30 nov, 2021

ISO27001: het certificeringstraject uitgestippeld

ISO27001 certificeringstraject
30 nov, 2021

ISO27001 is één van de meest gerenomeerde standaarden ter wereld. De standaard, gepubliceerd door de International Organization of Standardization, wordt internationaal (h)erkend en toont een matuur ISMS (Information Security Management System) aan. Steeds meer (Belgische) bedrijven erkennen de meerwaarde van certificatie en overwegen er zelf mee aan de slag te gaan. Welke stappen moet jouw organisatie ondernemen om een ISO27001 certificeringstraject succesvol af te ronden? In deze blog gaan we daar dieper op in.

Het traject

Het certificatieproces bestaat uit 6 stappen. We lichten hieronder voor elke stap een tipje van de sluier… Meer weten? Lees dan onze infopager over ISO27001-certificatie.

ISO27001: het certificeringstraject uitgestippeld

1. Pre-assessment

De eerste stap in het certificatieproces is om alle relevante assets in kaart te brengen. Denk na voor welke processen, producten, systemen of locaties de certificatie relevant is. Bepaal daarmee de scope van het certificaat. Hoewel we afraden de scope te beperken is het namelijk mogelijk om niet de volledige organisatie mee in scope te nemen. Het certificaat kan beperkt worden tot die activiteiten waar het certificaat een (commerciële) meerwaarde heeft.

2. Assessment

Maak vervolgens een roadmap op. Evalueer de huidige maturiteit van jouw organisatie en ga na welke vereisten nog niet geïmplementeerd zijn en dus op de roadmap opgenomen moeten worden. Koppel daar timing, deadlines en middelen aan zodat een realistisch traject wordt uitgestippeld. 

3. Implementatie

Get things done! In een derde stap moeten de verschillende acties uitgevoerd worden. Een Plan-Do-Check-Act cyclus die werkt voor de organisatie moet opgezet worden en zowel technische, organisatorische als juridische maatregelen moeten worden geïmplementeerd om een gepast niveau van beveiliging te kunnen aantonen. Evidence moet daarbij aangelegd worden om de effectiviteit te kunnen aantonen.  

4. Interne audit

Van zodra het ISMS en de benodigde security maatregelen geïmplementeerd zijn, volgt een interne audit waarbij het ISMS en de genomen maatregelen worden geverifieerd. Hoewel ‘interne auditor’ zwaar in de oren klinkt, is hij een coach die iedereen op scherp moet houden. Deze interne audit moet door een onafhankelijk persoon of team gebeuren. De gecertificeerde auditoren van Infosentry kunnen hiervoor steeds worden ingeschakeld.

5. Externe audit

Eens helemaal klaar komt de spannendste stap: de externe audit. Een erkend certificatiebureau stuurt een externe auditor die op zijn beurt verifieert of jullie organisatie aan de standaard voldoet. Wanneer hij daar (in 2 fasen) van overtuigd is, wordt (na wat administratie) het certificaat uitgereikt. Job well done!

6. Follow-up

Een zesde en laatste stap (na certificatie) is de verdere opvolging. Elk jaar wordt met behulp van een interne en externe opvolgaudit namelijk nagegaan of de vereisten van de standaard nog steeds ingebed zijn binnen de organisatie. Ook verdere verbeteringen zullen moeten bepaald en geïmplementeerd worden.

Do's en don'ts bij certificering

Do

Maak een duidelijke roadmap op en verdeel het werk.

Verdeel de rollen en schakel een coach met kennis van zaken in. 

Zie het traject als een leerproces voor de organisatie waarbij naast het kernteam ook de bredere organisatie wordt betrokken.

Don't

Probeer niet overambitieus te zijn! Een latere implementatie van maatregelen kan bij externe auditor heus verdedigd worden.

Implementeer de standaard niet omdat het moet maar zie het als een opportuniteit die waarde levert voor jouw organisatie.

Wist je dat ... een certificeringsaudit in twee stappen gebeurt?

In de eerste fase komt de externe auditor de opzet van je managementsysteem testen. Hij verifieert of de organisatie een ISMS heeft opgezet is zoals ISO27001 verwacht. Vervolgens wordt in de tweede fase vooral op de maatregelen in de verschillende ISO-domeinen gefocust. De externe auditor gaat na of er voldoende maatregelen zijn genomen om over gepaste beveiliging te kunnen spreken. Bovenal verifieert hij of de organisatie informatiebeveiliging beheert en beheerst (met behulp van het continue verbeteringsproces). Eens hij daarvan overtuigd is wordt het certificaat uitgereikt.  

Louis Malfait - Infosentry

Louis Malfait

Business Development Manager