of 58959 LinkedIn

Certificering of verklaring: op zoek naar continu zekerheid

ISO27001 is een standaard voor informatiebeveiliging. Nadeel van de ISO standaarden is een lange doorlooptijd en het feit dat hun ontwikkeling veel tijd in beslag neemt. Voor wie ‘in control’ wil zijn en blijven, is een assuranceverklaring een geschikte aanvulling.

Op zoek naar continu zekerheid

In 2005 werd, na enkele voorlopers, de eerste versie van ISO27001 gepresenteerd. Acht jaar later volgde de versie die nu nog geldt. Hoeveel zekerheid geeft een certificering van zo’n standaard over het IT & securitygebied, waar ontwikkelingen immers razendsnel tempo gaan? Door de toename van wet- en regelgeving over de aantoonbare kwaliteit en verantwoordelijkheid voor uitbestede IT-processen, neemt de vraag toe naar aantoonbare zekerheid bij organisaties die (een deel van) hun IT-processen uitbesteden. Logisch, want je wilt immers weten hoe goed iemand iets doet waar jezelf verantwoordelijk voor bent, ook al is het een uitbesteed IT-proces?

 

Een ISO-certificering geeft toch een bepaalde zekerheid over de organisatie? Een organisatie toont daarmee toch aan dat zij op een gegeven moment voldoet aan de eisen? Ja, maar een ISO-certificering toetst niet de complete ‘werking’ van de gestelde eisen. Een assuranceverklaring doet dit wel; het aantoonbaar voldoen aan de eisen over de hele periode waarover de verklaring geldt. Hierbij wordt steekproefsgewijs gekeken naar alle werkzaamheden die hebben plaatsgevonden. En dat is wel zo prettig als een externe partij werkzaamheden voor je uitvoert. Je kunt er van op aan dat zij dat altijd uitvoeren zoals staat beschreven in de verklaring. Open, bewezen en transparant.

 

Afbeelding

 

Grotere zekerheid

Daarnaast is er nog een aantrekkelijk aspect aan een assuranceverklaring. Specifieke processen (die een organisatie uitbesteedt) kunnen worden meegenomen in de audit, en de partij die onafhankelijk toetst, kan hierover een garantie afgeven. Het kan een organisatie ontzorgen van specifieke auditlast over iets waar de verantwoordelijkheid nog wel bij hen ligt. Een hogere periodiciteit (dan jaarlijks gecertificeerd worden) geeft een hogere mate van zekerheid. Dit sluit aan op de razendsnelle ontwikkelingen die zich voordoen in het IT-vakgebied. Dit wil niet zeggen dat een gerenommeerde standaard niet meer van deze tijd is. Maar als er meerdere keren per jaar wordt geaudit op beveiligingsmaatregelen, leert men ook sneller van verbeterpunten. Ik ben een voorstander!

 

Natuurlijk zijn er meer verschillen tussen een certificering en assurance verklaring. Mocht je daar meer over willen weten, of willen bespreken hoe onze assurance verklaring jouw gemeente kan ontzorgen, dan ga ik daar natuurlijk graag in een persoonlijk gesprek of een volgend blog op in.

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

Afbeelding

Postbus 1470, 5200 BM  's Hertogenbosch

088 110 1500

info.prlg@pinkroccade.nl

www.pinkroccadelocalgovernment.nl

Meer nieuws

Afbeelding

Waarom gemeentelijke applicaties onderbrengen in de cloud?

Nieuwsbrief

Lees hier onze nieuwsbrief Publiekszaken met o.a.

- Geboorte-appje naar gemeente

- iBurgerzaken gereed voor mobiel

- Nieuwtjes uit het land der Burgerzaken

Gemeente Oss kiest heel bewust voor digitale huwelijksaangifte

Klantcases

Burgers en gemeenten, samen in control

Ontwikkeling van ideeën tot apps

Afbeelding

PINKROCCADE opleidingen & Seminars

AfbeeldingPinkRoccade Local Government ziet het als haar verantwoordelijkheid om opdrachtgevers te faciliteren in de steeds veranderende dienstverleningsbehoefte van deze tijd. Daarom bieden wij een breed scala aan opleidingen voor gebruikers en functioneel beheerders van onze applicaties. Daarnaast organiseren wij regelmatig evenementen waar niet zozeer de applicaties aan bod komen, maar waar we samen met u naar het veranderende gemeentelandschap kijken en wat dat betekent voor u en uw gemeente.

Bloggers

Whitepapers