Toezicht op IB-managementsysteemcertificatie

Na de DigiNotar-crisis is een discussie ontstaan over de toegevoegde waarde van formele managementsysteemcertificatie volgens ISO/IEC 27001 (zie ook ‘Wat zegt IB-management-certificatie nu eigenlijk?’) en onder meer ook over de rol van de Raad voor Accreditatie in het toezichtproces daarop. De Raad voor Accreditatie accrediteert certificatie-instellingen tegen ISO/IEC 17021 (internationaal overeengekomen regels voor auditors en het auditproces) en kijkt verder niet naar het object van certificatie (producten, diensten, personen, managementsystemen, e.d.) en de bijbehorende normen. Die normen worden bepaald door alle belanghebbende partijen tezamen.

Geaccrediteerde certificatie-instellingen verlenen ISO/IEC 27001-certificaten aan bedrijven en instellingen die hun managementsysteem voor informatiebeveiliging conform het certificatieschema hebben ingericht. Hoewel ISO/IEC  27001 verplicht om periodiek dreigingen, kwetsbaarheden en risico’s te beoordelen en op basis daarvan passende maatregelen te treffen (technisch en organisatorisch), kan het voorkomen dat tijdens een interne audit onvoldoende scherp beoordeeld wordt of die maatregelen inderdaad afdoende zijn. Het zijn uiteindelijk de proceseigenaren die bepalen of het restrisico acceptabel is. Zij financieren ook de getroffen maatregelen. En als de besluitvorming goed beargumenteerd is gedocumenteerd, wat kan een externe auditor er dan nog van zeggen?

Een ISO/IEC 27001-certificaat biedt geen garanties dat de risico’s afdoende beheerst worden, maar het gaat een eind de goede kant op, omdat de norm het streven naar continue verbetering als uitgangspunt heeft.

Er zijn verschillende redenen om -ondanks genoemde beperkingen- deze vrijwillige certificatiesystematiek in tact te laten:

  1. De systematiek wordt mondiaal toegepast, waarbij wederzijdse erkenning van elders verleende certificaten belangrijk is voor het vertrouwen tussen bijvoorbeeld handelspartners. Wellicht dat de auditeerbaarheid van technische systemen in ISO/IEC 27001 in de toekomst beter uitgewerkt kan worden, verbeteringen zijn altijd mogelijk. Ook is het denkbaar dat in plaats van managementsysteemcertificatie (ISO/IEC 17021) wordt overgegaan op certificatie van producten en diensten, inclusief management-systeemcertificatie (ISO/IEC 17065). Dit laatste is het voornemen bij de implementatie van de EU-verordening over elektronische identiteiten en vertrouwensdiensten (910/2014);
  2. Het alternatief, een door de overheid opgelegd en gecontroleerd auditschema, lijkt me
    -heden ten dage- niet levensvatbaar wegens gebrekkige kennis bij overheids-toezichthouders. Nog steeds leunen toezichthouders zwaar op de auditrapporten die door certificatie-instellingen worden opgesteld: de kennis zit op dit moment vooral in de markt, en veel minder bij de overheid. Dit zal overigens worden rechtgetrokken bij de implementatie van genoemde EU-verordening: het Agentschap Telecom zal in de toekomst een eigen oordeel vormen voordat trust service providers gecertificeerd kunnen worden.

Mark Hoevers

Dit is het tweede deel in een serie. Het eerste deel vind je hier.