InToto is sinds april 2020 ISO 27001:2017 gecertificeerd. Dit certificaat is drie jaar geldig. Na die drie jaar ben je als organisatie verplicht om op te gaan voor een hercertificering. Dit betekent dat alle normelementen binnen de ISO27001 in z’n volledigheid worden getoetst. Begin 2023 heeft InToto gekozen om zich voor te bereiden op de transitie naar de nieuwe versie van de norm, ISO27001:2022. In april van 2023 heeft de externe audit plaatsgevonden, uitgevoerd door Duijnborgh Certifications. Wij zijn blij en trots om te mogen mededelen dat InToto opnieuw ISO27001 gecertifieerd is!
Op deze pagina nemen we je mee in de wereld van ISO27001 en leggen wij uit welke meerwaarde we leveren aan jouw organisatie nu we daadwerkelijk in bezit zijn van het certificaat.
Wat is ISO27001?
Allereerst beginnen we met de uitleg over de organisatie achter de ISO-normen. De Internationale Organisatie voor Standaardisatie werkt internationaal aan het vaststellen van normen. Er zijn vele verschillende ISO-normen waar je je als organisatie op kan laten toetsen. De meest bekende norm is de ISO9001 waarin eisen worden gesteld aan het kwaliteitsmanagementsysteem van een organisatie.
Bij ISO27001 draait het om informatiebeveiliging. Ook vanuit deze norm worden eisen gesteld, waaraan een organisatie minimaal moet voldoen. Eén van de belangrijkste eisen is dat er een Information Security Management System (ISMS) moet zijn gedocumenteerd. Het ISMS bevat de documentatie waarin het informatiebeveiligingsbeleid is vastgesteld. In deze documentatie zijn processen, procedures, regels en afspraken vastgelegd die gekoppeld zijn aan de normen uit ISO27001.
De risicoanalyse
Het doel is dat een organisatie kijkt naar de mogelijke risico’s en impact op het gebied van informatie. De mogelijke risico’s op het gebied van de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van de informatie. Als bijvoorbeeld de beschikbaarheid van een bedrijfskritisch systeem als hoog wordt geclassificeerd, dan is automatisch de impact als het systeem uitvalt groot op een organisatie.
Een organisatie zal bij een hoge impact strengere maatregelen moeten treffen. Als het gaat om vertrouwelijke informatie, dan is een organisatie genoodzaakt om strengere beveiligingsmaatregelen te treffen. Voor alle systemen die in gebruik zijn bij InToto zal een risicoanalyse worden uitgevoerd. Vervolgens wordt dan voor ieder systeem ook beoordeeld of er afdoende maatregelen zijn genomen om de risico’s te mitigeren.
Een praktijkvoorbeeld
Om jullie een idee te geven hoe zo’n risicoanalyse eruit ziet. Pakken we er even een voorbeeld bij uit de praktijk. Veel organisaties leveren laptops uit aan haar medewerkers. Zonder enige maatregelen of beleid kleven hier natuurlijk risico’s aan. Zonder enig beleid is er een risico dat de laptop wordt gebruikt voor doeleinden waarvoor het niet bedoeld is. Een maatregel is dan dat er een beleid wordt opgetsteld met gedragsregels rondom het gebruik van de laptop.
Een organisatie wil vaak ook de laptop na uitlevering ook weer terug hebben, omdat zij eigendom zijn van het systeem. Ook hier is het een risico dat zonder beleid er verder geen zicht is op wie welke laptop in gebruik heeft. In het beleid kan worden opgenomen dat er labels op de laptops moeten komen met een uniek nummer en dat de medewerker middels een bruikleenovereenkomst tekent voor ontvangst van deze specifieke laptop.
Het gebruik van bedrijfskritische applicaties op de laptop levert natuurlijk direct risico’s op als een organisatie niet de juiste beveiligingsmaatregelen neemt. Als organisatie heb je de informatie in de systemen geclassificeerd en tref je daarbij de juiste beveiligingsmaatregelen. Denk hierbij aan een streng wachtwoordbeleid, toegang op basis van het ‘need-to-know’ principe en het afdwingen van two-factor-authentication. Er zijn nog talloze andere maatregelen die genomen kunnen worden, maar dat is natuurlijk afhankelijk van de risico’s die er spelen.
Als laatste voorbeeld moet je ook rekening houden met de data op de laptop zelf. De meest logische maatregel is om de harde schijf in het systeem te versleutelen. Daarnaast kun je ook maatregelen treffen om het systeem verder af te sluiten van de werkomgeving door middel van beleid op het gebruik van bijvoorbeeld Microsoft 365. Op alle laptops binnen de organisatie kun je dan één beleid instellen, waarmee een specifiek beveiligingsniveau wordt afgedwongen.
Toetsing en audit
Een belangrijke eis uit de norm is het continue verbeteren van het ISMS. Op basis van ‘De PDCA cyclus’ blijf je de kwaliteit van het ISMS optimaliseren. De risicoanalyse is hier een belangrijk onderdeel van. De maatregelen die bestaan worden getoetst en via projecten zal de organisatie nieuwe mitigerende maatregelen in gaan voeren. In onderstaande afbeelding is een uitleg gegeven van de vier verschillende fases.
Jaarlijks wordt de organisatie via een audit getoetst op de stappen die zijn gezet in het ISMS en controleert de auditor of de organisatie het beschreven beleid daadwerkelijk in de praktijk uitvoert. Zo zou je tijdens een audit moeten kunnen aantonen dat de rechten overeen komen met het beschreven beleid. Als dit niet het geval is, dan krijg je een aantekening in het uiteindelijke rapport.
Voor het uitvoeren van een externe audit, moet een organisatie verplicht een interne audit laten uitvoeren. InToto laat haar interne audits uitvoeren door Kwinzo. Zij maken gebruik van gekwalificeerd personeel en bieden organisaties bruikbare hulpmiddelen aan voor het opzetten en onderhouden van het ISMS. De interne audits hebben als doel om een organisatie goed voor te bereiden op de externe audit en eventuele tekortkomingen tijdig te signaleren.
Wat is het voordeel voor jou als klant?
Dat wij nu ISO 27001 gecertificeerd zijn, biedt ook voor jou als klant een aantal voordelen. Als ICT-dienstverlener beheren wij vele klantomgevingen. Denk hierbij aan servers, back-ups of de werkstations. Door het toepassen van de beheersmaatregelen uit de norm kunnen wij aantonen dat we de juiste beveiligingsmaatregelen toepassen die nodig zijn voor specifieke systemen.
Onze procesgerichte manier van werken zorgt ervoor dat wij alle werkzaamheden vastleggen en volgens een gestructureerde manier uitvoeren. In het proces is steeds het informatiebeveiligingsaspect meegenomen om de risico’s van bijvoorbeeld het uitvoeren van projecten volledig in kaart te brengen.
Onze expertise op het gebied van informatiebeveiliging is bij de medewerkers door het ISO-traject enorm gegroeid. Zo kunnen wij als organisatie meedenken met vraagstukken over jullie eigen informatiebeveiliging. Denk hierbij aan de volgende zaken:
- Adviseren bij traject naar ISO27001.
- Beleid instellen via Conditional Access, MAM en MDM. (Microsoft)
- Instellen van een wachtwoordbeleid.
- Helpen bij het classificeren van informatie op basis van BIV.
- Toepassen van twee factor authenticatie.
- Beheren en monitoren antivirus software. (ESET)
- Onderzoeken en implementeren van logging in systemen.
- Opstellen bedrijfscontinuïteitsplan n.a.v. een calamiteit.
- Encryptie implementeren op diverse systemen.
- Mogelijke risico’s detecteren rondom IT-hardware.
- Opstellen van een RBAC-model (Roled Based Access Control-model)
Wij zijn ISO 27001:2022 gecertificeerd, mocht je vragen aan ons hebben over ISO27001 of AVG, dan kun je altijd telefonisch contact met ons opnemen of een email sturen.