Skip to main content
Parentix Blog

Parentix Blog

Search
Home
  
Parentix Blog > Posts > ISO 27001 Certificering – Een lust of een last?  

There are no items in this list.
February 16
ISO 27001 Certificering – Een lust of een last?

Vorige week was het weer zover, de jaarlijkse assessment dag door een auditor voor onze ISO 27001 certificering. Op weg naar kantoor besefte ik me dat het een business-as-usual dag zou worden en dat ik in voorgaande jaren nog wel eens gespannen was voor een audit. Maar niets van dat alles vandaag, het Information Management Security System (ISMS) is intussen zo verankerd in onze organisatie, dat de jaarlijkse assessment een formaliteit is geworden. Al denkend kwam ik uit bij het eerste moment dat we de mogelijkheid tot certificeren besproken, zo’n zes jaar geleden.

In deze post zal ik toelichten hoe we tot deze beslissing zijn gekomen en welke stappen we hebben gezet om gecertificeerd te raken en wat we doen om gecertificeerd te blijven. Gaandeweg zal ik ook iets meer uitleggen over ISO 27001 en de gevolgen ervan voor onze organisatie.

Wat is ISO 27001?

Om volledig te zijn, ik heb het hier over de norm ISO/IEC 27001:2005 voor informatiebeveiliging (kortweg ISO 27001). Dit is de ISO-standaard voor Informatiebeveiliging. De standaard schrijft voor welke eisen er zijn aan informatiebeveiliging binnen een organisatie en hoe het management-systeem in elkaar moet zitten waarmee informatiebeveiliging wordt beheerd.

De certificering volgens deze standaard is een erkenning dat de gecertificeerde organisatie informatiebeveiliging goed heeft georganiseerd en geïmplementeerd. De standaard ISO 27001 bestaat sinds 2005; deze is gestandaardiseerd en geïnternationaliseerd volgens de normen van ISO op basis van de eerdere standaard BS7799 van het British Standards Institute. Sommige bedrijven zijn nog gecertificeerd volgens deze eerdere versie BS7799.

We gaan het doen!

In 2005 kregen we van diverse klanten de vraag hoe we bij Parentix de informatie beveiliging hadden geregeld. Eeuh, hoe bedoel je? We doen aan fysieke en technische toegangsbeveiliging, we maken uiteraard dagelijks back-ups en doen veel om beschikbaarheid en performance te garanderen. Dus hebben we informatiebeveiliging prima geregeld….toch?

En na diverse vragen en geen actie van onze kant bleef er toch wat knagen. Tijd voor wat research dus. Wat houdt de ISO 27001 certificering precies in? Wat moet je er voor doen en bovenal wat is het resultaat? Na wat leeswerk kwamen we steeds meer tot de conclusie dat het een uitstekend kader is om je organisatie naar een hoger niveau te brengen, op alle gebieden. Het biedt een uitstekend kader en topic lijst om af te werken naar een gestructureerde manier van informatiebeveiliging.

Naarmate we het er vaker over hadden kwamen we tot de conclusie dat we dit moesten gaan doen. En dus namen we medio 2006 de beslissing om een project op te starten om gecertificeerd te worden, toen nog met als doel simpelweg het certificaat. En ja, wat dan? Dat wisten we ook nog niet precies. We zijn begonnen met het samenstellen van een projectteam, het verstrekken van de opdracht aan dit team en het beschikbaar stellen van tijd en budget.

Eerst was nodig om de vragen “Wat is informatiebeveiliging?” en “Waarom is het nodig?” te beantwoorden.

Wat is Informatiebeveiliging?

Informatie is een bedrijfsmiddel dat, net als andere belangrijke bedrijfsmiddelen, waarde heeft voor Parentix, partners en klanten en voortdurend op een passende manier beveiligd dient te zijn. Informatiebeveiliging beschermt informatie tegen een breed scala aan bedreigingen, om de continuïteit van de bedrijfsvoering van Parentix te waarborgen, de schade voor Parentix te minimaliseren en het rendement op investeringen en kansen te optimaliseren.

Informatie komt in veel vormen voor. Het kan afgedrukt of geschreven zijn op papier, elektronisch opgeslagen zijn, per post of via elektronische media worden verzonden, getoond worden in films of de gesproken vorm aannemen. Welke vorm de informatie ook heeft, of op welke manier ze ook wordt gedeeld of verzonden, ze dient altijd passend beveiligd te zijn.

Informatiebeveiliging wordt gekarakteriseerd als het waarborgen van:

  • Beschikbaarheid: waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen;
  • Integriteit: het waarborgen van de correctheid en de volledigheid van informatie en verwerking;
  • Vertrouwelijkheid: waarborgen dat informatie alleen toegankelijk is voor degenen, die hiertoe geautoriseerd zijn.

Informatiebeveiliging wordt bereikt door een passende verzameling beveiligings­maatregelen in te zetten, zoals beleid, organisatiestructuren, gedragsregels, procedures en softwarefuncties. Deze beveiligingsmaatregelen dienen te worden vastgesteld om te waarborgen dat de specifieke beveiligingsdoelstellingen van Parentix worden bereikt.

Waarom informatiebeveiliging nodig is

Informatie en de ondersteunende processen, systemen en netwerken zijn belangrijke bedrijfsmiddelen. De beschikbaarheid, integriteit en vertrouwelijkheid ervan kunnen van essentieel belang zijn voor het behoud van de concurrentiepositie, cashflow, winstgevendheid, naleving van de wet en het imago van Parentix.

In toenemende mate worden organisaties en hun informatiesystemen en netwerken geconfronteerd met beveiligingsrisico's uit allerlei bronnen, waaronder computerfraude, spionage, sabotage, vandalisme, brand en overstromingen. Nieuwe oorzaken van schade, zoals computervirussen, computer hacking en het verhinderen van dienstverlening komen steeds vaker voor, worden steeds ambitieuzer en steeds meer verfijnd.

Afhankelijkheid van informatiesystemen en -diensten betekent dat organisaties steeds kwetsbaarder worden voor bedreigingen van de beveiliging. De onderlinge verbondenheid van openbare en private netwerken en het delen van informatiemiddelen maken het steeds moeilijker om de toegang te beveiligen. De trend naar gedistribueerde gegevensverwerking heeft de doeltreffendheid van centrale, specialistische sturing verzwakt.

Veel informatiesystemen zijn niet ontworpen met het oog op veiligheid. De beveiliging die met technische middelen kan worden bereikt is begrensd en dient te worden ondersteund door passend beheer en procedures. Om te bepalen welke beveiligingsmaatregelen gebruikt moeten worden is een zorgvuldige planning en aandacht voor het detail vereist. Management van informatiebeveiliging verlangt tenminste de inzet van alle medewerkers van Parentix. Bovendien is deelname van derden, klanten en aandeelhouders vereist. Ook kan specialistisch advies van externe organisaties nodig zijn.

Planning

Na het bepalen van de definities is onderstaande planning opgesteld, alhoewel we ons beseften dat deze ambitieus was:

  • oktober 2006: initiatie project
  • december 2006: proef-audit
  • februari 2007: deadline documentatie
  • maart 2007: documentatie-audit
  • maart 2007: implementatie-audit en certificering

Een planning die we overigens met vereende krachten hebben gehaald. Op 28 maart 2007 is de implementatie-audit succesvol afgesloten en het certificaat verstrekt voor drie jaar. Elk jaar een assessment-audit en na drie jaar weer een volledige audit.

Doel gehaald dus, maar we zijn steeds meer tot de conclusie gekomen dat het certificaat niet meer is dan een bevestiging van een ISMS dat zijn werk goed doet. Want pas na de certificering gaat het Information Security Management System (ISMS) zijn werk doen en daarmee zijn waarde in de praktijk bewijzen.

Wat houdt de implementatie nu echt in?

Per wereldwijde regio worden verschillende principes gehanteerd. Je moet bijvoorbeeld eerst kiezen of je “Control-based” of “Risk-based” gaat starten. Wij hebben voor het laatste gekozen, echter wordt in de Verenigde Staten het eerste principe meestal gehanteerd. Zo is het aan de Westkust van de VS belangrijk om datacenters neer te zetten die bestand zijn tegen aardbevingen en worden gebouwen op veren neergezet. Hier in Nederland wordt veel gebruik gemaakt van verhoogde vloeren, iets wat ondenkbaar is in bepaalde gedeeltes van de VS. Het is dus belangrijk om te bepalen vanuit welke positie je gaat starten en wat de reden is dat je dit doet. En voor wie je dit doet.

De standaard schrijft voor dat op basis van een inventarisatie van assets en een risico-analyse bepaalt moet worden welke technische, beleidsmatige en administratieve maatregelen genomen moeten worden om de beschikbaarheid, vertrouwelijkheid en integriteit van informatie te borgen. Maatregelen zoals het instellen van een beveiligingscommissie, een continuïteitsplan, screenen van nieuwe medewerkers en effectief incident management, maar ook de voor de hand liggende dingen zoals netwerk- en toegangsbeveiliging en virusbescherming. Een en ander moet afdoende zijn gedocumenteerd, op niveau van onder andere beleid, procedures, werkinstructies en audit trails.

Parentix heeft er nadrukkelijk voor gekozen om een praktijkgerichte en pragmatische certificering na te streven. Dat betekent dat beleid, procedures en werkinstructies in het management-systeem volledig worden gedocumenteerd zoals ze in de operationele praktijk al gelden en/of moeten gaan gelden. Geen papieren exercitie dus, maar een gelegenheid om meteen een slag te maken naar documentatie en structurering van de werkzaamheden in de organisatie.

In de praktijk komt het erop neer dat het management systeem gedocumenteerd is in een Handboek waarin alle maatregelen kort staan beschreven, en een grote set procedures, werkinstructies en overige documenten waarin diverse zaken in meer detail wordt uitgewerkt. Het is een levend geheel dat volgens de Plan-Do-Check-Act-cyclus wordt onderhouden.

Bij de documentatie-audit zijn alle documenten bestudeerd en is vastgesteld of het gedocumenteerde management systeem voldoet aan de eisen van ISO. De auditor beoordeelt vervolgens of de documenten goed doordacht zijn, goed samenhangen en goed aansluiten bij de ISO-standaard.

Bij de implementatie-audit is een aantal betrokkenen geïnterviewd om te toetsen of het management-systeem ook echt voldoende in de praktijk is gebracht. De auditor moet vervolgens constateren dat de operationele praktijk goed overeenstemt met het gedocumenteerde management-systeem. Zo niet, dan leidt dit tot een lijst van (kritische) afwijkingen die je binnen afzienbare tijd moet aanpassen.

Onderstaand geeft een goed overzicht van het proces.

ISO27001

PDCA Cyclus

Het ISMS van Parentix is ontworpen en wordt geïmplementeerd en onderhouden volgens de Plan-Do-Check-Act-methodologie (PDCA). Een algemeen bekend, iteratief principe om bedrijfsprocessen continue te verbeteren.

PDCA Cycle

De Plan Fase - het ISMS vaststellen

Het ISMS heeft als basis de Reikwijdte (Scope) en het Beveiligingsbeleid. Het ISMS omvat onder andere een systematische aanpak van risicobeoordeling waarin de criteria voor de evaluatie van risico’s worden gedefinieerd.

Het resultaat van de risicobeoordeling (de Risicoanalyse) is als basis gebruikt voor de selectie van maatregelen uit Annex A van ISO 27001:2005. Deze selectie wordt beschreven in de Verklaring van Toepasselijkheid en onderbouwd en uitgewerkt in het Handboek Informatiebeveiliging).

De Do Fase - het ISMS implementeren en uitvoeren

Het Beveiligingsplan is gebaseerd op de beslissingen en keuzes uit de Plan-fase en worden de benodigde stappen weergegeven, prioriteiten toegekend en taken aan verantwoordelijke functionarissen toegewezen om de gestelde doelstellingen te bereiken

Het MT heeft de benodigde middelen zoals beschreven in het Beveiligingsplan toegekend, waaronder ook begrepen de tijdsbesteding van de Directeur Operations en de ISMS-beheerder, het opnemen van taken en verantwoordelijkheden op het gebied van informatiebeveiliging in het Medewerker statuut en de functiebeschrijvingen, investeringen in producten en diensten voor informatiebeveiliging.

Alle geselecteerde maatregelen (zoals beschreven in de Verklaring van Toepasselijkheid) zijn geïmplementeerd om de gestelde doelstellingen te behalen. De organisatie bewaakt en meet de effectiviteit van de maatregelen. Hiertoe zijn alle bewakingsprocedures en -maatregelen geïmplementeerd die volgens de beschreven maatregelen zijn vereist.

De Check Fase - het ISMS bewaken en evalueren

De logboeken en registraties worden gebruikt om zo snel mogelijk verwerkingsfouten en beveiligingsincidenten op te merken, mislukte en geslaagde pogingen tot schending van de informatiebeveiliging te identificeren, management in staat te stellen om te beoordelen of de beveiligingsmaatregelen voldoen aan de gestelde criteria en actie te ondernemen om enige schending van de informatiebeveiliging op te lossen.

De medewerkers van Parentix en het MT evalueren regelmatig en minstens jaarlijks de effectiviteit van het ISMS en streven continu naar verbetering van de effectiviteit van het ISMS door analyse van audit resultaten en bewaking van incidenten en activiteiten.

Jaarlijks, maar ook tussentijds bij significante wijzigingen in Parentix, technologie, bedrijfsprocessen, bekende bedreigingen of anders (bijvoorbeeld op het gebied van wet- of regelgeving of maatschappelijk), evalueert Parentix alle aspecten van haar risico beoordeling en risico behandelingsplan, inclusief de grootte van restrisico’s en acceptabele risico’s (met inachtneming van eventuele wijzigingen in de effectiviteit van maatregelen) die kunnen zijn beïnvloed door deze wijzigingen; bovendien voert de Organisatie in die gevallen zo nodig aanvullende beoordelingen uit van specifieke risico’s met betrekking tot nieuwe technologieën, systeem- en overige wijzigingen die de informatie activa van de Organisatie raken.

Het management zorgt voor regelmatige interne ISMS- en overige audits. De resultaten van deze audits vormen de input voor de evaluaties. Activiteiten en incidenten die de effectiviteit van het ISMS kunnen beïnvloeden worden geregistreerd en geëvalueerd bij de management evaluatie.

Bevindingen uit de bewaking en evaluatie activiteiten worden verwerkt in het Beveiligingsplan.

De Act Fase - het ISMS onderhouden en verbeteren

Indien in de Check-fase mogelijke verbetering van het ISMS worden geïdentificeerd, worden deze geïmplementeerd als zij voldoen aan de criteria uit het risico behandelingsplan. Parentix heeft in het gehele ISMS gedocumenteerde procedures voor correctieve en preventieve actie beschreven. Preventie is een element van alle maatregelen.

De resultaten van evaluaties worden aan alle betrokkenen gecommuniceerd en eventuele resulterende acties belegd bij de juiste functionarissen.

Geïmplementeerde verbeteringen maken deel uit van het ISMS en zijn dan ook onderworpen aan hetzelfde regime van controle en evaluatie.

Wat betekent dit in de praktijk?

Kort samengevat: heel veel. Zoals ik eerder stelde, pas na een tijdje gaat het ISMS zijn waarde in de praktijk bewijzen. En deze waarde blijkt vooral in het hoge veiligheids bewustzijn bij alle medewerkers. Vanaf het moment van indiensttreding wordt dit benadrukt en vastgelegd door middel van een geheimhoudings clausule in de arbeidsovereenkomst, het gekoppelde medewerker statuut en ons hele ISMS.

In de dagelijkse praktijk wordt dit ook continu gehanteerd. Een voorbeeld hiervan is de werkwijze bij security incidenten. Deze worden vastgelegd, gecommuniceerd en geanalyseerd. Een security incident geven wij een veel bredere betekenis dan je initieel zou denken. Een volgelopen harde schijf, Windows Updates, anti-virus, zeer snel groeiende database, memory issues, plotseling herstartende server, licentie problemen, of een specifieke back-up die niet gelopen heeft. Volgens ons allemaal voorbeelden van security incidenten.

Een security incident wordt gedetecteerd, geregistreerd en geanalyseerd. Op basis hiervan wordt een directe actie uitgezet om het op te lossen en de betreffende klant(en) op de hoogte te stellen. Daarnaast worden periodiek deze incidenten geanalyseerd op verbeteringen die gestructureerd doorgevoerd kunnen worden. En tot slot wordt het proces ook weer periodiek geanalyseerd, gecontroleerd en vastgelegd om te controleren dat het ook daadwerkelijk gebeurd. Een typisch iteratief proces dat een steeds grotere cirkel bestrijkt.

Een tweede voorbeeld is de documentatie, deze is uitgebreid en gestructureerd. Onderstaand geeft een goed overzicht van de documentatie die continu gegenereerd wordt.

Diagram ISMS Documentatie

Documenten binnen het ISMS worden nooit geaccordeerd door de eigenaar; voor elke document laag wordt hierna eenduidig bepaald welke functionaris bevoegd is om de documenten te autoriseren.

Een derde voorbeeld is de “Daily Checklist” die automatisch aangemaakt wordt in het systeem en vervolgens systematisch wordt afgewerkt door het verantwoordelijke team. Per regel wordt vastgelegd wie het heeft uitgevoerd, wanneer dit heeft plaatsgevonden en wat het resultaat is. Daarnaast wordt continue gereageerd op alerts uit de verschillende management systemen. Op basis van deze input wordt door senior engineers gekeken naar trends die vervolgens in team meetings worden besproken. En dit is uiteraard de start van vervolg projecten om verbeteringen door te voeren.

Conclusie

Samengevat bestaat de certificering uit een analyse van de risico’s, de maatregelen die ja daarvoor treft, deze vervolgens implementeert en vastlegt, waarna je deze tot slot periodiek controleert. Geen rocket science, maar wel iets waarvoor je als organisatie strategisch kiest en gestructureerd moet uitvoeren.

Een gevleugelde uitspraak van de auditor is: “Het maakt mij niet uit wat je doet, als je maar doet wat je zelf hebt bepaald. Dat is wat ik controleer.” En zo is het maar net. Certificering is de eerste stap, het ISMS laten functioneren in de dagelijkse praktijk is de tweede stap en hier vervolgens verbeteringen in aanbrengen is de derde stap. De implementatie van het ISMS kun je uitvoeren als een project, de werking ervan is toch echt onderdeel van de dagelijkse bedrijfsvoering voor de gehele organisatie.

En dan kom ik bij de startvraag: ISO 27001 Certificering – Een lust of een last? Wat mij betreft zijn beide stellingen juist, het is maar net op welk moment de vraag beantwoord wordt. Zodra je start met het denk- en oriëntatie proces is het zeker een last en dat blijft het ook wel een tijdje. Maar naarmate het ISMS zijn werk doet wordt het steeds meer een lust. Mensen raken ermee vertrouwd, zien steeds meer de voordelen en het systeem heeft een zelfreinigend vermogen. De belangrijkste conclusie is dan ook dat de veiligheid is verhoogd, het aantal incidenten gedaald en de klanttevredenheid gestegen. En dat is uiteindelijk waar we het voor doen.

Maar…., zonder de weloverwogen strategische keuze, het noodzakelijke management commitment en een aanwezig DNA in de organisatie voor informatiebeveiliging wordt het nooit wat, begin er dan gewoon niet aan. Gecertificeerd worden en blijven voor ISO 27001 doe je omdat je het wilt, kunt en belangrijk vindt, niet om het certificaat te hebben.


Verantwoording

Comments

There are no comments for this post.