Overweegt u uw organisatie te certificeren volgens een ISO-norm? In dit artikel beantwoorden Maurice Pasman van Instant 27001 en Ivar van Duuren van IsoPlanner de meest gestelde vragen over ISO-certificering.
1. Wie is verantwoordelijk voor de implementatie van ISO 27001?
De norm stelt dat het management van een organisatie de primaire verantwoordelijkheid heeft voor de informatiebeveiliging van de organisatie. Enerzijds betekent dit het beschikbaar stellen van budget en het geven van het goede voorbeeld. Maar in principe betekent dit ook dat het management een of meer medewerkers binnen de organisatie moet aanwijzen die verantwoordelijk zijn voor de implementatie van de norm.
De meest gebruikte rol is die van Information Security Officer (CISO). Deze persoon is vaak primair verantwoordelijk voor de uitvoering van de Beheersysteem voor informatiebeveiliging (ISMS). Dit is niet de persoon die alles moet doen, maar die de verantwoordelijkheid krijgt van het management. En de mogelijkheid om andere mensen daadwerkelijk te betrekken en hun tijd te nemen.
Er zijn ook andere mensen betrokken bij de uitvoering. Denk bijvoorbeeld aan iemand van HR die kijkt of de verantwoordelijkheden, rechten en plichten ook goed zijn vastgelegd in de contracten. Ook worden mensen uit de softwareontwikkeling bij voorkeur betrokken om te zien of de beste praktijken op het gebied van veilige ontwikkeling al zijn geïmplementeerd.
En bijvoorbeeld een software engineer die betrokken is om te kijken of de inrichting van de cloudomgeving goed verloopt. Naast de rol van Security Officer zijn dus ook andere mensen binnen de organisatie betrokken bij de ISO-implementatie.
2. Kun je ISO 27001 en NEN 7510 samen implementeren?
Veel klanten vragen ons of het handig of mogelijk is om de organisatie tegelijkertijd te certificeren voor ISO 27001 en NEN 7510. Dit is inderdaad erg handig om te doen. Al was het maar omdat de overlap van het Information Security Management System (ISMS) 100% is.
Niet bekend met NEN 7510? Dit is een Nederlandstalige standaard op het gebied van informatiebeveiliging, specifiek voor toepassing binnen de gezondheidszorg. En het is ook een norm die wettelijk verplicht is. Zorgaanbieders binnen Nederland zijn dus wettelijk verplicht om NEN 7510 te implementeren. Overigens moet dit niet verward worden met een NEN 7510-certificering, want dat is niet verplicht. Toch zie je dat veel partijen in de zorg en hun dienstverleners vaak overgaan tot certificering, want dat is de kroon op hun werk.
3. Kun je ISO-maatregelen vervangen of negeren?
Als je de lijst met beheersmaatregelen uit de bijlage A van de ISO 27001- of NEN 7510-norm bekijkt en je staat niet achter de maatregelen, mag je dan andere maatregelen kiezen? Bijvoorbeeld omdat je ze zelf wilt bedenken of omdat je een andere set maatregelen wilt gebruiken? Het korte antwoord is: ja, dat mag.
De ISO-norm bevat meetsuggesties in bijlage A die u als checklist kunt gebruiken. Om ervoor te zorgen dat je niets vergeet. De maatregelen die u uiteindelijk kiest, kunnen echter overal vandaan komen. En als je op een gegeven moment denkt: ik heb een extra maatregel nodig, dan zou het raar zijn als je die maatregel niet zou nemen.
Als je op die lijn doorgaat, dan kun je ook besluiten dat je de hele lijst van maatregelen uit bijlage A niet geschikt vindt voor je organisatie. En dat je een andere set voorbeeldmetingen gebruikt, bijvoorbeeld van een andere ISO-norm zoals de 27017 of 27018.
De norm wil ook dat u een Verklaring van Toepasselijkheid opstelt. In die Verklaring van Toepasselijkheid geef je aan welke maatregelen je hebt genomen, maar je moet ook aangeven wat je hebt gedaan met de maatregelen uit bijlage A. En wanneer je besluit om de maatregelen uit bijlage A volledig te negeren en bijvoorbeeld de maatregelen uit de SIS-controles toe te passen, dan vermeld je in je Verklaring van Toepasselijkheid welke maatregelen uit de SIS-controles je gebruikt.
4. Is ISO 27001 ook geschikt voor kleine bedrijven?
Veel mensen denken dat ISO 27001 of ISO 9001 alleen geschikt is voor zeer grote organisaties. Maar de standaard is zo geschreven dat dat onderscheid niet echt wordt gemaakt.
Als je de norm aandachtig leest, stelt deze namelijk eisen aan bijvoorbeeld de documentatie waarover een organisatie moet beschikken. Hierin staat expliciet dat de hoeveelheid en de manier waarop die documentatie wordt bijgehouden, geschikt moet zijn voor de organisatie.
Dat laat expliciet de mogelijkheid open voor een zeer kleine organisatie om ook het managementsysteem te implementeren. Of het nu zonder een enorme stapel documentatie is. Maar met slechts enkele kleinere beleidsdocumenten, wat eenvoudigere processen. Dat maakt de standaard perfect toepasbaar voor een kleine organisatie.
5. Hoe lang moet een organisatie bestaan voor certificering?
Hoe lang een organisatie moet bestaan voor een ISO-certificering is een zeer interessante vraag. Het heeft ermee te maken dat je tijdens een audit de auditor het gevoel wilt geven dat de processen die je laat zien en het beleid dat je hebt geschreven al een bepaalde tijd springlevend zijn binnen je organisatie.
Een organisatie die net twee weken bestaat en waarvan het managementsysteem twee weken geleden ook geschreven is, zal de gemiddelde auditor dus niet het warme gevoel geven dat dit een goed geworteld systeem is.
Als je kijkt naar wat de standaard erover zegt, staan er geen harde tijdlijnen in. De norm zegt alleen dat een managementsysteem in aanmerking komt voor certificering als kan worden aangetoond dat alle componenten minstens één keer zijn geïmplementeerd (hoofdstuk 4 tot en met hoofdstuk 10).
Als alle onderdelen van de Plan-Do-Check-Act-cyclus minstens één keer aantoonbaar zijn geïmplementeerd, dan kunt u het beheersysteem certificeren. In de praktijk stellen we vast dat de meeste consultants en accountantskantoren hiervoor wel een minimumperiode van 3 maanden hanteren. Maar dat komt niet uit de standaard.
Mislukkingen in de ISO-certificering
In de praktijk zien we nog steeds veel situaties waarin processen over meerdere systemen lopen en waarbij meerdere mensen betrokken zijn. Er is geen goede overdracht van het ene systeem naar het andere. En wat er mis kan gaan, is dat dingen gewoon vergeten worden.
Iemand voert dus wel een medewerker in het HR-systeem in, maar vergeet een ander te laten weten dat er een ticket nodig is om bepaalde rechten te verlenen aan die nieuwe werknemer.
Dan is het resultaat niet wat het zou moeten zijn, waardoor nadien herstelwerkzaamheden nodig zijn. En de organisatie is geschokt en vraagt zich af waarom iets niet werkt en wat er mis is gegaan.
Hoe ziet een ideaal nalevingsproces eruit?
In een ideale wereld komt er een nieuwe medewerker de organisatie binnen of is er een nieuwe leverancier. Waar het proces begint op het moment dat een nieuwe medewerker of leverancier in het eerste systeem wordt ingevoerd.
En waarbij alle volgende stappen die voortvloeien uit dat ene proces automatisch van het ene systeem naar het andere vloeien. Waar elke keer de werknemers die iets moeten doen, worden getriggerd op de plek waar ze werken. Met een Teams-melding staat er bijvoorbeeld iets klaar voor hen om te doen. En als een stap wordt overgeslagen, krijgt de betrokkene automatisch een melding of herinnering om het werk toch te doen.
In de ideale wereld wordt het resultaat ook op een centrale locatie vastgelegd in een systeem waar iedereen al mee werkt.
Stel in 3 stappen workflows voor compliance-automatisering in
Wilt u de naleving binnen uw organisatie automatiseren? Hoe richt je die workflows voor compliance-automatisering in en hoe onderhoud je die processen op de juiste manier? Ten eerste is het belangrijk dat je ervoor zorgt dat je één systeem hebt waar je het resultaat van al die geautomatiseerde processen vastlegt.
Ten tweede is het goed om vast te stellen welke processen je wilt automatiseren. En als je daar een idee van hebt, begin dan rustig met één proces. Een proces dat nu misschien wel het meeste werk in de organisatie vergt. Of waar misschien wel de meeste fouten worden gemaakt. Of waar je als organisatie de meeste fouten maakt. En dan begin je met het automatiseren van dat eerste proces. Dan pak je het volgende proces en zo bouw je langzaam verder.
Tot slot is het belangrijk om te zien welke systemen de processen raken. Welke systemen zijn betrokken bij de verschillende workflows? En welke mogelijkheden bieden die systemen om informatie te koppelen en te verzamelen in een centraal systeem, zodat u het overzicht houdt over alle processen?
