Sinds het Amerikaanse AICPA in 1982 Statement on Auditing Standards No.44, Special-Purpose Reports on Internal Accounting Controls at Service Organizations uitbracht, zijn er door diverse beroepsregelgevende instanties en standaardisatielichamen regels en protocollen gepubliceerd voor de uitvoering van TPM-onderzoeken. Een aantal hiervan wordt in deze reeks artikelen behandeld.
Klik hier voor een inleiding op de reeks artikelen en een overzicht van de artikelen.
Certificatie van informatiebeveiliging – vertrouwen voor de organisatie zelf én haar partners
Er zijn organisaties die de informatiebeveiliging goed op peil hebben, en dat ook willen tonen aan relaties, klanten of de buitenwereld. Bij andere organisaties is informatiebeveiliging bijna op het gewenste niveau, maar is net een zetje extra nodig.
Voor deze situaties is certificatie van informatiebeveiliging een goed middel. Ter versterking van het vertrouwen tussen handelspartners onderling of tussen serviceproviders en hun klanten is het mogelijk een uitspraak over de informatiebeveiliging te onderbouwen met een certificaat. Dit certificaat is gebaseerd op de breed geaccepteerde standaard ‘de Code voor Informatiebeveiliging’ (ISO 17799 / BS 7799). Dit certificaat wordt door certificatie-instellingen afgegeven na uitvoering van een audit van het managementsysteem voor informatiebeveiliging door IT-auditors. Deze certificatie-instellingen zijn hiervoor erkend door de Raad voor Accreditatie. Hierdoor zijn de certificaten ook internationaal erkend.
De Code voor Informatiebeveiliging als basis voor certificatie
Waarom certificatie op basis van de Code
De Code voor Informatiebeveiliging is breed geaccepteerd als de leidraad voor het opzetten en implementeren van informatiebeveiliging. Deze acceptatie geldt zowel binnen het bedrijfsleven als binnen de overheid, en zowel in Nederland als in de rest van de wereld.
Een certificaat geeft zowel binnen een organisatie als tussen organisaties meer vertrouwen in de opzet en het bestaan van het managementsysteem voor de informatiebeveiliging en het daadwerkelijk getroffen stelsel van maatregelen. Aangezien de Code uitgaat van een managementcyclus en het certificaat steunt op periodieke controleaudits kan men ook meer vertrouwen hebben dat het beoogde niveau van beveiliging ook blijvend wordt geboden.
De voordelen van certificatie tegen de Code
Met certificatie worden verschillende doelen gediend. In de eerste plaats kan door middel van certificatie op basis van de Code in eigen huis orde op zaken worden gesteld. Immers, ‘opgaan’ voor een certificaat creëert een objectieve interne doelstelling, met een duidelijk eindpunt: het certificaat. In de tweede plaats kan certificatie helpen bij het maken van afspraken tussen (handels)partners. Deze afspraken hebben vaak de vorm van service level agreements of interchange agreements bij electronic commerce. Een belangrijk onderdeel hiervan vormen de afspraken over informatiebeveiliging. Met een certificaat kan, bijvoorbeeld, een serviceprovider laten zien dat hij zich aan de gemaakte afspraken houdt. Certificatie biedt zo een vertrouwensbasis tussen partners, waarbij één certificaat vertrouwen kan bieden aan meerdere relaties.
Voor een serviceprovider kan het bijvoorbeeld zeer aantrekkelijk zijn om in een service level agreement de Code als uitgangspunt te nemen en, om aan te tonen dat dit uitgangspunt wordt gehaald, een certificaat tegen de Code te halen. Ook in andere overeenkomsten kunnen partijen afspreken dat ze zich aan de Code zullen houden en deze afspraak wederom onderbouwen met een certificaat.
Certificatie op basis van de Code voor Informatiebeveiliging is ook internationaal mogelijk. De certificaten zijn breed erkend. In de Angelsaksische landen is certificatie zelfs zeer gebruikelijk en veelal wordt een certificaat verwacht. In Amerika zijn de certificaten wel erkend, maar helaas nog niet zo ingeburgerd.
Certificatie van informatiebeveiliging: proces en betrokken partijen
De belangrijkste partij bij certificatie is de organisatie zelf! Deze zorgt ervoor dat er een beveiligingsplan ligt en is geïmplementeerd dat voldoet aan de Code. Indien de organisatie besluit ‘op te gaan’ voor het certificaat is de eerste stap in het certificatieproces de aanvraag tot certificatie. De organisatie stelt dan de ‘Verklaring van Toepassing’ op. De certificatie-instelling, die moet zijn erkend door de Raad voor Accreditatie, stelt een auditteam samen met auditors die ten minste vier jaar IT-ervaring hebben en ten minste twee jaar ervaring met informatiebeveiliging. Bovendien moeten de auditors aantoonbare auditervaring hebben. Hoewel de audit sterk leunt op de kennis en ervaring van de auditors, is de post-doctorale EDP-auditopleiding niet verplicht.
Dan volgt de documentatiebeoordeling. In dit onderzoek wordt vastgesteld of de verklaring en de bijbehorende documentatie voldoen aan de gestelde eisen uit deel 2 van de Code, met name de selectie van categorieën uit de Code met een verantwoording, doorgaans in de vorm van een risicoanalyse. Indien kritische afwijkingen worden vastgesteld, wordt de audit niet eerder voortgezet dan nadat deze zijn verholpen.
De volgende stap is de implementatiebeoordeling. Zoals gezegd zijn op dat punt door de organisatie en de certificatie-instelling in onderling overleg verschillende benaderingen te kiezen. Indien de organisatie een goede interne managementstructuur kent met goede interne controles, audits of zelfbeoordelingen, bestaat het grootste deel van het werk van de certificatie-instelling uit het beoordelen van deze werkzaamheden. Daarnaast zal de certificatie-instelling ook onafhankelijke waarnemingen uitvoeren (interviews en verwerven van ‘evidence’). De verdeling van werkzaamheden tussen de organisatie en de certificatie-instelling is dus niet in beton gegoten, er zijn hier de nodige vrijheidsgraden. De laatste stap is de beslissing tot certificatie. Indien geen kritische afwijkingen zijn blijven bestaan en de onvermijdelijke tekortkomingen niet te ernstig zijn, kan het certificaat worden verleend. Bij de jaarlijkse controleaudit worden uiteraard met name de geconstateerde tekortkomingen opnieuw onder de loep genomen.
Tot slot: kosten en baten
Certificatie van informatiebeveiliging beoogt een stimulans te zijn voor de betreffende organisatie en haar medewerkers. Het inrichten van informatiebeveiliging vraagt vaak een ruime doorlooptijd. Maar zodra de organisatie het management rond informatiebeveiliging goed heeft ingericht, is de feitelijke certificatie laagdrempelig: eerder een kwestie van weken dan van maanden.
Op voorhand kan certificatie helpen ‘orde in eigen huis’ te scheppen: door te streven naar een certificaat wordt een duidelijk en meetbaar einddoel gesteld. Voor de partners en klanten van de organisatie wordt met een certificaat meer vertrouwen geboden dat de organisatie aan haar zorgplicht voldoet.