Al een tijdje is uw organisatie druk doende met de implementatie van de NEN 7510-1 norm en de beheersmaatregelen uit de NEN 7510-2. Tijd om het functioneren van uw eigen systeem te beoordelen aan de hand van interne audits en de directiebeoordeling. Om vervolgens te komen tot de laatste stap: een externe beoordeling om uw managementsysteem door een audit en uiteindelijk certificatie.
Hoe bereid u u voor op een audit?
Het opzetten van een managementsysteem kost tijd. Daarom is het aan te raden om minimaal 6 maanden de tijd te nemen voor het opzetten van uw managementsysteem voordat u een externe audit laat plaatsvinden. Naarmate een organisatie groter en complexer is, is hier uiteraard meer tijd voor nodig. U kunt echter wel al contact opnemen met een certificerende instelling. Zo komt er alvast een concrete stip aan de horizon wat de planning overzichtelijk houdt. En kan bovendien op voorhand beter rekening gehouden worden met de voor u gewenste data voor proef- en/of externe audits. Door de certificerende instelling vroeg bij het proces te betrekken, kunnen zij u bekend maken met het optimale tijdspad en de te nemen stappen om het certificatietraject soepel te laten verlopen.
Als het eenmaal zover is en u het NEN 7510-1 managementsysteem voor uw organisatie heeft opgetuigd en geïmplementeerd, bent u bijna klaar voor certificering. De interne audit(s) en de managementbeoordeling moeten u daarbij inmiddels een goed beeld geven van de status van het managementsysteem en de implementatie.
Heeft u in het verleden al externe audits uitgevoerd gaat mogelijk op voor hercertificatie? Pak dan altijd de bevindingen uit voorgaande audits erbij en kijk kritisch of u deze punten al heeft opgelost om te voorkomen dat u nogmaals een afwijking krijgt op eenzelfde onderwerp. U kunt deze bevindingen altijd terugvinden in het auditrapport dat u destijds van de auditor heeft of certificerende instelling heeft ontvangen.
Interne audits
Een interne audit is bedoeld als (eerste) test voor het geïmplementeerde managementsysteem. De zaken die nog niet goed op orde zijn, komt u tegen tijdens het uitvoeren van een interne audit. De interne audit is bovendien een verplicht onderdeel van de norm. Het informatiebeveiligingssysteem wordt op conformiteit getoetst en alle normonderdelen komen aan bod. Bij een interne audit is het bovendien belangrijk dat de objectiviteit gewaarborgd wordt. Daarom mogen leden van het interne auditteam geen processen beoordelen waarvoor ze zelf verantwoordelijk zijn. Zo voorkomt u niet alleen belangenverstrengeling, maar zorgt u er ook voor dat er representatieve informatie uit de interne audit komt. U leest hier meer over interne audits.
Directiebeoordeling/ Managementreview
De directiebeoordeling, ook wel ‘management review’ genoemd, is de beoordeling van de effectiviteit van uw systeem door het topmanagement van uw organisatie. Hiermee stelt de directie of Raad van Bestuur vast of het managementsysteem de beoogde doelstellingen ondersteunt en beoordeelt de effectiviteit van genomen beheersmaatregelen voor de door het management geïdentificeerde (informatiebeveiligings)risico’s.
Proefaudit
Een proefaudit is een optioneel onderdeel van certificering voor informatiebeveiliging. Tijdens een proefaudit maakt de auditor een globale inventarisatie van de huidige stand van zaken van uw organisatie en de implementatie van het managementsysteem. Welke veranderingen zijn er al doorgevoerd? Waar loopt u of uw organisatie tegenaan? De onderwerpen van een proefaudit kunnen door de organisatie zelf worden aangedragen Let wel, het gaat hier niet om advies, maar om u een beeld te geven van de huidige status.. Een proefaudit kan zo potentiële zwaktes gericht zichtbaar maken voordat u van start gaat met het daadwerkelijke certificatie traject.
Vooronderzoek
Wanneer u een toetsing voor het NEN 7510-1 certificaat aanvraagt bij een certificerende instelling zal worden gecontroleerd of uw organisatie aan alle minimale vereisten voldoet. De certificering van uw managementsysteem voor informatiebeveiliging vindt plaats aan de hand van drie stappen: het vooronderzoek (fase 1), de certificeringsaudit (fase 2) en de certificatiebeslissing op basis van de bevindingen uit de audit (het rapport en ondersteunend bewijsmateriaal).
De eerste stap is dus het vooronderzoek. Een vooronderzoek wordt uitgevoerd door een auditor of auditoren van de certificerende instelling. Tijdens een vooronderzoek wordt vastgesteld of de uitgangspunten van de audit kloppen (scope, tijdsbesteding, complexiteit, eventuele nevenvestigingen) en wordt globaal beoordeeld of uw organisatie klaar is voor de certificeringsaudit. U wordt uiterlijk op dit moment nogmaals getoetst of uw organisatie kwalificeert voor de NEN 7510-1. De wijze van het verwerken van persoonlijke gezondheidsinformatie is daarbij een belangrijk aandachtspunt.
De auditor kijkt in het vooronderzoek samen met u naar uw managementsysteem voor informatiebeveiliging en controleert of minimaal alle verplichte onderdelen aanwezig zijn (zogenaamde gedocumenteerde informatie). Die kan overigens in een eerder overleg (bij de persoonlijke kennismaking)al aan u zijn gevraagd. Een voorbeeld van verplichte documentatie is Verklaring van Toepasselijkheid, die ook direct aanleiding geeft tot globale toetsing van de beheersmaatregelen. Verder wordt gekeken of het proces van risicoanalyse, -beoordelingg en -behandeling zodanig is uitgevoerd dat de organisatie een goed beeld heeft van op haar van toepassing zijnde dreigingen en kwetsbaarheden, de risico’s en daarvoor de beheersmaatregelen heeft vastgesteld.
De certificeringsaudit
Het doel van deze audit is dat een externe partij objectief vaststelt dat het managementsysteem binnen uw organisatie conformeert aan de eisen uit de NEN 7510-1 norm. Tijdens de audit wordt gecontroleerd of het managementsysteem voor informatiebeveiliging goed is geïmplementeerd in uw organisatie. Hierbij wordt niet alleen de documentatie opnieuw gecontroleerd, maar loopt de auditor ook door uw organisatie heen om vast te stellen of beschreven maatregelen ook in de praktijk aantoonbaar zijn.
Aan het einde van de audit ontvangt u een rapport. Hierin staat of u wel of niet aan alle NEN 7510-1 certificeringseisen voldoet. Is dit niet het geval? Dan krijgt u conform het certificatiereglement maximaal 12 weken de tijd om de benodigde veranderingen aantoonbaar door te voeren binnen uw organisatie.
De certificering
Conformeert uw managementsysteem voor informatiebeveiliging wel aan alle NEN 7510-1 eisen dan krijgt u een positief advies van de auditor. Na een proces van review en certificatiebeslissing krijgt u dan het certificaat uitgereikt en kunt u officieel aantoonbaar maken aan opdrachtgevers en andere belanghebbenden dat u informatiebeveiliging op orde heeft.
Het NEN 7510-1 certificaat is drie jaar geldig. Na drie jaar moet u opnieuw op voor certificering. Ook wordt er jaarlijks een controle uitgevoerd om te toetsen of uw informatiebeveiligingssysteem nog voldoet aan alle certificeringseisen.
Hoe ervaart een ander het traject?
In uw voorbereiding vindt u het misschien wel interessant hoe een andere partij de NEN 7510-1 audits heeft ervaren? OneMed combineerde NEN 7510-1 audits met ISO 27001 en deed dat op een bijzondere manier, middels Stapsgewijs certificeren. Meer weten? Download de referentiecase.
Onderwerpen: