Diensten

Advies ISO en NEN certificering

Al sinds 2002 is inTECHrity betrokken bij certificeringsprojecten op het gebied van informatiebeveiliging, zoals ISO 27001 en NEN 7510, en informatietechnologie. Onze ervaring heeft geleerd dat voor het behalen van een NEN- of ISO-certificering voor alle organisaties de te doorlopen stappen hetzelfde zijn. Maar de doorlooptijden en de hoeveelheid te verzetten werk zijn natuurlijk afhankelijk van de te certificeren organisatie. Denk hierbij bijvoorbeeld aan de grootte van de organisatie, het aantal locaties en de mate waarin de processen op orde zijn.

In veel gevallen kunt u binnen zes tot negen maanden gecertificeerd zijn. Maar vaak zijn de kosten behoorlijk hoog en werpt dit een behoorlijke drempel op. Om deze drempel weg te nemen kunt u bij ons ook kiezen voor een abonnementsstructuur.

Onze best practice aanpak

Op basis van onze jarenlange ervaring en expertise op gebied van certificering en informatiebeveiliging heeft inTECHrity een ‘best practice aanpak’ ontwikkeld. Met dit praktische stappenplan begeleiden we het certificeringsproject in negen stappen van opzet tot uiteindelijke certificering.

Uniek voor inTECHrity is de wijze waarop we direct van start gaan met het toepassen van de Plan Do Check Act Cycle. Door al bij de start van het traject specifieke onderdelen of domeinen van de organisatie onder de loep te nemen en maatregelen in te voeren om aan de normering te voldoen, begint ISO gelijk te leven voor alle medewerkers. Zo is een ISO-implementatie geen statische stapel papieren die na certificering direct in de kast belandt, maar een doorlopend proces dat aan de hand van de Plan Do Check Act Cycle steeds wordt bijgesteld totdat het proces aan de voorwaarden van de interne audit voldoet.

Zijn alle domeinen aangepakt en succesvol door de interne audit gekomen? Dan is het tijd voor de externe audit en bent u straks trotse eigenaar van het beoogde certificaat.

Naar een ISO- of NEN-certificaat in negen stappen

Primair gaat een ISO 27001, NEN 7510 of aanverwante certificering over het Information Security Management System (ISMS), het proces dat de veiligheid van (vertrouwelijke) informatie bij uw organisatie waarborgt. Om tot deze certificering te komen, moet een aantal stappen worden doorlopen:

1. Management Support

Commitment van het management is een randvoorwaarde. Daarom moet het management als start de onderliggende business case voor de ISO 27001 certificering accorderen.

2. Bepaal ISMS scope

De scope van het project moet worden bepaald en vastgelegd. Dit is de omgeving waarop de ISO 27001 certificering van toepassing is.

3. Business Impact Analyse (BIA)

Op basis van de scope bepaalt de business welke onderdelen impact hebben als de Beschikbaarheid, Integriteit en/of Vertrouwelijkheid (BIV) van informatie wordt geschaad.

4. Risk Assessment (RA)

Uit de BIA blijkt over welke onderdelen een risicoanalyse moet worden uitgevoerd. Voor deze onderdelen wordt geanalyseerd aan welke mogelijke risico’s zij worden blootgesteld.

5a. Voorbereiden Verklaring van Toepasselijkheid

Op basis van het risicoprofiel moet de verklaring van toepasselijkheid (Statement of Applicability (SoA)) worden samengesteld. De SoA geeft weer welke controls vanuit het ISO-normenkader wel of niet toepasselijk zijn voor de organisatie.

5b. Voorbereiden Risico Behandeling Plan

Op basis van de toepasselijk verklaarde controls wordt een Risk Treatment Plan opgesteld. Hierin staat welke maatregelen moeten worden geïmplementeerd om het gerelateerde risico te minimaliseren.

6. Ontwikkelen ISMS Uitvoeringsprogramma

Het Risk Treatment Plan leidt tot de definitie van een programma, waarin verschillende “treatments” worden samengevoegd tot deelprojecten, die vanuit dit programma worden bestuurd.

7. Projecten

De verschillende deelprojecten worden vanuit het ISMS Uitvoeringsprogramma uitgevoerd.

8. Pre-certificering assessment

Na de afronding van de verschillende deelprojecten, moeten de risico minimaliserende maatregelen worden getoetst aan de praktijk.

9. Certificering Audit

Als het assessment succesvol is afgerond, dan is de organisatie klaar voor de officiële audit. De Certificering Audit bestaat meestal uit twee hoofd audits:

  • Documentatie Audit
    De externe auditor richt zich primair op de aanwezige documentatie omtrent ISO 27001.
  • Implementatie Audit
    De externe auditor richt zich primair op de invulling van de beschreven invulling van ISO 27001 in de staande organisatie.

Nazorg

Ook na de certificering zult u aan de hand van de Plan Do check Act Cycle moeten blijven controleren of de processen nog aan de richtlijnen van de norm voldoen. Vanzelfsprekend is inTECHrity u hiermee graag van dienst.

Kennismaken?

Wilt u meer weten over inTECHrity? Neem dan contact met ons op. We maken graag kennis, om te ontdekken wat wij voor u kunnen betekenen!

Neem contact op om kennis te maken met de specialisten van inTECHrity. Wij helpen u graag verder!

Meer weten over de diensten en knowhow van inTECHrity? Wij maken graag kennis en onze specialisten helpen u graag verder!

Om bepaalde functionaliteiten zoals het onderzoeken van uw gedrag op onze website aan te bieden gebruiken wij analytische en tracking cookies op onze website. Omdat we uw privacy belangrijk vinden, vragen we u de tracking cookies te accepteren. Wilt u eerst meer informatie over onze Cookie-policy, klik dan op ‘Meer informatie’.


Meer informatie