Certificatie ISO/IEC 27001: 4 hardnekkige mythes ontkracht

dit is de taalnl

Certificatie ISO/IEC 27001: 4 hardnekkige mythes ontkracht

Dé internationale norm voor informatiebeveiliging, ISO/IEC 27001, is wereldwijd de op drie na populairste managementnorm. Enkel voor ISO 9001 (kwaliteit), ISO 14001 (milieu) en ISO 22000 (voedselveiligheid) werden in 2018 meer certificaten uitgereikt. Maar in vergelijking met andere landen behalen Belgische organisaties veel minder certificaten voor ISO/IEC 27001. Onze Innovation Manager Peter Brosens, die het NBN in 2019 naar certificatie leidde, ziet daarvoor 4 mythes als oorzaak.

ISO 27001 – bekend als ISO/IEC 27001:2013 – biedt organisaties een kader voor het opzetten van een doeltreffend managementsysteem voor informatiebeveiliging (ISMS). Het doel van een ISMS is om je informatie op een systematische manier te beheren. Zo voer je bijvoorbeeld legale, fysieke en technische checks uit om beveiligingsrisico’s tot een minimum te beperken – een continu verbeterproces.

1. Een certificaat voor ISO/IEC 27001 biedt mijn organisatie geen concrete meerwaarde.

Peter Brosens: “Voor het NBN, en allicht voor veel bedrijven, zijn data en de omgeving waarin deze worden bewaard een essentiële hefboom geworden om strategische meerwaarde te creëren. Zo moet het NBN niet alleen zijn normen beschikbaar stellen, maar ook waken over de integriteit en de confidentialiteit ervan. Bovendien beheert het NBN ook content van klanten. Met andere woorden, het behalen van een ISO/IEC 27001-certificaat is rechtstreeks gekoppeld aan de business. Het bewijst dat het NBN in staat is om matuur om te gaan met het beschikbaar stellen van zowel interne als externe informatiebronnen. En dat het daarbij integriteit en vertrouwelijkheid hoog in het vaandel draagt. Dit geeft dan weer een verhoogd vertrouwen bij stakeholders en opent deuren naar nieuwe opportuniteiten. Ongetwijfeld wordt dit de komende jaren een must-have in bepaalde waardeketens.”

Een certificaat is niet het doel op zich, maar een middel om vertrouwen te winnen én nieuwe opportuniteiten aan te boren.

 

2. Een geschikte certificatie-instelling vinden is nattevingerwerk.

Peter Brosens: “In België zijn er verschillende organisaties en consultants die audits uitvoeren en/of certificaten uitreiken voor ISO/IEC 27001 en andere normen. Binnen de context van het NBN was het belangrijk te werken met een geaccrediteerde certificatie-instelling. Een accreditatie is immers een bewijs van onpartijdigheid, onafhankelijkheid en technische competentie is. Je vindt alle geaccrediteerde instellingen snel terug via de website van BELAC, het Belgische accreditatie-instituut. Kies je voor een andere uitweg, dan bestaat de kans dat je de waarde van je certificaat ondergraaft. Ervaren spelers evalueren niet enkel de scope van je certificatie, maar ook de certificatie-instelling zelf.”

Voor het NBN was certificatie door een geaccrediteerde certificatie-instelling de logica zelve.

 

3. Een certificaat voor ISO/IEC 27001 geldt voor mijn volledige organisatie en haar processen.

Peter Brosens: “Je kiest zelf de scope en dus welke diensten je wil laten certificeren. Bij het NBN kozen we er bijvoorbeeld voor om te focussen op myNBN. Dat online platform zetten we specifiek in om informatie van het NBN, haar stakeholders en haar klanten te ontsluiten. Door de scope duidelijk te stellen, konden we gericht werken rond specifieke processen en informatieassets. De principes implementeerden we overigens ook voor alle andere processen, maar het verschil is dat deze niet onderhevig zijn aan een auditproces.”

TIP

Zorg dat je de scope scherpt stelt van wat precies de moeite is om te beveiligen en dat je de buy-in hebt van het management voor je aan een certificatieproces begint.

4. Een certificaat voor ISO/IEC 27001 behalen, is een langdurig en complex proces.

Peter Brosens: “Aangezien het NBN vooraf een duidelijke strategie en een ISO 9001 kwaliteitsmanagementsysteem had, was het toevoegen van een dimensie rond informatiebeveiliging al deels ingevuld. De sleutel is dan om de eerder abstracte norm correct te interpreteren en om te zetten naar je reële context. Voor het NBN was ik in totaal 20 mandagen intensief bezig. Die besteedde ik onder meer aan het bepalen van de scope, het inventariseren van alle assets, het definiëren van een beleid en procedures, het inrichten van een risicobeheerssysteem, het definiëren van het toepassingsgebied en het uitvoeren van een proefaudit. ISO/IEC 27001 vertelt je immers wat de vereisten zijn, maar niet hoe je ze in de praktijk brengt. Dat bepaal je zelf. En met de juiste methodiek hoeft de correcte en volledige implementatie van de managementnorm niet onnodig lang te duren.”

Op 1 werkmaand kan je je organisatie eigenhandig klaarstomen voor certificatie, op voorwaarde dat je beschikt over een duidelijke bedrijfsstrategie en een vertaling hiervan op tactisch en operationeel niveau.

Je optimaal voorbereiden op certificatie voor ISO/IEC 27001?

Het NBN organiseert verschillende opleidingen en leertrajecten om de norm volledig onder de knie hebben.

Meteen de norm aankopen?

Dat kan in de e-shop van het NBN.

Peter Brosens, Innovation Manager NBN

 

Het NBN behaalde op 28 oktober 2019 een ISO/IEC 27001-certificaat voor myNBN.