Bereid u voor op de GDPR met ISO 27001
Klanten en toeleveranciers vragen er in toenemende mate om, vertelt Rob Jansen, Lead Auditor ISO 27001 in deze video .
“Natuurlijk weet iedere business manager dat informatiebeveiliging van cruciaal belang is voor zijn of haar organisatie”, zegt Rob Jansen, Lead Auditor bij DNV GL - Business Assurance. “Toch lukt het vaak niet om tot een systematische aanpak te komen. Ik denk dat daar misschien nog wel de grootste waarde van een certificering op basis van ISO 27001 en NEN 7510 zit: het ‘dwingt’ een organisatie als het ware om structuur en systematiek aan te brengen in de informatiebeveiliging.”
Een systeem voor informatiebeveiliging opzetten op basis van een formele norm geeft structuur aan de aanpak die een organisatie op het gebied van IT-security toepast, meent Rob Jansen. Hij is werkzaam bij DNV GL. Deze organisatie verzorgt certificering en trainingen op basis van onder andere ISO 27001 en NEN 7510.
Concrete maatregelen
“Deze standaarden zijn heel concreet. Ze geven een reeks van ‘beheersmaatregelen’ aan die de organisatie helpen om grip te krijgen op risico’s”, vertelt Jansen. “Ook helpen deze normen om een goede beoordeling en analyse van deze risico’s tot stand te brengen. Een certificering is hierbij een belangrijk hulpmiddel. Dit is het bewijs dat de organisatie over informatiebeveiliging heeft nagedacht en de beheersmaatregelen goed heeft geïmplementeerd. Het certificaat geeft dus aan dat er binnen de organisatie sprake is van een goed functionerend managementsysteem voor informatiebeveiliging. Daarnaast geeft een certificering de organisatie de mogelijkheid om met regelmaat vast te stellen in hoeverre men nog altijd grip heeft op de risico’s.” Steeds meer organisaties kiezen voor een formele certificering op basis van ISO 27001 en NEN 7510. Toch zien we in de praktijk dat er nog volop vragen bestaan over certificering. Bijvoorbeeld over de kosten, maar ook over de rol die de certificerende instantie nu precies vervult. Beperkt deze organisatie zich puur tot het certificeren? Of geeft men ook advies en helpt men veranderingen door te voeren?
Proactief aanpakken
“Veel business managers zijn zich de afgelopen jaren bewust geworden van het belang van informatiebeveiliging. Een belangrijke reden daarvoor is dat de impact van security incidenten steeds hoger uitvallen”, legt Jansen uit. “Het is dan ook logisch dat men is gaan nadenken over de vraag hoe men de impact van deze incidenten kan terugdringen. Dan blijkt dat proactief een systeem van informatiebeveiliging opzetten een efficiënte manier van werken is doordat de impact van incidenten sterk kan worden beperkt en als het onverhoopt toch mis gaat, is erover nagedacht hoe men dient te reageren.” Jansen schaart onder de impact van een beveiligingsincident overigens niet alleen de financiële kosten, zoals uitgaven voor de extra inzet van medewerkers of externe deskundigen en bijvoorbeeld eventuele extra softwarelicenties en hardware. Ook het verlies van intellectual property en reputatieschade spelen een belangrijke rol. De kosten van het opzetten en certificeren van een managementsysteem voor informatiebeveiliging vallen hierbij in het niet, meent hij.
Duidelijke rol
De rol die DNV GL bij het opzetten van dit soort managementsystemen kan spelen, is volstrekt duidelijk, zegt Jansen: “Wij beoordelen op verzoek van een organisatie de aanpak die men heeft gekozen, evenals de implementatie van de beheersmaatregelen die in ISO 27001 en NEN 7510 zijn gedefinieerd. Geven wij vervolgens een certificaat af, dan betekent dit dat wij hebben vastgesteld dat men voldoet aan de eisen die in de norm zijn vastgelegd.” Het kan natuurlijk gebeuren dat gedurende dit beoordelingstraject enkele verbeterpunten naar voren komen. In dat geval overhandigen wij deze lijst met aandachtspunten aan de organisatie waarvoor wij de beoordeling hebben gedaan. Het is echter aan die organisatie zelf om deze punten aan te pakken. Dat kunnen zij zelfstandig doen of in samenwerking met een andere partij. Wij als onafhankelijke certificerende instantie spelen hierbij echter geen rol.”
Waarom is accreditatie belangrijk?
In feite mag elke instantie met een onafhankelijke toezichthoudende commissie van deskundigen organisaties toetsen en daarvan een certificaat afgeven. De vraag is wat de waarde is van zo’n toetsing. Accreditatie is belangrijk omdat de Nederlandse Raad voor Accreditatie (RvA) internationaal erkend is als onpartijdig en onafhankelijk toezichthouder van internationale normen, waarbij vooral gelet wordt op de deskundigheid, onpartijdigheid, onafhankelijkheid en verbetercultuur van een certificerende organisatie. Een certificaat op basis van ISO 27001 en NEN 7510 is drie jaar geldig. Hierbij is het wel goed om te weten dat er één maal per jaar een periodieke audit dient te worden gedaan om vast te stellen in hoeverre het managementsysteem voor informatiebeveiliging van de gecertificeerde organisatie nog steeds naar behoren functioneert. “Veel organisaties zijn continu in beweging, waarbij processen veranderen, medewerkers andere taken en verantwoordelijkheden krijgen, noem maar op. Het is daarom goed om periodiek vast te stellen of het managementsysteem nog altijd goed functioneert.”
Certificering helpt bij GDPR
DNV GL heeft inmiddels enkele honderden organisaties in Nederland gecertificeerd op basis van ISO 27001 en NEN 7510. Jansen: “In eerste instantie zagen we vooral belangstelling vanuit de ICT-sector zelf. Vaak combineerde men dit met een kwaliteitssysteem op basis van ISO 9001. Inmiddels zien we een sterk toegenomen belangstelling voor certificering in vrijwel iedere branche. Interessant is ook om te zien dat voorheen vaak werd gedacht dat ISO 27001 en NEN 7510 alleen relevant waren voor grote organisaties, tegenwoordig certificeren wij ook steeds meer bedrijven uit het MKB.” Een laatste punt dat Jansen wil aanstippen, is de relatie tussen ISO 27001 en GDPR. “Dat is voor veel organisaties momenteel een belangrijk punt van aandacht. ISO 27001 stelt dat de organisatie moet voldoen aan alle relevante wet- en regelgeving. Dus ook de GDPR-wetgeving. Een organisatie die zichzelf wil laten certificeren voor een managementsysteem voor informatiebeveiliging zet daarmee dus ook een hele belangrijk stap richting het voldoen aan de wet- en regelgeving omtrent GDPR.”