07/07/2022

Waarom een ISO 27001 certificering niet het hele verhaal verteld

Er vinden goede ontwikkelingen plaats in het security landschap. Security is steeds vaker een standaard gespreksonderwerp. Directies en management ontwikkelen bewustzijn over de gevaren. Meer organisaties kiezen ervoor om de processen van een werkzame informatiebeveiliging-organisatie op te nemen in hun organisatie. Vaak met de ISO 27001. Met een certificering van deze standaard wordt inmiddels steeds meer geadverteerd. Dit wekt de indruk dat een ISO 27001 certificering gelijk staat aan veilig en goed beschermd. Is dat wel zo?

Nee

Even opfrissen. De ISO 27001 is een erkende en wereldwijd toegepaste norm voor de inrichting van de basis informatiebeveiliging-processen in een organisatie. Dit is het Information Security Management System, ISMS, oftewel een management systeem voor de security processen in een organisatie. 

Echter staat de inrichting van dit systeem niet gelijk aan een goede bescherming. Met andere woorden, een organisatie die niet ISO 27001 gecertificeerd is, kan in theorie minder goed beschermd zijn, dan een organisatie die niet gecertificeerd is maar exact dezelfde bedrijfsactiviteiten heeft. 

 

Hoe kan dit?

Simpel. De ISO 27001 richt zich op de inrichting van de processen in de organisatie an sich. Een beoordelaar die controleert of alles juist is ingericht, auditor, kijkt naar de mate van bescherming en aantoonbaarheid van de maatregelen die zijn genomen. 

Of de genomen maatregelen passen bij de organisatie of dat de organisatie bewust hoge risico’s accepteert, wordt hierin niet meegenomen. Zo kan het dan ook zijn dat een organisatie wel door een audit komt, maar de beveiligingsmaatregelen toch wat beperkt zijn. 

 

Is een ISO 27001 implementatie dan niks waard?

Dat zeker niet. Met de implementatie van de ISO 27001 heeft de organisatie een goede basis gelegd om informatiebeveiliging in te bakken in de organisatie. De invulling van maatregelen staat hier los van, oftewel het geeft een vorm van zekerheid en structuur, maar het is geen garantie. In het geval van een aanbesteding voor een dienst is het dan ook belangrijk om door te vragen bij leveranciers en verder te kijken dan een opsomming aan certificering. Hoe worden maatregelen toegepast? Wordt er gemeten op de effectiviteit? Wat valt er buiten de genomen maatregelen? Zijn er incidenten geweest? Wie heeft er toegang tot uw gegevens? Wees kritisch en laat u niet afschepen.

Categorieën: Management

logo yourally