of 59167 LinkedIn

Certificering of verklaring: op zoek naar continu zekerheid

ISO27001 is een standaard voor informatiebeveiliging. Nadeel van de ISO standaarden is een lange doorlooptijd en het feit dat hun ontwikkeling veel tijd in beslag neemt. Voor wie ‘in control’ wil zijn en blijven, is een assuranceverklaring een geschikte aanvulling.

Op zoek naar continu zekerheid

In 2005 werd, na enkele voorlopers, de eerste versie van ISO27001 gepresenteerd. Acht jaar later volgde de versie die nu nog geldt. Hoeveel zekerheid geeft een certificering van zo’n standaard over het IT & securitygebied, waar ontwikkelingen immers razendsnel tempo gaan? Door de toename van wet- en regelgeving over de aantoonbare kwaliteit en verantwoordelijkheid voor uitbestede IT-processen, neemt de vraag toe naar aantoonbare zekerheid bij organisaties die (een deel van) hun IT-processen uitbesteden. Logisch, want je wilt immers weten hoe goed iemand iets doet waar jezelf verantwoordelijk voor bent, ook al is het een uitbesteed IT-proces?

 

Een ISO-certificering geeft toch een bepaalde zekerheid over de organisatie? Een organisatie toont daarmee toch aan dat zij op een gegeven moment voldoet aan de eisen? Ja, maar een ISO-certificering toetst niet de complete ‘werking’ van de gestelde eisen. Een assuranceverklaring doet dit wel; het aantoonbaar voldoen aan de eisen over de hele periode waarover de verklaring geldt. Hierbij wordt steekproefsgewijs gekeken naar alle werkzaamheden die hebben plaatsgevonden. En dat is wel zo prettig als een externe partij werkzaamheden voor je uitvoert. Je kunt er van op aan dat zij dat altijd uitvoeren zoals staat beschreven in de verklaring. Open, bewezen en transparant.

 

Afbeelding

 

Grotere zekerheid

Daarnaast is er nog een aantrekkelijk aspect aan een assuranceverklaring. Specifieke processen (die een organisatie uitbesteedt) kunnen worden meegenomen in de audit, en de partij die onafhankelijk toetst, kan hierover een garantie afgeven. Het kan een organisatie ontzorgen van specifieke auditlast over iets waar de verantwoordelijkheid nog wel bij hen ligt. Een hogere periodiciteit (dan jaarlijks gecertificeerd worden) geeft een hogere mate van zekerheid. Dit sluit aan op de razendsnelle ontwikkelingen die zich voordoen in het IT-vakgebied. Dit wil niet zeggen dat een gerenommeerde standaard niet meer van deze tijd is. Maar als er meerdere keren per jaar wordt geaudit op beveiligingsmaatregelen, leert men ook sneller van verbeterpunten. Ik ben een voorstander!

 

Natuurlijk zijn er meer verschillen tussen een certificering en assurance verklaring. Mocht je daar meer over willen weten, of willen bespreken hoe onze assurance verklaring jouw gemeente kan ontzorgen, dan ga ik daar natuurlijk graag in een persoonlijk gesprek of een volgend blog op in.

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

Meer nieuws

#LSG17

Afbeelding

#GPSC17

Afbeelding

Urk - Horst aan de Maas: de Berichtenbox voor inwoners

Afbeelding

Whitepapers JouwGemeente MijnGemeente

PinkRoccade Live

PinkRoccade Local Government biedt een ruim aanbod aan curcussen, (klassikale) opleidingen en webinars.

Bloggers

Afbeelding

Postbus 1470, 5200 BM  's Hertogenbosch

088 110 1500

info.prlg@pinkroccade.nl

www.pinkroccadelocalgovernment.nl