IT audits - ISO 27002, NEN iSO 27002, NEN-ISO/IEC 27002, BasisBeveiligingsNiveau, BBN - AuditConnect

ISO 27002

Informatiebeveiliging is niet meer weg te denken en daarom willen organisaties en klanten steeds meer zekerheid verkrijgen op dat vlak. Een manier om een bepaalde mate van zekerheid over de informatiebeveiliging van een bedrijf te verkrijgen is bijvoorbeeld een certificering (zoals o.a. ISO 27001) of een Third Party Memorandum (TPM) afgegeven door een onafhankelijke partij.

Certificeren wordt gedaan door het uitvoeren van een audit op basis van een normenkader. Eén van die mogelijke internationaal erkende normenkaders is die van de code voor de Informatiebeveiliging ISO 27001. Een TPM wordt afgegeven ook met behulp van een audit die ook plaatsvindt op basis van een normenkader. Hiervoor wordt vaak gebruik gemaakt als er getoetst moet worden op normenkaders waarvoor niet gecertificeerd kan worden zoals bijvoorbeeld de ISO 27002.

ISO 27002 versus ISO 27001

Certificeringen zijn vaak gericht op ISO 27001 omdat dit een bekende naam is in de markt. Maar misschien is dit wel niet de best passende oplossing t.a.v. het verkrijgen van inzicht en bevestiging ten aanzien van informatiebeveiliging voor uw organisatie. Het raamwerk van de ISO 27001 is namelijk vrij rigide en vereist voor de certificering dat alle normen (ook die niet direct relevant hoeven te zijn voor uw organisatie) wel geïmplementeerd moeten worden.

Doordat het bij de ISO 27001 om een generieke maatregelen set gaat, is het niet mogelijk om een reële risicoafweging en diversificatie aan te brengen. Daardoor kan een traject voor ISO 27001-certificatie kostbaar worden, veel tijd vragen en dan nóg niet volledig aansluiten bij de wensen en eisen van de klanten. Gelukkig is het opstellen van een TPM ook vaak een goed alternatief, bijvoorbeeld op de ISO 27002. Deze is ontwikkeld voor organisaties die niet (willen) passen binnen de standaard van 27001 en wel een bepaalde mate van zekerheid door een onafhankelijke partij willen laten verschaffen over de over de kwaliteit van een ICT-dienstverlening en ‐ beheersing van hun organisatie.

Wat is een NEN ISO 27002?

De ISO 27002 (ook wel genoemd de NEN-ISO/IEC 27002) is een Code voor Informatiebeveiliging. Deze geeft richtlijnen en normen voor het opstellen, implementeren, onderhouden en natuurlijk het verbeteren van informatiebeveiliging binnen een organisatie. De NEN ISO 27002 dient vaak als een praktische richtlijn voor het ontwerpen van veiligheidsstandaarden binnen een organisatie.

Het opstellen van een TPM op basis van ISO 27002 is maatwerk en sluit aan op de specifieke risico’s van de organisatie. Deze TPM o.b.v. ISO 27002 sluit hierdoor vaak beter aan op de wensen en eisen én zijn de kosten meestal aanzienlijk lager omdat alleen de reële maatregelen van een specifieke organisatie of proces rondom specifieke dienstverlening dienen te worden geïmplementeerd.

AuditConnect en de NEN ISO 27002

De TPM of wel het ‘in control statement ISO 27002′ biedt de organisatie de mogelijkheid om op basis van de “best practices” de informatiebeveiliging in te richten en te laten certificeren door een daartoe bevoegde onafhankelijke organisatie.

AuditConnect is aangesloten bij de Nederlandse Organisatie van EDP-auditors (NOREA) en is daardoor bevoegd om Assurance opdrachten uit te voeren conform de richtlijnen van de International Federation of Accountants (IFAC). Hierdoor is de ‘in control statement’ daadwerkelijk een document met toegevoegde waarde, dat ook stakeholders de garantie geeft dat de informatiebeveiliging binnen de organisatie in control is. AuditConnect voert zeer regelmatig audits uit met diverse normenkaders en is expert op het gebied van Informatiebeveiliging.

De ‘in control statement’ wordt zoals gezegd afgegeven op het moment dat de organisatie een toereikende set van doelstellingen heeft geformuleerd en zicht heeft op de wijze waarop deze doelstellingen gerealiseerd moeten worden. Dat betekent dat de doelstellingen en de daaraan gerelateerde maatregelen nog niet noodzakelijkerwijs volledig geïmplementeerd hoeven te zijn.

Wilt u een audit uit laten voeren?

Onze geregistreerde IT-auditors komen graag met u in contact, bel 055-3010100 of mail info@auditconnect.nl om vrijblijvend te praten over de mogelijkheden en oplossingen.

Het normenkader voor ISO 27002

Het onderzoek is gebaseerd op de indeling conform NEN-ISO/IEC 27002:2007. Deze is ingedeeld op basis van de hoofdstukken:

  • Beveiligingsbeleid
  • Organisatie van informatiebeveiliging
  • Beheer van bedrijfsmiddelen
  • Personele beveiligingseisen
  • Fysieke beveiliging en beveiliging van de omgeving
  • Beheer van communicatie en bedieningsprocessen
  • Toegangsbeveiliging
  • Verwerving, ontwikkeling en onderhoud van informatiesystemen
  • Beheer van informatiebeveiligingsincidenten
  • Bedrijfscontinuïteitsbeheer
  • Naleving

Op basis van voorgaande punten is een proces opgesteld dat leidt tot een toetsings- c.q. normenkader dat bij alle certificeringstrajecten wordt gebruikt. Op die manier is gegarandeerd dat de ‘in control statement’ bij alle partijen op dezelfde manier tot stand komt.

Het proces om een TPM op basis van ISO 27002 te verkrijgen

Het proces om te komen tot het toetsingskader bestaat grofweg uit 2 fases namelijk als eerste de Besluitvormingsfase en als tweede de fase het Auditproces.

Het resultaat van de fase ‘Besluitvorming’ is een afgewogen set met doelstellingen conform NEN-ISO/IEC 27002:2007, het zogenaamde BasisBeveiligingsNiveau (BBN). In de fase ‘Auditproces’ zal onder andere het proces beoordeeld worden waarmee men tot het BBN is gekomen en in hoeverre het principe van ‘comply or complain’ zorgvuldig is toegepast.

Daarnaast zal beoordeeld worden op welke wijze de doelstellingen van het BBN zijn geïmplementeerd bij de organisatie. De resultaten van de audit leidt tot een rapport met bevindingen. Deze bevindingen worden tijdens de audit besproken met het verantwoordelijke management en dit leidt eventueel tot een bijstelling van het BBN of tot aanvullende maatregelen.

Wanneer een TPM op laten stellen?

Het audittraject ten behoeve van het laten opstellen van een TPM kan op ieder willekeurig moment door een organisatie worden aangevraagd.

AuditConnect zal in het eerste gesprek samen met u vaststellen in hoeverre een audit haalbaar is of dat er nog een aantal maatregelen moeten worden getroffen voordat het audittraject ten behoeve van de TPM wordt opgestart. Na de audit kan AuditConnect een TPM opstellen voor een organisatie op basis van ISO 27002 of kunnen indien gewenst aanbevelingen worden gegeven op welke gebieden nog verbeteringen moeten worden doorgevoerd.

Meer informatie?

Wilt u meer informatie over certificeringen, TPM’s of specifiek de ISO 27002? Onze geregistreerde IT-auditors komen graag met u in contact, bel 055-3010100 of mail info@auditconnect.nl om vrijblijvend te praten over de mogelijkheden en oplossingen.

AuditConnect werkt onder andere voor de volgende bedrijven:

logo ActuIT - referentie ActuIT - AuditConnect
Logo Axxerion - Axxerion - AuditConnect
Logo Berkman Trading - Berkman Trading - AuditConnect
logo Connexys - referentie Connexys - AuditConnect
Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect
Gemeente Borne - Gemeente Borne - AuditConnect
Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect
Logo HR2day - HR2day - AuditConnect
INERGY - INERGY - AuditConnect
logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect
logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect
Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect
Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect
logo Caresharing - NEN7510 Caresharing - AuditConnect
Logo Parnassia - Parnassia Groepp - AuditConnect
Logo Progress - Progress - AuditConnect
logo Salure - Salure - AuditConnect
logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect
logo UNI-learning - UNI-Learning - AuditConnect
logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect
VSV Noorderpoort - VSV Noorderpoort - AuditConnect

Meer referenties Cases / referenties - AuditConnect