Over inTECHrity

Werkwijze

Bij inTECHrity werken we transparant, pragmatisch en in een taal die voor iedereen begrijpelijk is. Door onze ervaring begrijpen wij als geen ander waar u als organisatie tegenaan loopt.

Al sinds 2002 begeleiden we organisaties bij het waarborgen van informatiebeveiliging. We bieden ondersteuning bij certificeringsprojecten voor diverse normeringen, zoals ISO 27001 en NEN 7510. We helpen uw organisatie om te voldoen aan de wet- en regelgeving omtrent informatiebeveiliging en bescherming van persoonsgegevens. We richten samen nieuwe processen en procedures in en implementeren de benodigde procesmatige maatregelen. Indien gewenst, vervullen we binnen uw organisatie de rol van interne auditor, security officer en/of functionaris gegevensbescherming.

Onze best practice aanpak

Op basis van onze jarenlange ervaring en expertise op gebied van certificering en informatiebeveiliging heeft inTECHrity een ‘best practice aanpak’ ontwikkeld. Met dit praktische stappenplan begeleiden we het certificeringsproject in negen stappen van opzet tot uiteindelijke certificering.

Uniek voor inTECHrity is de wijze waarop we direct van start gaan met het toepassen van de Plan Do Check Act Cycle. Door al bij de start van het traject specifieke onderdelen of domeinen van de organisatie onder de loep te nemen en maatregelen in te voeren om aan de normering te voldoen, begint ISO gelijk te leven voor alle medewerkers. Zo is een ISO-implementatie geen statische stapel papieren die na certificering direct in de kast belandt, maar een doorlopend proces dat aan de hand van de Plan Do Check Act Cycle steeds wordt bijgesteld totdat het proces aan de voorwaarden van de interne audit voldoet.

Zijn alle domeinen aangepakt en succesvol door de interne audit gekomen? Dan is het tijd voor de externe audit en ben je straks trotse eigenaar van het beoogde certificaat.

Naar een ISO-certificering in negen stappen

Primair gaat een ISO 27001, NEN 7510 of aanverwante certificering over het Information Security Management System (ISMS), het proces dat de veiligheid van (vertrouwelijke) informatie bij je organisatie waarborgt. Om tot deze certificering te komen, moet een aantal stappen worden doorlopen:

1.Management Support
Commitment van het management is een randvoorwaarde. Daarom moet het management als start de onderliggende business case voor de ISO-certificering accorderen.

2.Bepaal ISMS scope
De scope van het project moet worden bepaald en vastgelegd. Dit is de omgeving waarop de ISO-certificering van toepassing is.

3.Business Impact Analyse (BIA)
Op basis van de scope bepaalt de business welke onderdelen impact hebben als de Beschikbaarheid, Integriteit en/of Vertrouwelijkheid (BIV) van informatie wordt geschaad.

4.Risk Assessment (RA)
Uit de BIA blijkt over welke onderdelen een risicoanalyse moet worden uitgevoerd. Voor deze onderdelen wordt geanalyseerd aan welke mogelijke risico’s zij worden blootgesteld.

5a.Voorbereiden Verklaring van Toepasselijkheid
Op basis van het risicoprofiel moet de verklaring van toepasselijkheid (Statement of Applicability (SoA)) worden samengesteld. De SoA geeft weer welke controls vanuit het ISO normenkader wel of niet toepasselijk zijn voor de organisatie.

5b. Voorbereiden Risico Behandeling Plan
Op basis van de toepasselijk verklaarde controls wordt een Risk Treatment Plan opgesteld. Hierin staat welke maatregelen moeten worden geïmplementeerd om het gerelateerde risico te minimaliseren.

6.Ontwikkel ISMS Uitvoeringsprogramma
Het Risk Treatment Plan leidt tot de definitie van een programma, waarin verschillende “treatments” worden samengevoegd tot deelprojecten, die vanuit dit programma worden bestuurd.

7.Projecten
De verschillende deelprojecten worden vanuit het ISMS Uitvoeringsprogramma uitgevoerd.

8.Pre-certificering assessment
Na de afronding van de verschillende deelprojecten, moeten de risico minimaliserende maatregelen worden getoetst aan de praktijk.

9.Certificering Audit
Als het assessment succesvol is afgerond, dan is de organisatie klaar voor de officiële audit. De Certificering Audit bestaat meestal uit twee hoofd audits:

  • Documentatie Audit
    De externe auditor richt zich primair op de aanwezige documentatie omtrent de ISO-norm.
  • Implementatie Audit
    De externe auditor richt zich primair op de invulling van de beschreven invulling van de ISO-norm in de staande organisatie.

Nazorg

Ook na de certificering zul je aan de hand van de Plan Do check Act Cycle moeten blijven controleren of de processen nog aan de richtlijnen van de norm voldoen. Vanzelfsprekend kan inTECHrity je ook hierbij van dienst zijn.

Maak kennis met de diensten, knowhow en specialisten van inTECHrity. Wij helpen je graag verder!

Om bepaalde functionaliteiten zoals het onderzoeken van uw gedrag op onze website aan te bieden gebruiken wij analytische en tracking cookies op onze website. Omdat we uw privacy belangrijk vinden, vragen we u de tracking cookies te accepteren. Wilt u eerst meer informatie over onze Cookie-policy, klik dan op ‘Meer informatie’.


Meer informatie