Blog

Assurance vs. certificering deel 2: Wat is een certificering?

Regelmatig krijgen wij vragen over de assurances en certificeringen die Eshgro bezit. Zijn deze wel noodzakelijk en wat is inhoudelijk nou het verschil? Heel begrijpelijk, want als je hier niet dagelijks mee te maken hebt, is het soms lastig om door de bomen het bos te zien. Maar geen nood! In deze driedelige blogserie legt Compliance Officer Maik je precies uit wat een assurance rapportage en certificering inhouden, wat het verschil is tussen ISAE en ISO / NEN en wat de meerwaarde ervan is voor jou als klant of partner. In dit tweede deel: wat is een certificering?

Lees ook: Assurance vs. Certificering deel 1: Wat is een assurance rapportage?

Wat is certificering?

In deel 1 van deze blogserie werd aan de hand van een voorbeeld beschreven hoe een assurance-opdracht is opgebouwd: “Als organisatie (beoogde gebruiker) besteedt je jouw IT (uitbesteed proces) uit aan een IT-leverancier (serviceorganisatie). Een auditor (onafhankelijke derde) controleert of jouw IT-leverancier deze uitbestede processen wel beheerst (toetsing). Voor deze controle maakt men gebruik van een zogenoemd control framework (normenkader).” Dit voorbeeld is vergelijkbaar met een certificering. Ook daarbij wordt namelijk getoetst of processen worden beheerst.

In de kern is certificatie opgebouwd uit 4 elementen, namelijk een:

  • onafhankelijke, geaccrediteerde partij;
  • managementsysteem;
  • object van onderzoek;
  • beheersdoelstellingen.

Bij certificatie stelt een auditor (onafhankelijke, geaccrediteerde partij) vast of het beleid waarop een organisatie en/of processen worden bestuurd (managementsysteem) voldoet aan de specifieke eisen voor een bepaald onderwerp (object van onderzoek). Daarbij maakt men gebruik van een control framework (beheersdoelstellingen), ook wel certificeringseisen- of standaard genoemd. Het doel hiervan is het realiseren van een planmatige, systematische en continue verbetering van processen en procedures binnen de organisatie.

Soorten certificeringen

De wereld van certificeringen is groot. Afhankelijk van het object dat wordt gecertificeerd, kan een bepaald type certificering gelden. Zo bestaan er organisatie- of procescertificeringen, zoals ISO 9001, ISO 27001 en NEN 7510, maar ook productcertificeringen of persoonscertificeringen. In het geval van persoonscertificering kan bijvoorbeeld worden aangetoond dat een bepaald persoon heeft bewezen aan de (vooraf) vastgestelde vakbekwaamheidseisen te voldoen.

In deze blog beperken we ons tot de bekendste IT-certificeringen: ISO 27001 en NEN 7510. Beide normen zijn opgesteld om te voorzien in het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Dit managementsysteem beschermt de vertrouwelijkheid, integriteit en beschikbaarheid van informatie door een risicobeheersproces toe te passen en geeft belanghebbenden (zoals de organisatie die bepaalde processen uitbesteed aan een IT leverancier) het vertrouwen dat risico’s adequaat worden beheerst. Het principe is voor ISO en NEN hetzelfde, de toepasselijkheid is voor beide anders.

Verloop van het certificatietraject

De uitvoer van het certificatietraject bestaat uit 5 stappen:

  1. Vaststelling van het object van onderzoek: Hiermee wordt de reikwijdte van de audit bepaald. Afhankelijk van dit object worden de samenhangende (beheers)doelstellingen uit het control framework geselecteerd. In de zogenoemde Verklaring van Toepasselijkheid staat beschreven welke (beheers)doelstellingen van toepassing zijn.
  2. Risicomodel: Er wordt gekeken naar het risicomodel en/of de uitgevoerde risico’s van de organisatie en de hierop te nemen en uit te voeren (beheers)maatregelen.
  3. Documentatieonderzoek: De opzet van het managementsysteem (bestaande uit beleid en procedures) wordt beoordeeld om te zorgen dat deze overeenkomt met de scope en de (beheers)doelstellingen.
  4. Implementatieonderzoek: Hierbij wordt gecontroleerd of de (beheers)maatregelen uit het risicomodel van de organisatie en/of voortkomend uit risico-analyses zijn geïmplementeerd. Ook wordt bekeken of periodiek getoetst wordt of de maatregelen nog voldoende zijn om de vooraf opgestelde (beheers)doelstellingen te behalen.
  5. Afgifte van het certificaat: Wanneer alle lichten op groen staan, wordt het certificaat afgegeven. Op het certificaat staat een verwijzing opgenomen naar de Verklaring van Toepasselijkheid, zodat duidelijk is wat wel en niet is getoetst.

Vervolgtraject

Na een succesvolle audit ontvang je een certificaat. Deze is meestal geldig voor de duur van 3 jaren. Vaak vindt gedurende deze periode op jaarlijkse basis een controle- of surveillanceaudit plaats. Hierbij worden specifieke onderdelen uit de norm nader onderzocht. Na afloop van deze 3 jaren wordt een volledige nieuwe audit uitgevoerd en begint het certificeringstraject opnieuw.

Meer weten?

In de volgende blog binnen deze serie gaat Maik verder in op de verschillen tussen een assurance en certificering. Wil je meer weten over assurances, certificeringen en de waarde hiervan voor jou als klant of partner? Neem dan gerust contact op.