ISO 27001-certificaat; van project naar proces

We beginnen met misschien wel de belangrijkste vier woorden van dit hele artikel. Namelijk, van project naar proces. De fout die naar onze smaak nog steeds veel te veel wordt gemaakt is het op de lauweren rusten op het moment dat de certificering binnen is. Het behalen van de certificering, hetzij voor NEN 7510 of je ISO 27001-certificaat, is zeker een goede stap. Maar het is ook bedoeld als duw in de rug om nog mooiere stappen te gaan zetten. Het komt namelijk nooit voor dat alle vinkjes gezet kunnen worden bij een certificering. Er is vervolgens altijd nog werk aan de winkel. Het is tenslotte een kwaliteitskenmerk dat, zoals elk kenmerk binnen welke branche dan ook, nog onderhoud en verbetering vereist.

Het is waar dat het implementeren van ISO 27001 een eenmalige investering is. Maar dit gaat alleen op wanneer vervolgens de bedrijfsvoering en werkprocessen worden bijgehouden en doorontwikkeld. Alleen dan is het mogelijk om jarenlang de vruchten te plukken van deze beheerste en integere bedrijfsvoering. Doe je dit niet dan ben je al snel het haasje. Want om de certificering te handhaven vindt in de eerste twee jaren na de certificering elk jaar één controle-audit plaats. Na drie jaar krijgt jouw bedrijf te maken met een her-certificering. Doorsta je dit met vlag en wimpel? Dan ontvang je voor een periode van drie jaar het nieuwe certificaat. Maar nogmaals, als jouw bedrijf dit certificeringstraject als een project blijft zien, zullen de kosten snel oplopen omdat je dan Jaarlijks een project moet opstarten om aan te tonen dat het managementsysteem voor informatiebeveiliging nog steeds aan de eisen voldoet.

Het belang van ISMS tijdens- en na het certificeringsproces

Als je dan toch van projecten en processen wilt spreken dan kunnen we stellen dat het project (behalen certificaat) nu klaar is en het proces (bijhouden en ontwikkelen) gaat beginnen. Gedurende het certificeringstraject zijn er vaak nog genoeg punten naar boven gekomen die beter kunnen. Het is nu aan het bedrijf om te bepalen hoe en wanneer dit wordt gemitigeerd. Het op een juiste manier onderhouden van Information Security Management System (ISMS) is dus van groot belang. En, zoals je weet van het vorige artikel, wordt dit uitgevoerd op basis van de PDCA-aanpak. Ofwel, Plan, Do, Check, Act.

Om nog maar een fabeltje uit de wereld te helpen, het ISMS is geen tool. Het is geen stukje software of iets dat je aan- of uit kunt zetten. Een ISMS is een systematische aanpak om op juiste wijze vraagstukken binnen de informatiebeveiliging van jouw bedrijf aan te pakken. Echter is dit het punt waar veel bedrijven de fout in gaan omdat de certificering al binnen is. Wij van Beschermheren zijn hier echter om te vertellen dat het handhaven van het certificaat een stuk soepeler gaat als je de boel gewoon bijhoudt.

Het is voor u nu dus zaak om:

• Overzicht en structuur te behouden;
• Continue verbetering van de organisatie en de beveiliging te bewerkstelligen;
• Sturing te geven aan de PDCA-cyclus (en operationele planning);
• Compliance met normenkaders eenvoudig(er) te maken;
• Kosten/uren te reduceren voor aantoonbaarheid

Een Beschermheer of dame als CISO

In de vorige artikelen hebben we telkens aangegeven welke rol de consultants van Beschermheren kunnen spelen. En ook hier is er weer een belangrijke rol voor ons weggelegd. En dat is de rol van CISO. Als gevolg van het certificeringstraject wordt de rol van CISO, ofwel Chief Information Security Officer, onmisbaar. Mocht je deze kennis en ervaring nou niet in huis hebben, dan zetten wij deze af voor jouw deur in de vorm van een Beschermheer of dame.

De CISO staat midden in de organisatie en vervult een onafhankelijke rol. Dit betekent dat de CISO regelmatig tegengestelde bedrijfs- en beveiligingsbelangen met elkaar moet verenigen. Geen gemakkelijke taak dus. Een goede CISO, zoals die van Beschermheren, kenmerkt zich door deskundigheid en kent een pragmatische aanpak bij het ondersteunen van de opdrachtgever. Omdat de CISO onafhankelijk opereert, heeft deze slechts één doel voor ogen. Het in control blijven op het gewenste framework voor informatiebeveiliging.

Heeft jouw bedrijf recentelijk een mooi certificaat aan de muur mogen hangen maar is er twijfel over de ‘wat nu?’. Laat ons antwoord geven op die- en andere vragen en neem vandaag nog vrijblijvend contact met ons op. Wij begrijpen als geen ander dat dit voor jou mogelijk geen gesneden koek is. Maar wij zijn hier om te laten zien dat het niet moeilijk hoeft te zijn.

Is jouw bedrijf nog niet toe aan deze stap maar ben je wel benieuwd waar je eigenlijk staat? Doe dan eens onze gratis quickscan. Je zit nergens aan vast en je profiteert direct van onze bevindingen en aanbevelingen.