Informatiebeveiliging
Click here for the English version
Maak de kwaliteit van uw informatiebeveiliging zichtbaar
Achtergrond
Met vertrouwelijke gegevens gaat u zorgvuldig om en uw informatiebeveiliging heeft u goed geregeld. Maar nu wilt u dit ook aan de buitenwereld laten zien. Omdat u dit belangrijk vindt, of omdat uw afnemers hierom vragen. Certificering volgens de internationale norm (ISO 27001) is hiervoor de oplossing.
Bestaat uw dienstverlening uit het verstrekken van elektronische certificaten, dan kunt u zich laten certificeren op grond van ETSI 101 456. Uw klanten weten dan dat de door u uitgereikte certificaten in lijn zijn met de Europese richtlijn voor elektronische handtekeningen. Waar nodig kunt u zich ook laten toetsen op aanvullende eisen van de Public Key Infrastructure van de Nederlandse overheid, ofwel PKI-overheidWat is certificeren?
Certificeren is het toetsen aan (inter)nationale normen door een onafhankelijke instantie die is aangewezen door de Raad voor Accreditatie.
De normen ISO 27001 en ETSI 101 456 zijn internationaal erkende normenkaders voor informatiebeveiliging. ISO 27001 is een generieke norm voor de procesmatige inrichting van informatiebeveiligingsystemen (ISMS) en ETSI 101 456 geldt als norm voor elektronische handtekeningen en gekwalificeerde PKI-certificaten. Beide standaarden worden in Nederland en ver daarbuiten beschouwd als toonaangevend. PricewaterhouseCoopers Certification (PwCC) is door de Raad voor Accreditatie aangewezen als een instantie die aan deze normen mag toetsen en hiervoor certificaten mag uitreiken.
De voordelen van certificeren
Certificering van informatiebeveiliging kan in verschillende situaties voordelen bieden:
- Uw afnemers vragen u in het kader van risicobeheersing om een waarborg voor informatiebeveiliging.
- Uw organisatie moet aan bovenstaande normen voldoen, bijvoorbeeld vanwege Requests for Proposal bij outsourcing- of aanbestedingstrajecten.
- U hebt te maken met allerlei interne of externe audits waarin u wordt gevraagd naar de stand van zaken rondom uw informatiebeveiliging. Certificering heeft als voordeel dat u kosten bespaart omdat u niet steeds opnieuw audits hoeft te ondergaan of beschrijvingen hoeft te maken ten behoeve van potentiële afnemers.
- U wilt de kwaliteit van uw informatiebeveiliging intern zichtbaar maken. Het certificeren van uw informatiebeveiliging maakt het mogelijk om de kwaliteit eenduidig zichtbaar te maken voor de diverse stakeholders binnen uw eigen organisatie. Vooral binnen grotere organisaties met gedistribueerde verantwoordelijkheden, biedt het voordelen om over gecertificeerde informatiebeveiliging te beschikken.
Vaak is een gecertificeerde omgeving voor auditors voldoende om geheel of gedeeltelijk af te zien van aanvullende garanties of controles. Dit voorkomt dat u telkens volledige openheid van zaken moet geven en tijd moet inruimen voor aanvullende toetsing. Bovendien brengt dit besparingen met zich mee en ontlast het uw organisatie. Daarnaast helpt certificering bij het onderhouden van de kwaliteit van de processen zelf.
Hoe ziet het certificatieproces eruit?
In hoofdlijn bestaat het certificatieproces uit zes onderdelen:
Proef-audit: bij de proef-audit wordt een initiële beoordeling gemaakt aan de hand van interviews en documentatie. Uw organisatie krijgt direct een goed beeld van de haalbaarheid van de certificering. Zo wordt uw organisatie goed op het certificeringtraject voorbereid.
Handboekbeoordeling: in deze fase wordt de aanwezige documentatie betreffende het managementsysteem beoordeeld. Eventuele afwijkingen worden aan u gerapporteerd, zodat u in de aanloop naar de initiële audit de puntjes op de i kunt zetten.
Implementatiebeoordeling: deze heeft tot doel om vast te stellen of er voldoende vertrouwen bestaat dat uw organisatie voldoet aan de eisen zoals vastgelegd in de gehanteerde norm. Belangrijk aandachtspunt hierbij is of er in overeenstemming met de documentatie wordt gewerkt.
Certificeringbeslissing: indien de aandachtspunten die uit de audit naar voren kwamen zijn opgelost, wordt de auditrapportage beoordeeld door de toezichthouders binnen PwCC en zal het certificaat aan de organisatie worden verleend.
Surveillance-audit: het certificaat is drie jaar geldig. Gedurende deze geldigheidstermijn worden periodiek zogenoemde surveillance-audits uitgevoerd. Doel hiervan is te onderzoeken of het managementsysteem bij voortduring wordt nageleefd en gesignaleerde verbeteringspunten adequaat worden aangepakt.
Herbeoordeling: na het verstrijken van de geldigheidstermijn van drie jaar moet het verificatieproces opnieuw worden gestart voor het verlengen van uw certificaat. Dit vraagt om een herbeoordeling van uw managementsystemen.
Maakt het nog uit door wie u gecertificeerd wordt?
Wanneer uw informatiebeveiliging is gecertificeerd, maakt u allereerst duidelijk dat u zich bij de inrichting van de informatiebeveiliging heeft gebaseerd op internationaal geaccepteerde best practice. Als deze verklaring bovendien is afgegeven door een internationaal hoog aangeschreven en onafhankelijke partij als PwCC, dan kunt u erop vertrouwen dat u zich hiermee daadwerkelijk onderscheidt.
PwCC is als één van de weinige bedrijven in staat om wereldwijd certificering van informatiebeveiliging voor ISO 27001 / 27002 en ETSI 101 456 uit te voeren.
Meer informatie of een offerte?
Als u meer informatie wilt over onze dienstverlening op het gebied van certificering van de inrichting van uw informatiebeveiliging of elektronische handtekeningen, of u wilt een offerte aanvragen, dan kunt u contact opnemen met Otto Vermeulen (+31 (0)88 792 63 74 ), Fook Hwa Tan (+31 (0)88 792 75 56) of Eric Verheul (+31 (0)88 792 74 81).
De registers van certificaten voor ISO 27001 en TTP wordt bijgehouden door ECP.nl
