DNVGL.NL

Waarom certificeren voor informatiebeveiliging?

01110000

Informatiebeveiliging binnen organisaties wordt steeds belangrijker. Ook zijn er steeds meer bedrijven die zich voor informatiebeveiligingsnormen zoals de ISO 27001 en NEN 7510 laten certificeren, maar waarom is dit nu belangrijk?

Met certificatie wordt u als organisatie gemotiveerd om de bedrijfsprocessen continu te blijven verbeteren. Daarbij keert certificatie elk jaar terug, waardoor uw binnen de organisatie altijd bezig bent met het voldoen aan de eisen van de norm. Met certificatie voor de ISO 27001, krijgt uw grip op de risico’s binnen de organisatie. Dit komt doordat de risico’s in kaart worden gebracht en per risico een aantal maatregelen opgesteld worden. Dit is belangrijk, omdat de organisatie direct kan handelen wanneer er is een keer iets goeds misgaat, zoals bij een datalek of een cyberaanval.  

Wanneer u zich door een geaccrediteerde certificerende instelling laat toetsen geeft dit extra vertrouwen naar uw interne en externe stakeholders. Hierdoor zullen andere organisaties de voorkeur hebben om met u samen zaken te doen. Indien u als organisatie niet gecertificeerd bent, betekent dit niet direct dat er niets aan de informatiebeveiliging gedaan wordt. Alleen zult u vaak merken dat onderwerpen vaak niet structureel op de agenda staan. Waardoor het qua verbetering vaak blijft bij losse initiatieven en verbeter acties.


Waarom certificeren voor informatiebeveiliging?  

Certificeren voor informatiebeveiliging zorgt ervoor dat: 

  • de bestaande risico’s binnen uw organisatie zo goed mogelijk ingedekt worden met als gevolg minder incidenten;
  • interne stakeholders, zoals werknemers binnen de organisatie weten hoe ze juist kunnen handelen tijdens een incident; 
  • uw organisatie de relevante wet- en regelgeving naleeft; 
  • uw organisatie geloofwaardig en professioneel overkomt; 
  • er awareness binnen uw organisatie is; 
  • uw interne en externe stakeholders en extra vertrouwen hebben in de organisatie; 
  • uw organisatie continu gemotiveerd is met het aanscherpen en verbeteren van de interne processen; 
  • betrokkenheid van medewerkers met als gevolg een positieve invloed op de ziekteverzuim, werkdruk en werksfeer. 


Download 'In 10 stappen naar ISO 27001' 

In deze whitepaper ziet u welke voorbereidingen nodig zijn ter voorbereiding van certificering volgens ISO 27001. Ook vindt u hierin tips van de auditoren. Download hier de whitepaper 'In 10 stappen naar ISO 27001'.

Download whitepapers 216x36 


Wat moet u doen als u wilt starten met certificering?

1. Interpretatie van de norm

Ten eerste is het belangrijk om de norm te begrijpen. Pas als u de norm helemaal heeft doorgenomen en begrijpt kunt u voldoen aan alle eisen van de norm. De norm is een document waarin alle eisen staan waar u aan moet voldoen om uw certificaat te behalen. U kunt alle normen, waaronder ook de ISO 27001 en de NEN 7510 aanschaffen op de website van NEN. Vindt u het lastig om de eisen van de norm naar uw eigen organisatie te vertalen? Dan kunt een training normkennis ISO 27001 volgen, waarin leert over de basisprincipes van het Informatiebeveiliging Managementsysteem (oftewel ISMS, Information Security Management System), hoe u informatie veiligheidsrisico’s kunt identificeren en hoe uw organisatie kritische informatie kunt beschermen tegen verschillende bedreigingen.


2. Risicoanalyse en treatmentplan

Na het doorgronden van de norm gaat u aan de slag met het opstellen van de informatiebeveiligingsrisico’s. Dit kunt u doen door een schema te maken en bij elk risico de mogelijke gevolgen op te schrijven. Hierdoor kunt u beoordelen welke risico’s groter zwaarder wegen. Wanneer u deze risico’s in kaart heeft gebracht kunt u een plan maken waar u per risico de ernst van de situatie documenteert en welke maatregelen u hiertegen kunt nemen. Hierin gaat het vooral om preventieve maatregelen. 


3. Verklaring van toepasselijkheid

Wanneer u bepaalde activiteiten niet uitvoert, hoeft u deze natuurlijk ook niet mee te nemen in uw managementsysteem. Dit wordt vastgelegd in de verklaring van toepasselijkheid. Hierin moet u vastleggen welke beheersmaatregelen u van de bijlage van de norm u heeft geïmplementeerd. Daarnaast moet u ook aangeven wanneer u zaken dus niet hebt geïmplementeerd en waarom dat zo is. De verklaring van toepasselijkheid moet zo opgesteld zijn dat het samen met het beoordelingsdocument gedeeld kan worden met de stakeholders. Dit geeft extra inzicht bij stakeholders zodat zij kunnen zien wat er wel en wat er niet geïmplementeerd is. De verklaring van toepasselijkheid wordt ook vermeld op het certificaat. Het is belangrijk dat deze verklaring elk jaar opnieuw opgesteld wordt aan de hand van een verplichte risicoanalyse (eis vanuit de norm), of als er grote veranderingen zijn zoals extra activiteiten, verhuizing, extra vestiging dan wordt het document aangepast.


Wanneer u de bovenstaande drie stappen heeft uitgevoerd, is het belangrijk om deze na te lopen en uzelf af te vragen of u werkelijk alle informatiebeveiligingsrisico’s binnen de organisatie in kaart heeft gebracht. Hierna moet u een informatiebeveiligingsbeleid opstellen, hieronder valt ook het ISMS. In dit beleid legt u vast welke maatregelen de organisatie neemt om de risico’s terug te dringen. 


Hoe kan DNV GL hierbij helpen? 

Heeft u de norm gelezen, maar weet u niet hoe u dit alles toe kunt passen? Dan kunnen wij u hierbij helpen door middel van onze training Normkennis ISO 27001. Wilt u zelf ook aan de slag als auditor om audits uit te voeren bij een leverancier? Of wilt u bij een certificatie instelling gaan werken? Dan kunt u de training lead auditor ISO 27001 volgen.  

Daarnaast kan DNV GL u helpen een adviesbureau te raadplegen die u kunt helpen met het opzetten van een managementsysteem. Als u zelf wel genoeg kennis heeft om een managementsysteem op te zetten kunnen wij beginnen met een nulmeting/proefaudit (GAP Analyse). Tijdens deze nulmeting/proefaudit wordt gekeken naar wat de organisatie al heeft en welke stappen er nog ondernomen moeten worden. U krijgt hier een rapport van zodat u hier zelfstandig mee aan de slag kunt gaan om de laatste punten te kunnen verbeteren voor het behalen van uw certificaat.