, ISO 27002  en NEN 7510 is gebaseerd op de bekende planning & control cyclus:

iso27002_1

3.1 Vaststelling informatiebeveiligingsbeleid

Op grond van uw eigen keuzes stelt u uw informatiebeveiligingsbeleid vast. Na een interview van 2 uur over de beleidsuitgangspunten, zet een ervaren consultant het in een dag voor u in elkaar.

3.2 Definiëren basisbeveiligingsniveau

Over het definiëren van het basisbeveiligingsniveau kan heel ingewikkeld worden gedaan. Het is echter het eenvoudigste om dit met een paar interne deskundigen te doen. Hiervoor kunt u het sjabloon gebruiken uit ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau op grond van ISO 27002 of 17799’. Uitgangspunt is enerzijds de norm (ISO 27002 of NEN 7510) en anderzijds uw huidige situatie. Uw huidige situatie legt u gerubriceerd vast volgens de norm en vervolgens loopt u alle ‘best practices’ uit de norm door en bepaalt u of deze voor uw organisatie echt nodig zijn. De eerder vastgelegde beleidsuitgangspunten vormen hiervoor de interne richtlijn. De daadwerkelijke risico’s voor uw organisatie worden afgedekt door die best practices, die tijdens deze exercitie nodig geacht worden. Alleen die maatregelen moet u dus nu of later treffen. Meestal kan deze hele exercitie in 4-10 dagen worden uitgevoerd, mits de deelnemers hierin getraind zijn of dit begeleid wordt door een op dit gebied ervaren coach.

3.3 Definiëren maatregelen

Vaak blijkt dat met een beperkt aantal procedures een groot aantal tekortkomingen afgedekt kan worden. Soms zijn die procedures ook al binnen de organisatie aanwezig, maar werken ze nog onvoldoende. (Zie ook o.a. ‘BiSL maakt functioneel beheer wel erg ingewikkeld’.) Meestal gaat het om de volgende zaken:

  • procedure voor de aanschaf of wijziging van duurzame middelen;
  • procedure voor de afhandeling van incidenten;
  • procedure voor interne controle (vaak geen functie maar een rol);
  • opzet van de toegangsbeveiliging m.b.t. informatie;
  • gedragscode voor interne en externe medewerkers;
  • ethische code voor toeleveranciers, die tevens een basis kan vormen voor uw inspanningen voor maatschappelijk verantwoord ondernemen.

Als deze procedures niet aanwezig zijn, dan kunnen ze op basis van herbruikbare procedures in 3-8 dagen voor uw organisatie op maat gemaakt worden. Voor de meeste andere maatregelen geldt, dat u moet bekijken wanneer u ze gaat oppakken. Ze kunnen onderdeel vormen van een groter plan, zodat de kosten beperkt blijven. De acceptatie zal dan doorgaans ook geen probleem vormen.

4. Inrichting van de interne controle

Vaak is de volgende stap die wordt gezet, de implementatie op de werkvloer. In dit stadium leidt dat echter alleen maar tot onbegrip en weerstand. Daarom kunt u deze stap beter uitstellen en eerst de rechterkant van het plaatje invullen (het blauwe gebied).

iso27002_1c

Het gaat er tenslotte om dat de informatiebeveiliging ‘in control’ is. Het is de directie die hierop moet sturen. De essentie is dan ook niet, dat de interne controle rapporteert, maar dat de directie een stuurmiddel krijgt, waarmee zij de informatiebeveiliging steeds in control kan houden Een niet-inhoudelijke rapportage op een tijdlijn (verleden, heden, toekomst) is hiervoor het meest begrijpelijke instrument. De directie vraagt hierbij om toelichting op opvallende zaken. Vaak wordt hiervoor het stoplichtmodel gehanteerd, zoals dit beschreven is in het artikel ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002’.

Na de vaststelling van de beleidsuitgangspunten is dit de eerste confrontatie tussen de directie en het project. Punten in de tijd zijn hierbij:

  • de situatie bij de start van het project;
  • de situatie op dit moment (na goedkeuring van het basisbeveiligingsniveau, de managementrapportage en de procedures);
  • de situatie een jaar later.

Aan de hand van deze informatie zal de auditor bepalen of de informatiebeveiliging binnen de organisatie daadwerkelijk ‘in control’is of dat de situatie allerminst stabiel is. Dit zal dit altijd zijn belangrijkste meetpunt vormen.
Als vervolgens voor alle te nemen en in te voeren maatregelen actiehouders worden benoemd, kan de invoering binnen de lijnorganisatie in een aanvaardbaar tempo plaatsvinden. Het project kan dan beëindigd worden. Als de invoering wordt vertraagd, zal dat zichtbaar worden in de volgende managementrapportage. De directie kan dan zonodig bijsturen. Niet op grond van wat een informatiebeveiliger of auditor vindt, maar op basis van wat de directie vindt. Want dan is informatiebeveiliging ‘in control’ bij de directie.

5. Certificering binnen drie maanden

Zoals gezegd, er zijn organisaties voor wie informatieverwerking core business is. Daar moet de lat hoger gelegd worden. Voor de meeste organisaties geldt echter, dat informatie gebruikt en gedeeld moet worden, omdat dat de organisatie en de klanten ten goede komt. De organisatie kan in dat geval volstaan met de in dit artikel beschreven aanpak. Ook voor bijvoorbeeld zorginstellingen geldt dit, zoals beschreven is in de artikelen ‘Invoering NEN 7510 is eenvoudiger dan u denkt’ en ‘Nieuwe NEN 7510 norm in de zorg schuift op naar ISO 27002’.
Met de hier beschreven aanpak kan ZBC u ondersteunen. U kunt een training volgen, waarin u leert volgens deze aanpak te werken (zie ‘Cursus Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510’) of wij kunnen u coachen en aanvullend ondersteunen in dit traject. Meer dan drie maanden doorlooptijd hoeft dit niet te vergen.

Herziene versie: 24 juni 2013
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 17 december 2009 | Copyright: ZBC


One Response to “Wanneer is informatiebeveiliging volgens NEN 7510 of ISO 27001 te certificeren”

  1. […] Wanneer is informatiebeveiliging volgens NEN 7510 of ISO 27001 te certificeren […]

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *