Wat zegt IB-managementsysteemcertificatie nu eigenlijk?

Veel organisaties beschikken over een managementsysteem voor informatiebeveiliging (een ISMS). Dat betekent dat er op een cyclische en beheerste manier met informatiebeveiliging wordt omgegaan. ISO/IEC 27001 biedt het raamwerk daarvoor. Maar wat zegt dat nu eigenlijk? Is het hebben van een ISMS een garantie dat de organisatie ‘in control’ is? Dat lijkt me niet: DigiNotar beschikte over een geldig ISO/IEC 27001-certificaat en toch ging er van alles mis!

Vaak wordt gesteld dat veel organisaties de PLAN- en DO-fase wel doorkomen, maar moeite hebben met de CHECK-fase. Het uitvoeren van interne audits en management reviews levert te weinig verbeterpunten op, op basis waarvan de organisatie kan bijsturen (ACT). De PDCA-cyclus staat dan ongewild voor PLAN-DO and Cover your Ass…

Ik ben van mening dat de ‘fout’ al eerder gemaakt wordt, namelijk in de PLAN-fase. De strategie en het beleid voor informatiebeveiliging zijn wel geformuleerd, maar zijn onvoldoende vertaald naar (meetbare) standaarden en procedures. Het gevolg is dat de operatie (DO) zijn eigen weg moet zoeken en helaas onvoldoende in staat is om in begrijpelijke termen bij het management om aansturing te vragen. De operatie gaat zijn eigen gang en dat kan hen niet eens kwalijk genomen worden. Het verantwoordelijk management had moeten aangeven wanneer de te behalen beveiligingsdoelen gerealiseerd zijn en hoe dat vastgesteld kan worden (zie ook ‘Metrics’).

Als de PDCA-cyclus wel correct is geïmplementeerd mag je ervan uitgaan dat in de CHECK-fase periodieke beoordelingen plaatsvinden en op basis daarvan wordt bijgestuurd (ACT). Waar het daarbij om gaat is dat er voldoende procedures zijn die er voor garant staan dat er op operationeel niveau veilig gewerkt wordt. Een managementsysteem zonder uitgewerkte en nageleefde operationele procedures biedt geen zicht op een behoorlijke beveiliging!

Mark Hoevers