Een ISO27001-certificaat: wat is het waard?

Navaio is de trotse eigenaar van een ISO27001-certificaat, maar waar moet je nu eigenlijk trots op zijn? Wat heb je eraan? Wat is de waarde van een ISO27001-certificaat? Deze blog licht deze vraag vanuit twee invalshoeken toe: de waarde van het certificaat vanuit het perspectief van het gecertificeerde bedrijf, èn vanuit het perspectief van de klant van een gecertificeerd bedrijf. Spoiler alert: niet alle ISO27001-certificaten zijn gelijk.

Snelle groei

Toen Navaio in 2017 startte met 14 medewerkers, waren visie en strategie: snel groeien. Sindsdien is het aantal personeelsleden meer dan verdubbeld. Om de controle te behouden, zette Navaio een Information Security Management System (‘ISMS’) op. Als klein bedrijf kun je misschien nog wegkomen met ad-hocbeslissingen en/of ietwat inconsistent beheer van informatiebeveiliging. Maar op een gegeven moment moet je als bedrijf je beveiligingsbeheer professionaliseren en beleid en procedures opstellen die een goed ISMS vormen.

Waarde 1

Allereerst is ISO27001 een wereldwijde standaard die een goed overzicht of uitgangspunt biedt. Het geeft 114 beheersmaatregelen die je kunt implementeren om ervoor te zorgen dat het ISMS de Vertrouwelijkheid, Integriteit en Beschikbaarheid (Confidentiality, Integrity en Availability – CIA) van het bedrijf beveiligt. De ISO27001-norm is op risico’s gebaseerd. Daarom is het uitgangspunt van de certificering dat het bedrijf de gegevens die het bezit, documenteert en aangeeft in welke informatiesystemen deze worden opgeslagen. Dit is op zichzelf al een waardevolle en uitdagende oefening voor veel organisaties. Op basis van deze bevindingen en de classificatie van de gegevens implementeert het bedrijf beleid, procedures en controlemaatregelen om zo zijn gegevens te beveiligen.

Waarde 2

De tweede waarde van het certificaat is aantonen dat Navaio, een IT-beveiligingsbedrijf, zijn eigen informatiebeveiliging serieus neemt en dat gegevens veilig zijn bij Navaio. Navaio-consultants werken voor en met een aantal van de grootste bedrijven en ook overheidsinstellingen van het land. Gecombineerd met de toename van wet- en regelgeving en maatschappelijke druk op grote bedrijven, worden certificeringen zoals ISO27001 de minimumstandaard voor IT-beveiligingsbedrijven.

Een toenemend aantal aanbestedingen op het gebied van IT-beveiliging stelt als minimumeis een ISO27001-certificaat om überhaupt op de agenda te komen. Dit betekent dat het bezit van wel of geen ISO27001-certificaat deuren opent of sluit voor een bedrijf.

Samengevat: een ISO27001-certificaat geeft het bedrijf de kans om zijn ISMS te professionaliseren en zo meer opdrachten binnen te halen.

Kerstcadeau

Navaio werd begin december 2018 geaudit op certificering en twee dagen voor kerst ontvingen we als een vroeg kerstcadeau het goede nieuws van de auditor dat we de ISO27001-certificering kregen. Nu hangt het ingelijste certificaat op een zichtbare plaats in ons kantoor.

Waarde voor de klant?

Hierboven gaven we aan wat het certificaat ons als bedrijf waard is, maar hoe kan een potentiële klant weten wat het certificaat voor hen waard is, aangezien de implementatie van de ISO27001-norm gebaseerd is op risico’s? Met andere woorden: hoe grondig en uitgebreid werd de standaard door het bedrijf geïmplementeerd?

Wanneer u vraagt om de ISO27001-certificering van een serviceprovider, sturen ze u in veel gevallen het certificaat als bewijs van hun certificering. Wat zegt dat certificaat over het ISMS van het bedrijf? Bijna niets. U wilt weten wat het bedrijf zoal heeft geïmplementeerd om dat certificaat te mogen ontvangen. U kunt meer te weten komen over wat het certificaat waard is door de volgende informatie over de certificering te vragen:

Wat is de reikwijdte (scope) van de certificering? De certificering kan worden beperkt tot bepaalde services of locaties van het bedrijf. U wilt weten of de service die u wilt binnen de scope van de certificering valt.
Vraag naar de verklaring van toepasselijkheid (‘VvT’). De VvT geeft aan welke van de 114 beheersmaatregelen van de standaard het bedrijf heeft geïmplementeerd en welke zijn uitgesloten. Het certificaat moet verwijzen naar die versie van de VvT waarmee het bedrijf is gecontroleerd. Zorg ervoor dat u deze versie krijgt. Sommige bedrijven zijn niet bereid om hun VvT te delen omdat ze ook informatie over de status van de beheersmaatregelen in het document hebben opgenomen. Als dit het geval is, vraag dan om een kopie waarin interne
informatie is gecensureerd.

Verificatie

Als u twijfels heeft over de authenticiteit van het certificaat, vermeldt het certificaat welke certificeringsinstelling het certificaat heeft verleend. Onderzoek de certificeringsinstelling en zorg ervoor dat de certificeringsinstelling is geaccrediteerd. Dit kan IAF (https://www.iaf.nu/iaf.nu) zijn of een accreditatie-instantie van het betreffende land. In Nederland is dat de Raad van Accreditatie (RvA, https://www.rva.nl). Op de websites van de accreditatie-instanties kunt u zoeken naar de certificeringsinstelling. Als de certificeringsinstelling legitiem is, kunt u contact met hen opnemen en het ISO-certificaat verifiëren.

Nu u de authenticiteit van het certificaat hebt geverifieerd en ervoor hebt gezorgd dat de certificering geldt voor de service die u krijgt, wilt u misschien dieper ingaan op de manier waarop bepaalde beheersmaatregelen specifiek zijn geïmplementeerd. De ISO27001-norm omvat veel aspecten zoals wijzigingsmanagement, incidentbeheer, toegangscontrole, patchbeheer, ontwikkelingscyclus, enz. Als het belangrijk is voor uw bedrijf dat wijzigingsmanagement goed is geïmplementeerd, laat het ISO27001-certificaat u zien dat het is geïmplementeerd, maar niet precies wat. Dus als wijzigingsmanagement belangrijk voor u is, wilt u, naast het ISO27001-certificaat, meer informatie over hun procedures voor wijzigingsmanagement hebben.

Tot slot

Samengevat: om erachter te komen wat het ISO27001-certificaat van uw potentiële dienstverlener waard is, moet u meer onderzoeken dan alleen het certificaat. Niet alle bedrijven willen graag meer informatie met u delen, maar u kunt wel achter de waarde van hun certificaat komen. Als een organisatie aarzelt om meer informatie over het certificaat te geven, kan dit al een teken zijn om te overwegen of u wel met deze organisatie wilt samenwerken.

By van der Mark|2020-09-03T11:16:36+02:00August 10, 2019|Blog|0 Comments

Cookie	Duration	Description
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
sp_landing	1 day	This cookie is set by the provider Spotify. This cookie is used to implement audio content from spotify on the website. It also helps in collecting information on user interaction with this audio content.
sp_t	1 year	This cookie is set by the provider Spotify. This cookie is used to implement audio content from spotify on the website. It also helps in collecting information on user interaction with this audio content.

Cookie	Duration	Description
__gads	1 year 24 days	This cookie is set by Google and stored under the name dounleclick.com. This cookie is used to track how many times users see a particular advert which helps in measuring the success of the campaign and calculate the revenue generated by the campaign. These cookies can only be read from the domain that it is set on so it will not track any data while browsing through another sites.
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_ga_S3S4QWSG9R	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_110801228_1		This cookie is set by Google and is used to distinguish users.
_gcl_au	3 months	This cookie is used by Google Analytics to understand user interaction with the website.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
CONSENT	16 years 5 months	These cookies are set via embedded youtube-videos. They register anonymous statistical data on for example how many times the video is displayed and what settings are used for playback.No sensitive data is collected unless you log in to your google account, in that case your choices are linked with your account, for example if you click “like” on a video.

Cookie	Duration	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	14 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
yt-remote-connected-devices	never	These cookies are set via embedded youtube-videos.
yt-remote-device-id	never	These cookies are set via embedded youtube-videos.

Een ISO27001-certificaat: wat is het waard?