Certificeringen voor ondernemers
Ondernemers die bezig zijn met kwaliteitsverbeteringen binnen hun bedrijf zijn ze vast en zeker wel eens tegengekomen; certificeringen. Ze zijn er in allerlei soorten en kunnen gaan over verschillende onderdelen binnen het bedrijf; proceskwaliteit, milieu, maatschappelijk ondernemen en natuurlijk ook cybersecurity of informatiebeveiliging. Graag helpen we je op weg met opties en stappen die je kunt nemen.
Wat is een certificering?
Een certificering is een door een onafhankelijke instantie uitgereikt bewijs (certificaat) dat je voldoet aan een bepaalde kwaliteitsnorm. Met een certificering geef je als bedrijf aan “in control” te zijn en te streven naar een continu verbeteringsproces. Daarnaast toon je op een objectieve manier aan dat jouw organisatie voldoet aan (internationale) standaarden. Dit is niet alleen fijn voor je interne bedrijfsvoering maar ook een zeer belangrijk signaal naar de markt en veelal een eis bij aanbestedingen.
Hoe verloopt het certificeringsproces?
Ieder certificeringsproces heeft z'n eigen verloop, audit en benodigdheden. In algemene zin ziet een certificeringstraject er als volgt uit:
- Beoordeling van de documentatie
Bij deze fase beoordeelt een certificerende instantie of alles ‘op papier’ voldoet aan de richtlijnen. Hierbij wordt onderzocht of alle elementen uit het certificatieschema aanwezig zijn. Daarbij wordt ook beoordeeld of de documentatie up-to-date en op alle plekken waar deze is opgeslagen het zelfde is. - Beoordeling van de implementatie
Deze fase wordt ook wel 'initiële audit' genoemd en hierin zal een auditor controleren of de processen en procedures die ‘op papier’ staan ook daadwerkelijk in praktijk zijn gebracht. Zo beoordeelt een onafhankelijke certificerende instantie of de gebruikte formulieren daadwerkelijk worden gebruikt. Dat controleert de instantie door middel van interviews met medewerkers in verschillende onderdelen van het bedrijf en ook door steekproeven af te nemen waarbij de uitvoering van de standaarden wordt beoordeeld.
Welke certificeringen zijn er?
De ISO-normen zijn het meest bekend. Het ISO normenkader kent vele varianten en elke variant richt zich op een ander specifiek onderdeel binnen een organisatie. Een aantal ISO-normen lichten we er graag uit:
- ISO 27001 is een kwaliteitsmeting voor informatiebeveiliging;
- ISO 27002 beschrijft de beheersmaatregelen en biedt een verdiepingsslag op ISO 27001;
- ISO 9001 richt zich op de ontwikkeling, uitvoering en controle van kwaliteitsmanagement en bijbehorende systemen;
- ISO 27017 en 27018 hebben betrekking op de beveiliging en privacy van informatie in de cloud.
Naast het ISO-normenkader zijn er ook andere certificeringen zoals bijvoorbeeld het CCV Pentest keurmerk waarmee de kwaliteit van pentests en het opleidingsniveau van pentesters genormeerd wordt.
Is een certificering verplicht?
Of een bepaalde certificering verplicht is, verschilt per geval en is afhankelijk van in welke sector jouw bedrijf actief is. Zo ben je in de meeste sectoren niet verplicht om ISO 27001 en ISO 27002 te implementeren.
Ben je echter leverancier van arbodiensten, dan ben je sinds 1 januari 2020 verplicht om een succesvol ISO 27001-traject te hebben doorlopen. Voor gecertificeerde arbodiensten betekent dit dat zij alleen met leveranciers mogen samenwerken die over een ISO 27001 certificering beschikken.
Organisaties die verbonden zijn aan of zaken doen met de overheid krijgen sinds 2020 te maken met de Baseline informatiebeveiliging Overheid (BIO). De BIO stelt het normenkader voor informatiebeveiliging binnen alle overheidsorganisaties en geldt voor de gehele overheid.
Blijf op de hoogte
Het is dus erg belangrijk om als ondernemer op de hoogte te zijn van de laatste ontwikkelingen in de sector waarin je bedrijf opereert. Je kunt je ook door een gespecialiseerd adviesbureau of consultancybedrijf laten informeren. Mogelijk kan het je ook helpen bij de inventarisatie, de documentatie en het doorlopen van een succesvol certificeringstraject.