Navaio is de trotse eigenaar van een ISO27001-certificaat, maar waar moet je nu eigenlijk trots op zijn? Wat heb je eraan? Wat is de waarde van een ISO27001-certificaat? Deze blog licht deze vraag vanuit twee invalshoeken toe: de waarde van het certificaat vanuit het perspectief van het gecertificeerde bedrijf, èn vanuit het perspectief van de klant van een gecertificeerd bedrijf. Spoiler alert: niet alle ISO27001-certificaten zijn gelijk.
Snelle groei

Toen Navaio in 2017 startte met 14 medewerkers, waren visie en strategie: snel groeien. Sindsdien is het aantal personeelsleden meer dan verdubbeld. Om de controle te behouden, zette Navaio een Information Security Management System (‘ISMS’) op. Als klein bedrijf kun je misschien nog wegkomen met ad-hocbeslissingen en/of ietwat inconsistent beheer van informatiebeveiliging. Maar op een gegeven moment moet je als bedrijf je beveiligingsbeheer professionaliseren en beleid en procedures opstellen die een goed ISMS vormen.

Waarde 1

Allereerst is ISO27001 een wereldwijde standaard die een goed overzicht of uitgangspunt biedt. Het geeft 114 beheersmaatregelen die je kunt implementeren om ervoor te zorgen dat het ISMS de Vertrouwelijkheid, Integriteit en Beschikbaarheid  (Confidence, Integrity en Availability – CIA) van het bedrijf beveiligt. De ISO27001-norm is op risico’s gebaseerd. Daarom is het uitgangspunt van de certificering dat het bedrijf de gegevens die het bezit, documenteert en aangeeft in welke informatiesystemen deze worden opgeslagen. Dit is op zichzelf al een waardevolle en uitdagende oefening voor veel organisaties. Op basis van deze bevindingen en de classificatie van de gegevens implementeert het bedrijf beleid, procedures en controlemaatregelen om zo zijn gegevens te beveiligen.

Waarde 2

De tweede waarde van het certificaat is aantonen dat Navaio, een IT-beveiligingsbedrijf, zijn eigen informatiebeveiliging serieus neemt en dat gegevens veilig zijn bij Navaio. Navaio-consultants werken voor en met een aantal van de grootste bedrijven en ook overheidsinstellingen van het land. Gecombineerd met de toename van wet- en regelgeving en maatschappelijke druk op grote bedrijven, worden certificeringen zoals ISO27001 de minimumstandaard voor IT-beveiligingsbedrijven.

Een toenemend aantal aanbestedingen op het gebied van IT-beveiliging stelt als minimumeis een ISO27001-certificaat om überhaupt op de agenda te komen. Dit betekent dat het bezit van wel of geen ISO27001-certificaat deuren opent of sluit voor een bedrijf.

Samengevat: een ISO27001-certificaat geeft het bedrijf de kans om zijn ISMS te professionaliseren en zo meer opdrachten binnen te halen.

Kerstcadeau

Navaio werd begin december 2018 geaudit op certificering en twee dagen voor kerst ontvingen we als een vroeg kerstcadeau het goede nieuws van de auditor dat we de ISO27001-certificering kregen. Nu hangt het ingelijste certificaat op een zichtbare plaats in ons kantoor.

Waarde voor de klant?

Hierboven gaven we aan wat het certificaat ons als bedrijf waard is, maar hoe kan een potentiële klant weten wat het certificaat voor hen waard is, aangezien de implementatie van de ISO27001-norm gebaseerd is op risico’s? Met andere woorden: hoe grondig en uitgebreid werd de standaard door het bedrijf geïmplementeerd?

Wanneer u vraagt om de ISO27001-certificering van een serviceprovider, sturen ze u in veel gevallen het certificaat als bewijs van hun certificering. Wat zegt dat certificaat over het ISMS van het bedrijf? Bijna niets. U wilt weten wat het bedrijf zoal heeft geïmplementeerd om dat certificaat te mogen ontvangen. U kunt meer te weten komen over wat het certificaat waard is door de volgende informatie over de certificering te vragen:

  • Wat is de reikwijdte (scope) van de certificering? De certificering kan worden beperkt tot bepaalde services of locaties van het bedrijf. U wilt weten of de service die u wilt binnen de scope van de certificering valt.
  • Vraag naar de verklaring van toepasselijkheid (‘VvT’). De VvT geeft aan welke van de 114 beheersmaatregelen van de standaard het bedrijf heeft geïmplementeerd en welke zijn uitgesloten. Het certificaat moet verwijzen naar die versie van de VvT waarmee het bedrijf is gecontroleerd. Zorg ervoor dat u deze versie krijgt. Sommige bedrijven zijn niet bereid om hun VvT te delen omdat ze ook informatie over de status van de beheersmaatregelen in het document hebben opgenomen. Als dit het geval is, vraag dan om een kopie waarin interne
    informatie is gecensureerd.
Verificatie

Als u twijfels heeft over de authenticiteit van het certificaat, vermeldt het certificaat welke certificeringsinstelling het certificaat heeft verleend. Onderzoek de certificeringsinstelling en zorg ervoor dat de certificeringsinstelling is geaccrediteerd. Dit kan IAF (https://www.iaf.nu/iaf.nu) zijn of een accreditatie-instantie van het betreffende land. In Nederland is dat de Raad van Accreditatie (RvA, https://www.rva.nl). Op de websites van de accreditatie-instanties kunt u zoeken naar de certificeringsinstelling. Als de certificeringsinstelling legitiem is, kunt u contact met hen opnemen en het ISO-certificaat verifiëren.

Nu u de authenticiteit van het certificaat hebt geverifieerd en ervoor hebt gezorgd dat de certificering geldt voor de service die u krijgt, wilt u misschien dieper ingaan op de manier waarop bepaalde beheersmaatregelen specifiek zijn geïmplementeerd. De ISO27001-norm omvat veel aspecten zoals wijzigingsmanagement, incidentbeheer, toegangscontrole, patchbeheer, ontwikkelingscyclus, enz. Als het belangrijk is voor uw bedrijf dat wijzigingsmanagement goed is geïmplementeerd, laat het ISO27001-certificaat u zien dat het is geïmplementeerd, maar niet precies wat. Dus als wijzigingsmanagement belangrijk voor u is, wilt u, naast het ISO27001-certificaat, meer informatie over hun procedures voor wijzigingsmanagement hebben.

Tot slot

Samengevat:  om erachter te komen wat het ISO27001-certificaat van uw potentiële dienstverlener waard is, moet u meer onderzoeken dan alleen het certificaat. Niet alle bedrijven willen graag meer informatie met u delen, maar u kunt wel achter de waarde van hun certificaat komen. Als een organisatie aarzelt om meer informatie over het certificaat te geven, kan dit al een teken zijn om te overwegen of u wel met deze organisatie wilt samenwerken.