Op deze website gebruikt PinkRoccade Local Government cookies en vergelijkbare technieken. Dit doen we om de website goed te kunnen laten werken en om te analyseren hoe de website wordt gebruikt. Bovendien voorkomt dit dat je meerdere malen dezelfde gegevens hoeft in te vullen. Zie voor meer informatie onze privacy- en cookieverklaring.
9 augustus 2016 - Blogs
Certificering of verklaring: op zoek naar continu zekerheid
ISO27001 is een standaard voor informatiebeveiliging. Nadeel van de ISO standaarden is een lange doorlooptijd en het feit dat hun ontwikkeling veel tijd in beslag neemt. Voor wie ‘in control’ wil zijn en blijven, is een assuranceverklaring een geschikte aanvulling.
Op zoek naar continu zekerheid
In 2005 werd, na enkele voorlopers, de eerste versie van ISO27001 gepresenteerd. Acht jaar later volgde de versie die nu nog geldt. Hoeveel zekerheid geeft een certificering van zo’n standaard over het IT & securitygebied, waar ontwikkelingen immers razendsnel tempo gaan? Door de toename van wet- en regelgeving over de aantoonbare kwaliteit en verantwoordelijkheid voor uitbestede IT-processen, neemt de vraag toe naar aantoonbare zekerheid bij organisaties die (een deel van) hun IT-processen uitbesteden. Logisch, want je wilt immers weten hoe goed iemand iets doet waar jezelf verantwoordelijk voor bent, ook al is het een uitbesteed IT-proces?
Een ISO-certificering geeft toch een bepaalde zekerheid over de organisatie? Een organisatie toont daarmee toch aan dat zij op een gegeven moment voldoet aan de eisen? Ja, maar een ISO-certificering toetst niet de complete ‘werking’ van de gestelde eisen. Een assuranceverklaring doet dit wel; het aantoonbaar voldoen aan de eisen over de hele periode waarover de verklaring geldt. Hierbij wordt steekproefsgewijs gekeken naar alle werkzaamheden die hebben plaatsgevonden. En dat is wel zo prettig als een externe partij werkzaamheden voor je uitvoert. Je kunt er van op aan dat zij dat altijd uitvoeren zoals staat beschreven in de verklaring. Open, bewezen en transparant.
Grotere zekerheid
Daarnaast is er nog een aantrekkelijk aspect aan een assuranceverklaring. Specifieke processen (die een organisatie uitbesteedt) kunnen worden meegenomen in de audit, en de partij die onafhankelijk toetst, kan hierover een garantie afgeven. Het kan een organisatie ontzorgen van specifieke auditlast over iets waar de verantwoordelijkheid nog wel bij hen ligt. Een hogere periodiciteit (dan jaarlijks gecertificeerd worden) geeft een hogere mate van zekerheid. Dit sluit aan op de razendsnelle ontwikkelingen die zich voordoen in het IT-vakgebied. Dit wil niet zeggen dat een gerenommeerde standaard niet meer van deze tijd is. Maar als er meerdere keren per jaar wordt geaudit op beveiligingsmaatregelen, leert men ook sneller van verbeterpunten. Ik ben een voorstander!
Natuurlijk zijn er meer verschillen tussen een certificering en assurance verklaring. Mocht je daar meer over willen weten, of willen bespreken hoe onze assurance verklaring jouw gemeente kan ontzorgen, dan ga ik daar natuurlijk graag in een persoonlijk gesprek of een volgend blog op in.
Contact
‘Digitale dienstverlening moet uitmuntend zijn, ónze oplossingen geven het beste voorbeeld.’
Jaap van Dijk, Managing Director Proces & Services