Lees ook:
Assurance vs. Certificering deel 1: Wat is een assurance rapportage?
Assurance vs. Certificering deel 3: Verschil tussen een assurance-opdracht en certificatie
In deel 1 van deze blogserie werd aan de hand van een voorbeeld beschreven hoe een assurance-opdracht is opgebouwd: “Als organisatie (beoogde gebruiker) besteedt je jouw IT (uitbesteed proces) uit aan een IT-leverancier (serviceorganisatie). Een auditor (onafhankelijke derde) controleert of jouw IT-leverancier deze uitbestede processen wel beheerst (toetsing). Voor deze controle maakt men gebruik van een zogenoemd control framework (normenkader).” Dit voorbeeld is vergelijkbaar met een certificering. Ook daarbij wordt namelijk getoetst of processen worden beheerst.
In de kern is certificatie opgebouwd uit 4 elementen, namelijk een:
Bij certificatie stelt een auditor (onafhankelijke, geaccrediteerde partij) vast of het beleid waarop een organisatie en/of processen worden bestuurd (managementsysteem) voldoet aan de specifieke eisen voor een bepaald onderwerp (object van onderzoek). Daarbij maakt men gebruik van een control framework (beheersdoelstellingen), ook wel certificeringseisen- of standaard genoemd. Het doel hiervan is het realiseren van een planmatige, systematische en continue verbetering van processen en procedures binnen de organisatie.
De wereld van certificeringen is groot. Afhankelijk van het object dat wordt gecertificeerd, kan een bepaald type certificering gelden. Zo bestaan er organisatie- of procescertificeringen, zoals ISO 9001, ISO 27001 en NEN 7510, maar ook productcertificeringen of persoonscertificeringen. In het geval van persoonscertificering kan bijvoorbeeld worden aangetoond dat een bepaald persoon heeft bewezen aan de (vooraf) vastgestelde vakbekwaamheidseisen te voldoen.
In deze blog beperken we ons tot de bekendste IT-certificeringen: ISO 27001 en NEN 7510. Beide normen zijn opgesteld om te voorzien in het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Dit managementsysteem beschermt de vertrouwelijkheid, integriteit en beschikbaarheid van informatie door een risicobeheersproces toe te passen en geeft belanghebbenden (zoals de organisatie die bepaalde processen uitbesteed aan een IT leverancier) het vertrouwen dat risico’s adequaat worden beheerst. Het principe is voor ISO en NEN hetzelfde, de toepasselijkheid is voor beide anders.
De uitvoer van het certificatietraject bestaat uit 5 stappen:
Na een succesvolle audit ontvang je een certificaat. Deze is meestal geldig voor de duur van 3 jaren. Vaak vindt gedurende deze periode op jaarlijkse basis een controle- of surveillanceaudit plaats. Hierbij worden specifieke onderdelen uit de norm nader onderzocht. Na afloop van deze 3 jaren wordt een volledige nieuwe audit uitgevoerd en begint het certificeringstraject opnieuw.
In de volgende blog binnen deze serie gaat Maik verder in op de verschillen tussen een assurance en certificering. Wil je meer weten over assurances, certificeringen en de waarde hiervan voor jou als klant of partner? Neem dan gerust contact op.