Een ISO 27001-certificering is geen eenmalige inspanning
De uitreiking van een ISO 27001-certificaat is vaak een opluchting. Na maandenlange inspanning om de gehele organisatie in lijn te krijgen met de ISO 27001-eisen, is het certificaat behaald. Tijd om te ontspannen!
Verbazing bij de eerste controle-audit
De verbazing is vaak groot als bij de eerste controle-audit een jaar later blijkt dat de dagelijkse praktijk op verschillende punten afwijkt van de norm. Hoe is dit mogelijk? Een jaar geleden was immers alles goed bevonden tijdens de certificerende audit?
‘In voldoende mate aanwezig’
Het ligt iets genuanceerder: een certificering betekent dat de ISO 27001-normen op het moment van certificeren ‘in voldoende mate aanwezig’ zijn om positief te adviseren over het afgeven van een certificaat.
Na het behalen van dit startbewijs zal een externe auditor de lat elk jaar een stukje hoger leggen om de kwaliteit van informatiebeveiliging verder te verbeteren. Het komt dan ook zelden voor dat tijdens een controle-audit geen enkele afwijking wordt geconstateerd.
Verbetering nodig
Een afwijking op de norm is minder negatief dan de term suggereert. In veel gevallen is een afwijking niet het gevolg van een falend ISMS (information security management system), maar een indicatie dat er verbetering nodig is, met bindende tijdslijnen voor het oplossen.
Continu verbeteren
Certificeren is dus geen eenmalige inspanning. Om een ISO 27001-certificering te behouden is het noodzakelijk om het ISMS continu te onderhouden en te verbeteren. De afwijkingen die tijdens audits worden geconstateerd, mag je dan ook in dit licht zien: een audit is een middel om verbeteringen in kaart te brengen en toe te zien op een tijdige uitvoering daarvan.
Maarten van Rooij
Chief information security officer