Vandaag de dag hechten we met zijn allen veel waarde aan informatiebeveiliging en compliance in zijn algemeenheid. Zo is elke organisatie wel bekend met de AVG en zijn NEN 7510 en ISO 27001 veel besproken normen. Deze informatiebeveiligingsnormen zijn niet alleen een meerwaarde voor de bescherming van gevoelige gegevens, maar worden ook steeds vaker vereist bij aanbestedingen of andere samenwerkingsverbanden. Mocht informatiebeveiliging nog niet zijn geborgd in de organisatie, dan vormen aanbestedingen vaak de aanleiding om hier toch mee te starten.
Voor certificeerbare normen is dit relatief ‘eenvoudig’ te doen door een certificaat te overleggen. Maar niet alle normen en standaarden zijn certificeerbaar… Voorbeelden van niet-certificeerbare normen zijn de NEN 7512 en NEN 7513 die regelmatig in verwerkersovereenkomsten binnen de zorgwereld vereist worden.
Voor deze normen is het niet mogelijk om een geaccrediteerd certificaat te bemachtigen. Onder ‘geaccrediteerd certificaat’ worden alle certificaten verstaan, die zijn uitgegeven door een certificerende instelling die is geaccrediteerd door de Raad van Accreditaties (RvA). Iedereen kan namelijk certificaten en keurmerken afgeven, maar door een geaccrediteerde certificerende instelling wordt geborgd dat deze onafhankelijk, deskundig én betrouwbaar is.
Wat nu?
Ondanks dat er niet-certificeerbare normen vereist worden, wil de (potentiële) klant dat de organisatie hier aantoonbaar aan voldoet. Op welke manieren valt dit aan te tonen en hoe kan een grote mate van zekerheid verschaft worden aan derden? In deze blog gaan we hier dieper op in.
Per methodiek wordt inzichtelijk gemaakt:
- Wat de impact op de organisatie is om de aantoonbaarheid te realiseren;
- Welke mate van zekerheid verschaft wordt. Hier wordt beoordeeld in welke mate de vragende partij zekerheid heeft dat daadwerkelijk wordt voldaan aan de betreffende norm;
- Wat het kostenniveau is van het bieden van deze mate van zekerheid.
Management Verklaring
In de Management Verklaring verklaart het management in welke mate wordt voldaan aan de betreffende norm en welke producten, diensten, systemen etc. in scope vallen. De mate van zekerheid is in dit geval beperkt. Het management verklaart weliswaar in welke mate wordt voldaan, maar er heeft geen extra onderzoek plaatsgevonden. Doordat er geen externe partij nodig is om de Management Verklaring op te stellen, zijn de kosten nihil.
Interne Audit + Management Verklaring
Door het uitvoeren van een interne audit (met de te toetsen normen als normenkader) kan worden vastgesteld in hoeverre de organisatie aan de normen voldoet. Het management kan dan op basis van de interne audit een verklaring afgeven. De Management Verklaring krijgt op deze manier meer waarde, aangezien deze gebaseerd is op de uitgevoerde interne audit. Een interne audit heeft over het algemeen een beperkte mate van zekerheid, aangezien het door eigen medewerkers wordt uitgevoerd. Bij deze methode is de organisatie zelf verantwoordelijk voor het opstellen van de auditplanning, het uitvoeren van de audit en het verwerken van de rapportage.
Audit door externe auditor + Management Verklaring
Een audit door een externe auditor is vergelijkbaar met de interne audit. Een externe auditor is onafhankelijk(er) en aangezien deze auditor zelf een auditplanning opstelt en de rapportage verwerkt, heeft de organisatie hier geen omkijken meer naar. De impact op de organisatie is hierdoor gemiddeld. Echter dienen verschillende medewerkers (afhankelijk van de toetsingscriteria) wel als auditees deel te nemen. Dit kan enige tijd in beslag nemen. In de Management Verklaring kan tevens verklaard worden dat de audit is uitgevoerd door een externe partij. Hiermee wordt de onafhankelijkheid aangetoond, wat zorgt voor een grotere mate van zekerheid.
TPM door RE-auditor
Bij het afgeven van een Third Party Memorandum (TPM) wordt een audit uitgevoerd onder verantwoordelijkheid van een RE Auditor. Dit is een gekwalificeerde IT-auditor die op grond van opleiding en praktijkervaring beschikt over deskundigheid inzake informatiebeveiliging, beheersing van IT en de afstemming tussen bedrijfsprocessen en IT. Mede hierdoor kan geconcludeerd worden dat dit een grote mate van zekerheid geeft. Met de TPM door een RE-auditor wordt hetzelfde stramien gebruikt als de externe audit: de auditor stelt de auditplanning op en is verantwoordelijk voor de rapportage. Echter zijn er wel een aantal verschillen. Een TPM is een verklaring die wordt afgegeven door een onafhankelijke audit partij. De regels omtrent het afgeven van een TPM zijn veel strikter en formeler dan bij een reguliere externe audit.
In tegenstelling tot een reguliere externe audit wordt een TPM enkel afgegeven door een gekwalificeerde RE-auditor. Daarnaast wordt de opzet, bestaan en werking (werking is niet verplicht) getoetst:
- Is er een gedocumenteerd beleid en procedures? (opzet)
- Is dit beleid en procedures geïmplementeerd? (bestaan)
- Werken de processen effectief gedurende een langere periode? (werking)
Door deze strikte en diepgaande manier van toetsen wordt een zeer grote mate van zekerheid bereikt. Echter zorgt dit ook voor een grotere impact op de organisatie. Dit komt met name doordat er veel nadruk wordt gelegd op het aantoonbaar maken dat de organisatie de te toetsen normen naleeft: het opleveren van het juiste bewijs. Nadat de audit is afgerond, wordt een zogeheten Assurance Rapportage opgesteld, waarin beschreven wordt in welke mate wordt voldaan aan de getoetste elementen.
Hoe kan Meridion u ondersteunen?
Samen met u zijn wij in staat om de niet-certificeerbare normen tóch aantoonbaar te maken. Wij kunnen u op verschillende manieren helpen. Meridion heeft verschillende auditoren in huis die in staat zijn om een kwalitatief goede audit uit te voeren. Op deze manier bent u er zeker van dat de mate van zekerheid waar u op zoek naar bent wordt gerealiseerd. Indien u kiest voor een van onze auditoren, wordt het hele auditproces gefaciliteerd. Afhankelijk van de getoetste norm kunt u zelf stappen ondernemen om de audit te bespoedigen en kosten te besparen.
Lees meer over:
Jordi van Duyne is CISSP-in-opleiding en consultant binnen Meridion. Naast het begeleiden van onze klanten met ISO 27001 en/of NEN 7510 implementaties voert Jordi zelfstandig verschillende audits uit. Deze audits bestaan onder andere uit ISAE 3402, DigiD en VIPP. Verder is Jordi nauw betrokken bij alle innovaties en producten binnen Meridion.
