Een advies dat we wel eens horen als het over ISO gaat certificering is dat elke ISO-implementatie op maat is gemaakt. Aan de ene kant is dat natuurlijk waar. Omdat elke organisatie anders is. Elke organisatie moet dus zelf heel goed kijken naar wat de context van de organisatie precies is. En welke risico's er op hen van toepassing zijn. En hoe je bepaalde maatregelen wilt implementeren om die risico's te beheersen. In de praktijk zijn de risico's waar organisaties op abstract niveau mee te maken krijgen heel vaak dezelfde. Denk bijvoorbeeld aan het risico dat een mobiele telefoon verloren gaat of dat een laptop in de trein wordt achtergelaten. Elke organisatie heeft dat risico en nog veel meer zoals u. Zelfs als het gaat om het implementeren van risicobeperkende maatregelen, zijn het vaak dezelfde maatregelen in elke organisatie. Je kunt dus heel goed dezelfde basis gebruiken voor de implementatie van ISO-normen in verschillende organisaties. Hoe dat eruit ziet, leggen we hier uit aan de hand van drie praktijkvoorbeelden waarbij IsoPlanner de basis vormt.
ISO 27001-certificering binnen 3 maanden
Een grote leverancier van multitechnologische energie- en communicatiediensten met bijna 8.000 werknemers op 41 locaties had al een externe audit gepland voor de ISO 27001-certificering. Intern waren ze echter nog lang niet klaar voor deze audit. Toen deze klant ons inschakelde, moesten we plotseling onder hoge tijdsdruk de implementatie voor elkaar krijgen. Deze organisatie bestond uit meerdere werkmaatschappijen die zich in verschillende stadia van implementatie bevonden. Ze hadden dus een oplossing nodig waarmee ze de implementatiestatus van al deze verschillende werkmaatschappijen binnen hun Microsoft-omgeving konden volgen.
Overzicht van de implementatiestatus voor meerdere werkmaatschappijen
We hebben IsoPlanner geïmplementeerd als een beheersysteem voor informatiebeveiliging (ISMS). Dit zorgde niet alleen voor een snelle implementatie van de ISO 27001-norm, maar het ISMS is ook geschikt om in de toekomst meerdere werkmaatschappijen aan te sluiten. Voor elke werkmaatschappij is een overzicht beschikbaar van de status van de implementatie. Het is ook eenvoudig om andere sets standaarden te implementeren of een bestaande set standaarden snel en eenvoudig bij te werken. Daarnaast hebben we een standaarddocumentatieset geleverd met beleidsregels en voorbeelddocumenten die ze alleen nodig hadden om ze aan te passen aan hun specifieke situatie. Deze twee oplossingen hebben deze klant ongelooflijk veel tijd bespaard. De volledige implementatie vond plaats in slechts 3 maanden, waardoor ze uiteindelijk op tijd waren voor de reeds geplande audit.
Certificering voor CCV-pentests behalen met IsoPlanner
Dit voorbeeld gaat over een client die andere bedrijven helpt bij het opsporen van kwetsbaarheden binnen de Microsoft-omgeving. Bijvoorbeeld door instellingen te detecteren die derden ongepaste toegang bieden. Daarnaast voert deze organisatie ook pentests uit. Deze klant had de wens om het CCV-pentestcertificaat te verkrijgen voor hun pentests, de standaard in deze vorm van beveiligingsdienstverlening. En met de software van IsoPlanner kunt u meer doen dan uw organisatie certificeren voor ISO-normen. Omdat IsoPlanner een open raamwerk is dat is ontworpen om veel uiteenlopende en specifieke sets van normen te verwerken. Het systeem maakt allerlei certificeringsprocessen mogelijk. Onze oplossing voor deze klant was om IsoPlanner te implementeren als een beheersysteem voor informatiebeveiliging. Hierdoor konden ze de maatregelen en het beleid van de pentestnorm binnen hun organisatie op een duidelijke en snelle manier implementeren.
Documentatie, beleid en maatregelen die verband houden
De documentatie is niet alleen gekoppeld aan maatregelen en beleid, maar het is ook gemakkelijk om de planning bij te houden. Dit maakte het voor deze klant mogelijk om een goed overzicht te houden van de voortgang van de implementatie van alle maatregelen met betrekking tot deze CCV-pentestcertificering. En om te zien welke taken aan welke medewerkers zijn toegewezen.
Voortdurend bewijs verzamelen voor ISAE 3402-certificering
Tot slot was een ander voorbeeld van een toepassing van IsoPlanner voor een ICT-dienstverlener die werkplekbeheer en cloudoplossingen levert. Ze wilden een ISAE 3402-verklaring krijgen voor hun organisatie. Dit is een niet-verplichte norm die voortdurend bewijs vereist dat bepaalde technische maatregelen naar behoren worden geïmplementeerd. Het vergt veel werk van ICT-medewerkers binnen de organisatie om dat bewijs voortdurend op te halen. De uitdaging waar deze organisatie voor stond was het overzicht bewaren van de zware bewijslast. Wie moest wat doen, wanneer en waar zouden ze dat opnemen? De oplossing was om IsoPlanner te implementeren als een beheersysteem voor informatiebeveiliging, waarbij we de reeks maatregelen uit de ISAE 3402-standaard hebben gekozen om binnen de organisatie te implementeren. Je kunt die set bedieningselementen zelf kiezen en samenstellen binnen IsoPlanner. Daarna is het heel eenvoudig om periodieke controles uit te voeren en de periodieke verzameling en opslag van bewijsmateriaal bij te houden.
Overzicht van verzameld bewijs en taakverdeling binnen de organisatie
Het biedt de mensen die de controles uitvoeren een zeer laagdrempelige manier om het gevraagde bewijs te leveren. Dit geeft u op elk moment een goed overzicht van al het bewijsmateriaal dat is verzameld en waar eventuele taken binnen de organisatie zijn toegewezen. Door gebruik te maken van IsoPlanner heeft deze organisatie nu een duidelijk overzicht van alle geïmplementeerde controles, hun status en de planning van de uit te voeren werkzaamheden. IsoPlanner koppelt ook aan Outlook, waardoor het eenvoudig is om taken in agenda's te plannen en bewijsmateriaal te koppelen aan de relevante taak of actie. Dit geeft deze klant veel overzicht en structuur en bespaart intern veel tijd. Het biedt ook gemoedsrust om in één oogopslag te zien of een taak is voltooid. Het handmatig bijhouden van Excel-lijsten is verleden tijd!
