08-12-2010 11:15:29

Het is alweer een tijdje stil geweest op dit weblog en dat is niet zonder reden: de afgelopen maanden zijn we bij BIT erg druk geweest met de voorbereidingen voor de ISO 27001 audits. We zijn deze audits goed doorgekomen met als gevolg dat we nu ISO/IEC 27001:2005 gecertificeerd zijn.

ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en verbeteren van een ISMS (‘Information Security Management System’), een systeem voor het beheren en beheersen van informatiebeveiliging. Belangrijk hierbij is dat informatiebeveiliging beschouwd wordt als een proces wat altijd een belangrijke rol speelt en blijft spelen binnen de organisatie. Het ISMS zorgt ervoor dat een organisatie blijft leren en verbeteren op het gebied van informatiebeveiliging. Hiervoor wordt de zogenaamde PDCA-cyclus gebruikt. Deze bestaat uit vier stappen: Plan (bepaal maatregelen), Do (voer de geplande maatregelen uit), Check (meet en controleer effectiviteit van de maatregelen) en Act (stuur bij/actualiseer op basis van de resultaten uit de check-fase).

Naast het al genoemde ISMS worden er in de norm eisen gesteld aan diverse aspecten van de informatiebeveiliging. Dit gaat over zeer diverse zaken, zoals:

Het totale overzicht hiervan is te vinden in ISO 27002, de set met maatregelen waarnaar verwezen wordt in ISO 27001.

Bij informatiebeveiliging wordt vaak vooral gedacht aan het beschermen van informatie tegen mensen  die er geen toegang toe horen te hebben: het vertrouwelijkheids-aspect. Er zijn echter nog twee aspecten die minimaal net zoveel van toepassing zijn: beschikbaarheid (is informatie voorhanden op het moment dat het nodig is?) en integriteit (is de informatie betrouwbaar en volledig?).

Belangrijk bij certificering is natuurlijk dat je als organisatie een besluit neemt op welk deel van je organisatie en dienstverlening je gecertificeerd wilt worden (de ‘scope’). Voor BIT geldt dat daar eigenlijk maar een goed antwoord op is: onze gehele dienstverlening. Om precies te zijn, is dit als volgt vastgelegd:

Natuurlijk is het een grote stap om in één keer het gehele bedrijf met alle processen te certificeren. Het heeft daarom behoorlijk wat tijd en inspanning gekost om dit te realiseren. Het resultaat ervan is dat we nu wel onze klanten kunnen garanderen dat alle diensten die afgenomen worden onder deze certificering vallen.

De beslissing om als bedrijf gecertificeerd te worden voor ISO 27001 neem je niet zomaar, dit brengt toch de nodige veranderingen met zich mee. Daarom hebben we eerst een voorstudie laten uitvoeren om de voor- en nadelen, kosten en baten van ISO 27001 certificering te bepalen. Hieruit is gebleken dat ISO 27001-certificering absoluut voor BIT en zeker ook voor klanten (van klanten) een meerwaarde heeft. De beslissing om verder te gaan met certificering voor ISO 27001 was daarom snel gemaakt.

Omdat BIT bij aanvang nog weinig ervaring had met dergelijke certificeringstrajecten, hebben we een externe partij in de arm genomen: R5 projects. Zij hebben ons begeleid in het gereed raken voor certificering door de mensen die bij BIT betrokken zijn te adviseren. Het daadwerkelijke vaststellen van beleid en het schrijven van documentatie is natuurlijk wél door medewerkers van BIT gedaan. De expertise en ervaring van R5 is zeer waardevol gebleken en heeft er zeker aan bijgedragen dat de certificering nu behaald is.

Informatiebeveiliging is bij BIT altijd al belangrijk geweest: we deden al veel moeite om beschikbaarheid, integriteit en vertrouwelijkheid te garanderen. Vandaar de uitgebreide redundantie in onze datacenters en het netwerk, de uitgebreide beveiligingseisen voor toegang, loadbalanced hostingdiensten, etc. Toch moest er nog wel het nodige gebeuren worden voor wij gereed waren voor certificering: op een aantal gebieden moest beleid vastgesteld, geformaliseerd of aangescherpt worden. Hierbij zijn we uitgegaan van een simpele stelling: ‘zeg wat je doet, doe wat je zegt’.

Nadat ook R5 van mening was dat BIT zowel qua documentatie als qua operatie er klaar voor was, is KEMA gevraagd om de ISO 27001 audit uit te voeren. Deze audit bestaat uit twee delen. Het eerste deel van de audit is in september uitgevoerd. Hierbij is door de auditor gekeken of BIT een ISMS heeft wat voldoet aan de criteria en of de documentatie op orde is. Tijdens dit deel van de audit is door de auditor een aantal tekortkomingen vastgesteld, maar ook vond hij vele goede zaken, zoals het gebruik van CFengine, de wijze van documenteren en de manier waarop werkzaamheden vastgelegd worden in ons ticketingsysteem. Na deze eerste audit zijn er verbeteringen uitgevoerd om deze tekortkomingen te corrigeren.

Eind november en begin december is vervolgens door de auditor vier dagen lang met leidinggevenden en medewerkers van alle afdelingen gesproken om te kijken of het opgestelde beleid ook daadwerkelijk vertaald is naar de praktijk. Ook zijn de verbeterpunten uit het eerste deel van de audit beoordeeld en allemaal goedgekeurd. In deze vier dagen heeft de auditor een goed kijkje in de keuken van BIT kunnen nemen. Tijdens de gesprekken heeft hij gekeken hoe BIT in de praktijk met informatiebeveiliging omgaat en hoe bewust medewerkers zich hiervan zijn. Voor ons waren deze gesprekken ook zeer nuttig, er zijn veel aandachtspunten ter sprake gekomen waar we de komende tijd aan kunnen gaan werken. De auditor heeft een drietal tekortkomingen geconstateerd. Dit waren geen ernstige tekortkomingen die certificering in de weg staan, maar het zijn wel punten die verbeterd moeten worden. En dus heeft de auditor vrijdagmiddag 3 december tijdens de gezamenlijke lunch bekendgemaakt dat BIT het ISO 27001 certificaat gaat ontvangen.

Dit alles betekent niet dat BIT nu klaar is met ISO 27001. De auditor verwoordde het al als volgt: “Jullie hebben je zwemdiploma, nu is het tijd om te gaan zwemmen”. Dit betekent dat het ISMS moet blijven functioneren en de vier stappen van de PDCA-cyclus doorlopen blijven worden, zodat BIT blijft leren en verbeteren. Een ISO 27001 certificaat is drie jaar geldig, maar ieder jaar wordt er een controle uitgevoerd door de certificerende instantie en bij grove overtredingen kan een certificaat ingetrokken worden.

Terugkijkend zijn we blij dat we de stap genomen hebben om ISO 27001 gecertificeerd te worden en zijn we ervan overtuigd dat dit een meerwaarde is voor onszelf, onze klanten en de klanten van onze klanten.