Snel op weg naar uw ISO 27001:2013-certificering

In onze vorige blogpost las u over het belang om op een veilige manier om te gaan met informatie. Ook beschreven we hoe het ISO 27001:2013-certificeringstraject eruit ziet. Maar hoe zet u de eerste stap?

OGD voldoet niet alleen zelf aan de ISO 27001:2013-norm: wij hebben ook ervaring met het implementeren van de vereisten bij onze klanten en zijn daarbij op de hoogte van de laatste ontwikkelingen op het gebied van informatiebeveiliging. Zo helpt OGD u snel op weg naar een certificering!

Pre-audit

De ISO27001:2013-norm is bedoeld om op een gedegen en goed doordachte manier te werken aan én met een informatiebeveiligingsmanagementsysteem. De standaard bestaat uit maar liefst tien clausules:

• Scope
• Normatieve verwijzingen
• Voorwaarden en definities
• Context van de organisatie
• Leiderschap
• Planning
• Ondersteuning
• Uitvoering
• Evaluatie
• Verbetering

Naast de definities en beschrijvingen van deze clausules bevat de norm een bijlage waarin de referentie-beheerdoelstellingen en -maatregelen zijn beschreven.

Om aan de norm te voldoen moet een groot deel van de beslissingen, processen en werkwijzen worden gedocumenteerd. Het is overigens niet verplicht om alle werkwijzen in een documentvorm bij te houden. Ook gezamenlijk afgesproken uniforme werkwijzen gelden, mits hier maar wel een formele beslissing over is genomen en de werkwijze ook daadwerkelijk uniform is én blijft. Wanneer uw organisatie een audit voor de certificering laat uitvoeren, wordt er bewijs verzameld voor de clausules. Denk hierbij  aan managementbeslissingen, processen en werkwijzen. Een paper trail is in een dergelijk geval het meest eenvoudige bewijs.

OGD kan fungeren als interne of externe pre-auditor. Wij kijken dan of uw huidige werkwijzen en documentatie in lijn zijn met de ISO 27001:2013-norm. Zo helpen wij u dubbel werk en onnodige kosten te voorkomen. Denkt u klaar te zijn voor de audit? De pre-audit van OGD bestaat uit dezelfde controles die de uiteindelijke auditor van een certificeringsorganisatie uitvoert. Na een pre-audit bent u dus perfect voorbereid voor het echte werk.

Check de praktijk

Om te beginnen is het belangrijk om een nulmeting te doen. “Wij checken de dagelijkse praktijk bij een organisatie,” vertelt Robert Schmidt, adviseur Security & Compliance bij OGD. “ISO 27001:2013 schrijft voor dat medewerkers zich bewust moeten zijn van het informatiebeveiligingsbeleid. Maar hoe doe je dit, en wanneer zijn medewerkers voldoende bewust? Als bijvoorbeeld 80% van de werknemers een bewustzijnstest heeft gehaald, wat gebeurt er dan met de overige 20%? Daarom hebben we bij OGD intern ook een awarenesscampagne voor de medewerkers opgezet. Onze ervaring met onze eigen campagnes zetten wij in om andere organisaties te helpen met het opzetten van hun eigen campagne.”

Vastleggen van procedures

Heeft u nog geen vastgelegde procedures op het gebied van informatiebeveiliging? Geen probleem, wij helpen graag! Wij adviseren bijvoorbeeld over de sterkte van een wachtwoord of encryptiesleutel, over de procedures voor een wachtwoordreset of het verlopen van accounts. Een ISO-auditor kijkt namelijk hoe deze keuzes geregistreerd en onderbouwd worden. “Waarom moet een wachtwoord bestaan uit 8 tekens en 2 speciale tekens? Waarom geen 10 karakters? Je kunt voor de standaard gaan, maar het gaat om de vraag waarom je iets doet,” legt Robert uit. “Het kan zijn dat hier binnen de organisatie wel al ideeën over zijn, maar deze ideeën moeten op een doordachte en onderbouwde manier tot beslissingen leiden.” 

Het behalen van een ISO-certificering is overigens niet de enige manier om er zeker van te zijn dat u veilig werkt. Een gerichte analyse behoort ook tot de mogelijkheden. Robert vertelt: “OGD biedt een periodieke risicoanalyse voor informatiebeveiliging die voor de helft uit techniek en voor de andere helft uit governance bestaat. Daarin worden vragen beantwoord over bijvoorbeeld de beveiliging van het netwerk, encryptie van de werkstations, maar ook over het beheer van persoonsgegevens en documenten.” OGD kijkt naar de risico’s en brengt advies uit om de beveiliging up-to-date te krijgen, zodat u zich kunt richten op uw core business.