Informatiebeveiliging

Wat houdt een Certificaat in inzake ISO 27001?

Met vertrouwelijke gegevens gaat u zorgvuldig om. Certification Services van PwC is bevoegd om uw beveiliging volgens internationale normen te toetsen en u hiervoor certificaten toe te kennen. Zo kunt u aan uw afnemers laten zien dat u informatiebeveiliging goed heeft geregeld.

Wat is certificatie?

Certificeren is het toetsen aan (inter)nationale normen door een onafhankelijke instantie die is aangewezen door een accreditatie-orgaan. PricewaterhouseCoopers Certification B.V. (hierna Certification Services) is door de Raad voor Accreditatie aangewezen als een dergelijke certificerende instantie.

Bij certificering tegen de norm ISO-27001 gaat het over de toetsing van een managementsysteem voor informatiebeveiliging, dat wil zeggen de wijze waarop het management de informatiebeveiliging in een organisatie beheerst en in continuïteit werkt aan verbetering hiervan.

Geen absolute uitspraken

Certificering betekent niet dat individuele diensten en/of producten van een organisatie worden getoetst. Ook wordt geen absolute uitspraak gedaan of de beveiliging van een organisatie in continuïteit van voldoende niveau is. Beveiligingsincidenten kunnen niet altijd voorkomen worden. Het is het doel dat het management dergelijke incidenten adequaat oppakt en gebruikt om het systeem te verbeteren. Let op: informatiebeveiliging is gebonden aan tijd en kan door nieuwe ontwikkelingen worden ingehaald. De organisatie zelf houdt verantwoordelijkheid voor het actueel houden van haar managementsysteem.

Let op de reikwijdte

De gebruiker van een certificaat moet weten of de organisatie aan alle eisen voldoet. Dit kan door een uittreksel van onze rapportage op te vragen. Het is ook belangrijk om de reikwijdte van het certificaat te begrijpen. Niet alle normen hoeven van toepassing te zijn en niet alle processen en/of locaties van een organisatie hoeven onder het certificaat te vallen.

Ons onderzoek

Ons onderzoek richt zich, in overeenstemming met onder meer de ISO/IEC 17021, op:

1. de wijze waarop het managementsysteem is gedocumenteerd en of de van toepassing zijnde normen vanuit ISO-27001 hierin zijn vastgelegd;
2. de wijze waarop het managementsysteem zoals beschreven ook daadwerkelijk binnen de organisatie bestaat.

Het onderzoek doet dus geen uitspraken over de effectieve werking van het managementsysteem in een bepaalde periode. De potentiële effectiviteit van het managementsysteem kent inherente beperkingen, waardoor fouten, incidenten, beveiligingsdoorbraken en fraude kunnen voorkomen die niet ontdekt worden.

Geen toekomstvoorspelling

De datum van de beschrijving van het managementsysteem wordt vermeld op het certificaat. Iedere projectie van deze informatie naar de toekomst toe is onderhavig aan het risico dat het systeem sindsdien veranderd is. Bij het management van de gecertificeerde organisatie ligt een verantwoordelijkheid om de certificerende instantie proactief te informeren over belangrijke ontwikkelingen.