Wat moet je checken als je met een ISO 27001 gecertificeerd bedrijf gaat werken

Wat moet je checken als je met een gecertificeerd ISO 27001 / NEN 7510 bedrijf gaat werken. Wat verteld de scope van het certificaat jou en welke informatie moet je nog meer opvragen om een goed beeld te krijgen. Deze blog geeft jou die informatie. (Als hieronder ISO 27001 staat kan dat gelezen worden als ISO 27001 en NEN 7510. Voor beide normen is dit namelijk hetzelfde).

Wat zegt een certificaat

Certificaten geven zekerheid. Echter het ene certificaat is niet het andere certificaat. Dat komt omdat een certificaat een weerslag is van wat door de auditor is gecontroleerd. De te certificeren organisatie geeft aan wat ze gecontroleerd willen hebben. Aan de hand van die informatie wordt een berekening van het aantal audit dagen gemaakt. En dan komt de auditor langs om de audit uit te voeren.

Er zijn regels voor het bepalen wat er wordt geaudit

Als organisatie mag je bepaalde delen van je dienstverlening uitsluiten en ook bepaalde delen van je organisatie. Er zijn echter wel regels voor wat je wel en niet mag uitsluiten. De auditor controleert dat en samen met de organisatie wordt de scope bepaald. De scope is een tekstuele omschrijving van de diensten / producten die geleverd worden. Deze scope staat op het certificaat.

Extra informatie in de verklaring van toepasselijkheid (VvT)

De ISO 27001 bestaat uit 2 delen. Een algemeen deel, in de norm terug te vinden in de hoofdstukken 4 tot en met 10. En een specifiek deel, in de norm terug te vinden in de Annex. In deze Annex staan de beheersmaatregelen m.b.t. informatiebeveiliging, zoals bijvoorbeeld uitgifte van rechten, netwerkscheiding en de fysieke beveiliging. Van dit specifieke deel zijn beheersmaatregelen op ‘niet van toepassing’ te zetten. Dat betekend dan dat je dat deel van de norm niet hebt geïmplementeerd in jouw organisatie. Hoe meer je uitsluit hoe minder het certificaat waard is. Immers je hebt niks gedaan met dat deel van de norm dat je hebt uitgesloten.

ISO 27001 certificeringHoe meer je uitsluit hoe minder je certificaat waard is

Nou kan het natuurlijk dat het logisch is om een deel uit te sluiten. Als je bijvoorbeeld software inkoopt en dus niet zelf ontwikkeld kan je, het deel dat gaat over ontwikkelen van software, uitsluiten. Jouw klanten zullen dat ook logisch vinden. Echter als je veel uitsluit zeg je daarmee dat je geen aandacht hebt voor dat deel uit de norm. Je hebt het immers niet geïmplementeerd in jouw organisatie. Het maakt dus geen deel uit van jouw managementsysteem voor informatiebeveiliging (het ISMS).

Waar let je op bij een gecertificeerde leverancier

Als jouw leverancier zegt dat alles wel goed zit omdat ze een ISO 27001certificaat hebben is het dus aan jou om dat te controleren door:

  1. Het certificaat op te vragen en de scope te lezen.
  2. De VvT (verklaring van toepasselijkheid ook wel statement of applicability genoemd) op te vragen en te checken welke beheersmaatregelen wel en niet van toepassing zijn verklaard.
  3. Check de data op het certificaat. Dit geeft de looptijd van het certificaat aan.

Als je deze informatie hebt gelezen kan je bepalen of de dienst die jij afneemt ook daadwerkelijk gecertificeerd is.

Veel gemaakt fouten

Voorbeeld 1: Een software bedrijf A zegt dat ze informatiebeveiliging goed hebben geregeld omdat ze met een gecertificeerd datacenter werken. Dit betekend dus dat de toegevoegde diensten (bijvoorbeeld ontwikkelde software) die bedrijf A leveren niet zijn gecertificeerd. Je data zijn dan wel veilig in het datacenter, maar of de software aan de regels van informatiebeveiliging voldoet is dus niet gecheckt door een auditor en dus niet gecertificeerd.

Voorbeeld 2: Een bedrijf zegt dat ze informatiebeveiliging goed hebben geregeld want ze zijn gecertificeerd. Maar als je de scope leest zie je dat alleen de interne processen zoals HRM, verkoop en de administratie zijn gecertificeerd. Dit kan dus en is ook toegestaan. Jij zal dus de conclusie moeten trekken dat als je daar diensten of producten koopt deze dus niet onder het certificaat vallen en dus niet gecertificeerd zijn.

Voorbeeld 3: je koopt software bij een softwareontwikkelaar bedrijf B met een ISO 27001 certificaat. Echter in de verklaring van toepasselijk is de beheersmaatregel m.b.t. testdata uitgesloten (staat dus op niet van toepassing). Dit betekend dat als jij gegevens aanlevert om mee te testen deze dus niet vallen onder het certificaat en bedrijf B dus of geen beheersmaatregelen heeft geïmplementeerd of deze wel hebben maar deze zijn niet door de auditor gecheckt.

Bij welk voorbeeld dan ook, het is aan jou om te beoordelen of de scope past bij de dienst / product die jij wil gaan inkopen.

Wat doen auditors om hierin helderheid te scheppen

Een auditor zal altijd zorgen dat de scope en de VvT passend zijn voor wat de organisatie gecertificeerd wil hebben. Als een organisatie een bepaalde dienst gecertificeerd wil hebben dan let de auditor erop, dat de beheersmaatregelen passend bij die dienst, compleet zijn. Maar als een organisatie alleen 1 dienst of 1 afdeling gecertificeerd wil hebben dan zal de auditor dat als gegeven nemen en zorgen dat de beheersmaatregelen passend bij die ene afdeling of dienst in de VvT staan. Ook de scope zal dan helder moeten aangeven dat het alleen gaat over die ene afdeling of dienst.

Contact met certificeren instelling

Je kan natuurlijk ook contact opnemen met de organisatie die het certificaat heeft afgegeven. De reacties zijn echter verschillende. Sommige instellingen vermelden hun gecertificeerde bedrijven op de website of geven een bevestiging per mail. En een aantal zullen je als eerste verwijzen naar de klant om daar het certificaat op te vragen.

Let dus zelf op en kijk goed op het certificaat en in de VvT.