Amsterdam, 24 juli 2014 -
True behaalt als een van de eerste partijen in Nederland het vernieuwde ISO 27001-certificaat. Op 25 september 2013 is deze nieuwe norm voor informatiebeveiliging gepubliceerd: ISO 27001:2013. De komende jaren moeten alle bedrijven met ISO 27001-normeringen ervoor zorgen dat ze hieraan voldoen. True heeft de nieuwe normering meteen omarmd en met succes binnen de organisatie geïmplementeerd.
Wim Veenstra, Security Officer bij True en verantwoordelijk voor de certificering, is blij dat de norm in zo’n korte tijd is geïmplementeerd: “Het was een grote uitdaging om deze klus te klaren. Omdat de gehele ‘Annex A’ op de schop is gegaan, was het een hoop gepuzzel om alles op tijd voor elkaar te krijgen. Maar het is ons gelukt om ons managementsysteem aan te passen aan de vereisten van de ISO 27001:2013-normering. Daar zijn we blij mee.”
Informatiebeveiliging bij True
True is sinds 2011 ISO 27001 gecertificeerd. Veenstra: “Een hostingprovider anno 2014 kan niet zonder een ISO 27001-certificaat. Als je je klanten serieus neemt, is het noodzakelijk om ze bepaalde zekerheden te bieden.” Naast het ISO 27001:2013-certificaat beschikt True ook over certificeringen voor ISO 9001 (kwaliteitsmanagement) en NEN 7510 (informatiebeveiligingswaarborg zorg). Tevens heeft True zijn managementsysteem geconformeerd aan de ISO 14001-(milieu)normering en gaat het zich op korte termijn richten op de implementatie van de ISO 20000- (servicemanagement)normering.
Verschillen in ISO:27001-normeringen
Er zijn veel verschillen tussen de ISO 27001:2005 en 2013-normeringen. De opvallendste veranderingen zijn volgens Veenstra:
· De High Level Structure (hoofdstukindeling) is gewijzigd, zodat deze in de toekomst beter aansluit bij de vernieuwde normeringen van ISO 9001, ISO 14001 en ISO 20000. Het uiteindelijke doel is om het eenvoudiger te maken om één managementsysteem te handhaven dat voldoet aan verschillende normeringen.
· De opzet van de risicoanalyse is niet langer asset-based, maar risk-based. Hiermee ligt de nadruk niet meer op: ‘heb je dit bedrijfsmiddel voldoende beschermd?’, maar meer op ‘ben je op de hoogte van deze risico’s en heb je hiervoor voldoende maatregelen genomen?’ Risicobeheer wordt naar alle waarschijnlijkheid eveneens een integraal onderdeel van de vernieuwde ISO 9001-norm.
· De appendix van de norm, Annex A, is ingrijpend gewijzigd. Er zijn 3 onderwerpen toegevoegd en 19 maatregelen verwijderd. In totaal zijn er nu 114 maatregelen vastgesteld, waarvan True er 113 heeft geïmplementeerd. Alleen de maatregel: ‘uitbestede ontwikkeling van software’ is niet doorgevoerd, omdat True zelf zijn software ontwikkelt.
· Een onderwerp dat nadrukkelijk in Annex A naar voren komt, is ‘Leveranciersmanagement’. Het is nu een apart hoofdstuk waarin meer maatregelen worden beschreven dan in de vorige versies.
· Voorafgaand aan de risicoanalyse moeten de voornaamste interne en externe issues, alsook relevante belanghebbenden in kaart worden gebracht.
· Risico’s dienen formeel te worden geaccepteerd door de risico-eigenaren.
Tijdens de audit bij True is een aantal kleine verbeterpunten geconstateerd en hebben de auditors aanvullende aanbevelingen gedaan. De komende maanden worden die punten opgepakt.