Waar staat u?

U heeft de opdracht om te waarborgen dat de informatiebeveiliging van uw organisatie voldoet aan geldende normen als ISO 27001 of NEN 7510. Maar u heeft geen idee waar de organisatie staat.

Certificering of derdenverklaring?

Allereerst is de vraag wat de opdracht precies is. Moet de organisatie worden gecertificeerd door een certificerende instantie. Bijvoorbeeld gebaseerd op ISO 27001. Of is een derdenverklaring meer van toepassing, opgesteld door een bevoegd accountant. In het laatste geval kan het managementsysteem (ISMS - Information Security Management System) gebaseerd zijn op een eigen normenkader (SAS 70 / ISAE 3402). Elementen uit de ISO 27001 of NEN 7510 norm kunnen natuurlijk wel in het eigen normenkader worden opgenomen.

GAP-analyse

In een kort tijdsbestek kan Meta-audit u inzicht geven in de huidige situatie, de 'nul-situatie'. Volgens een vast stramien worden de relevante norm-eisen onder de loep genomen. Een zg. GAP analyse. Onderwerpen die in zo'n GAP analyse aan bod komen zijn o.a.:

beveiligingsbeleid beheer van bedrijfsmiddelen personeel fysieke beveiliging beheer communicatieprocessen beheer van bedieningsprocessen toegangsbeleid informatiesystemen incidentenbeheer bedrijfscontinuïteitsbeheer naleving

Zo'n GAP analyse is meteen het startpunt voor het vervolgtraject, bijvoorbeeld om te komen tot een certificeerbaar ISMS.

Eerst zelf proberen? Kijk onder 'Instructions' in dit demo-ISMS (UK, ISO 27001) of onder 'Overig' in dit demo-ISMS (NL, NEN 7510). In dit laatste handboek geeft de zg Verklaring van Toepasselijkheid snel inzicht in de gevraagde beheersmaatregelen (zie voorblad).

Wat doet Meta-audit

Op dit onderdeel voert Meta-audit de volgende diensten uit:

• uitvoeren QuickScans
• uitvoeren GAP analyses
• opstellen projectplannen