Informatiebeveiliging

Maak de kwaliteit van uw informatiebeveiliging zichtbaar

Achtergrond

Met vertrouwelijke gegevens gaat u zorgvuldig om en uw informatiebeveiliging heeft u goed geregeld. Maar nu wilt u dit ook aan de buitenwereld laten zien. Omdat u dit belangrijk vindt, of omdat uw afnemers hierom vragen. Certificering volgens de internationale norm (ISO 27001) is hiervoor de oplossing.

Als uw dienstverlening bestaat uit het verstrekken van elektronische certificaten dan kunt u zich laten certificeren tegen ETSI 101 456. Uw klanten weten dan dat de door u uitgereikte certificaten in lijn zijn met de Europese richtlijn voor elektronische handtekeningen. Waar nodig kunt u zich ook laten toetsen tegen de aanvullende eisen van PKI-overheid.

Wat is certificatie?

Certificatie is het toetsen aan (inter)nationale normen door een instantie die is aangewezen door de Raad van Accreditatie.

De normen ISO 27001 en ETSI 101 456 zijn internationaal erkende normenkaders voor informatiebeveiliging. ISO 27001 is een generieke norm voor de procesmatige inrichting van informatiebeveiliging (ISMS) en ETSI 101 456 geldt als norm voor elektronische handtekeningen en gekwalificeerde PKI-certificaten. Beide standaarden worden in Nederland en ver daarbuiten beschouwd als toonaangevend. PricewaterhouseCoopers Certification (PwCC) is door de Raad van Accreditatie aangewezen als een instantie die aan deze normen mag toetsen en hierover certificaten mag uitreiken.

De voordelen van certificatie

Certificering van informatiebeveiliging kan in verschillende situaties voordelen bieden:

• Uw afnemers vragen u in het kader van risicobeheer om een waarborg voor informatiebeveiliging.
• Uw organisatie moet aan de bovenstaande normen voldoen, bijvoorbeeld vanwege Requests for Proposal bij outsourcing- of aanbestedingstrajecten.
• U hebt te maken met allerlei interne of externe audits waarin u wordt gevraagd naar de stand van zaken van informatiebeveiliging. Certificering heeft als voordeel dat u kosten bespaart omdat u niet steeds opnieuw audits hoeft te ondergaan of beschrijvingen moet maken ten behoeve van poteniële afnemers.
• U wilt de kwaliteit van uw informatiebeveiliging intern zichtbaar maken, het certificeren van uw informatiebeveiliging maakt het mogelijk om de kwaliteit eenduidig zichtbaar te maken voor de diverse belangenpartijen binnen uw eigen organisatie. Vooral binnen grotere organisaties met gedistribueerde verantwoordelijkheden, biedt het voordelen om over gecertificeerde informatiebeveiliging te beschikken.

Vaak is een gecertificeerde omgeving voor auditors voldoende om geheel of gedeeltelijk af te zien van aanvullende garanties of controles. Dit voorkomt dat u telkens volledige openheid van zaken moet geven en tijd moet inruimen voor aanvullende toetsing. Bovendien brengt dit besparingen met zich mee en het ontlast uw organisatie. Daarnaast helpt certificering bij het onderhouden van de kwaliteit van de processen zelf.

Hoe ziet het certificatieproces eruit?

In hoofdlijn bestaat het certificatieproces uit zes onderdelen:

Proef-audit: bij de proef-audit wordt een initiële beoordeling gemaakt aan de hand van interviews en documentatie. Uw organisatie krijgt direct een goed beeld van de haalbaarheid van certificatie. Zo wordt uw organisatie goed op het certificatietraject voorbereid.
Handboekbeoordeling: in deze fase wordt de aanwezige documentatie betreffende het managementsysteem beoordeeld. Eventuele afwijkingen worden aan u gerapporteerd, zodat u in de aanloop naar de initiële audit de laatste puntjes op de i kunt zetten.
Implementatiebeoordeling: deze heeft tot doel om vast te stellen of er voldoende vertrouwen bestaat dat uw organisatie voldoet aan de eisen zoals vastgelegd in de gehanteerde norm. Belangrijk aandachtspunt hierbij is of er in overeenstemming met de documentatie wordt gewerkt.
Certificatiebeslissing: indien de aandachtspunten die uit de audit naar voren kwamen zijn opgelost, wordt de auditrapportage beoordeeld door de toezichthouders binnen PwCC en zal het certificaat aan de organisatie worden verleend.
Surveillance-audit: het certificaat is drie jaar geldig. Gedurende deze geldigheidstermijn worden periodiek zogenoemde surveillance-audits uitgevoerd. Doel hiervan is te onderzoeken of het managementsysteem bij voortduring wordt nageleefd en of gesignaleerde verbeteringspunten adequaat worden aangepakt.
Herbeoordeling: een certificaat heeft een geldigheid van drie jaar. Als u het certificaat dan wilt verlengen, moet opnieuw worden gestart met het certificatieproces.

Maakt het nog uit door wie u gecertificeerd wordt?

Wanneer uw informatiebeveiliging is gecertificeerd, maakt u allereerst duidelijk dat u zich bij de inrichting van de informatiebeveiliging heeft gebaseerd op internationaal geaccepteerde best practice. Als deze verklaring bovendien is afgegeven door een internationaal hoog aangeschreven en onafhankelijke partij als PwCC, dan kunt u erop vertrouwen dat u zich hiermee daadwerkelijk onderscheidt.

PwCC is als één van de weinige bedrijven in staat wereldwijd certificaties van informatiebeveiliging voor ISO 27001 / 27002 en ETSI 101 456 uit te voeren.

Meer informatie of een offerte?

Als u meer informatie wilt over onze dienstverlening op het gebied van certificering van de inrichting van uw informatiebeveiliging of elektronische handtekeningen, of u wilt een offerte aanvragen, dan kunt u contact opnemen met Otto Vermeulen (020 - 568 16 36 ), Fook Hwa Tan (020 - 568 48 13) of Eric Verheul (020 - 568 48 31).

De registers van certificaten voor ISO 27001 en TTP wordt bijgehouden door ECP.nl