9 Proceseisen
9.1 Algemene eisen
9.1.1 Algemeen
9.1.2 Algemene ISMS-auditeisen
9.1.2.1 Criteria van de certificatieaudit
9.1.2.2 Beleid en procedures
9.1.2.3 Auditteam
9.1.3 IS Reikwijdte van de certificatie
9.1.4 IS Duur van de audit
-
a) de reikwijdte van het ISMS (bijv. aantal in gebruik zijnde informatiesystemen, aantal medewerkers);
-
b) de complexiteit van het ISMS (bijv. hoe kritisch zijn de informatiesystemen, wat is risicosituatie van het ISMS); zie ook bijlage A;
-
c) de soort(en) zakelijke activiteiten die binnen de reikwijdte van het ISMS wordt/worden uitgevoerd;
-
d) de omvang en diversiteit van de binnen de implementatie van de verschillende onderdelen van het ISMS toegepaste technologie (zoals de geïmplementeerde controles, documentatie en/of procescontrole, correctieve/preventieve actie, enz.);
-
e) het aantal bedrijfslocaties;
-
f) voorheen aangetoonde prestatie van het ISMS;
-
g) de binnen de reikwijdte van het ISMS toegepaste mate van uitbesteding en afspraken met derden;
-
h) de normen en regelgeving die voor de certificatie gelden.
9.1.5 Meerdere vestigingen
-
a) Alle vestigingen werken met hetzelfde ISMS, dat centraal wordt beheerd, waar centraal een audit en een managementbeoordeling op worden uitgevoerd.
-
b) Alle vestigingen zijn opgenomen in het interne ISMS-auditprogramma van de klant.
-
c) Alle vestigingen zijn opgenomen in het interne ISMS-managementbeoordelingsprogramma van de klant.
-
a) De initiële contractbeoordeling identificeert zo gedetailleerd mogelijk het verschil tussen de vestigingen zodat een adequaat niveau van steekproeven kan worden bepaald.
-
b) De certificatie-instelling heeft bij een representatief aantal vestigingen steekproeven genomen, waarbij rekening is gehouden met:
-
1) de resultaten van interne audits van het hoofdkantoor en de vestigingen,
-
2) de resultaten van de managementbeoordeling,
-
3) de verschillen in de omvang van de vestigingen,
-
4) de verschillen in de bedrijfsdoelen van de vestigingen,
-
5) de complexiteit van het ISMS,
-
6) de complexiteit van de informatiesystemen in de verschillende vestigingen,
-
7) de variaties in werkwijzen,
-
8) de variaties in verrichte activiteiten,
-
9) de potentiële interactie met kritische informatiesystemen of informatiesystemen die gevoelige informatie verwerken en
-
10) verschillende van toepassing zijnde wettelijke eisen.
-
-
c) Een representatieve steekproef wordt geselecteerd binnen de reikwijdte van het ISMS van de klant; deze selectie moet plaatsvinden op een beoordeling die is gebaseerd op de onder b) genoemde factoren en op een willekeurig element.
-
d) Op elke vestiging die valt onder het ISMS en die blootstaat aan significante risico's wordt voorafgaand aan certificatie een audit uitgevoerd.
-
e) Het auditprogramma is ontworpen in het licht van bovengenoemde eisen en dekt representatieve steekproeven van de reikwijdte van de ISMS-certificatie binnen de periode van drie jaar.
-
f) Indien, hetzij op het hoofdkantoor of in een van de vestigingen, een afwijking wordt geconstateerd, geldt de procedure van corrigerende maatregelen voor het hoofdkantoor en alle vestigingen waar het certificaat betrekking op heeft.
9.1.6 IS Auditmethode
OPMERKING Tot ICT-technieken kunnen bijv. behoren teleconferenties, vergaderen via internet, interactieve communicatie via internet en elektronische toegang op afstand tot de ISMS-documentatie en/of ISMS-processen. Het gebruik van dergelijke technieken behoort de doeltreffendheid en de doelmatigheid van de audit te vergroten en de integriteit van het auditproces te ondersteunen.
9.1.7 IS Rapport certificatieaudit
-
a) voordat het auditteam bij de klant vertrekt, een bespreking plaatsvindt tussen het auditteam en het management van de organisatie van de klant, waarbij het auditteam;
-
1) een schriftelijke of mondelinge aanwijzing verstrekt met betrekking tot de conformiteit van het ISMS van de organisatie van de klant met de specifieke certificatie-eisen;
-
2) de organisatie van de klant de mogelijkheid biedt om vragen te stellen over de bevindingen en de grondslag daarvan;
-
-
b) het auditteam de certificatie-instelling een auditrapport levert over de bevindingen ten aanzien van de conformiteit van het ISMS van de organisatie van de klant met alle certificatie-eisen.
-
a) een verslag van de audit met inbegrip van een samenvatting van de documentenbeoordeling;
-
b) een verslag van de certificatieaudit van de informatiebeveiligingsrisicoanalyse van de organisatie van de klant;
-
c) de totale aan de audit bestede tijd, en een gedetailleerde specificatie van de aan de documentenbeoordeling, beoordeling van risicoanalyse, audit op locatie en auditrapportage bestede tijd;
-
d) onderzoek dat uit de audit is voortgekomen, de onderbouwing voor de selectie hiervan en de toegepaste methode.
-
a) de gebieden die de audit heeft bestreken (bijv. de certificatie-eisen en de vestigingen waar audits zijn uitgevoerd), met inbegrip van significante paden die zijn gevolgd en methoden die bij de audit zijn toegepast (zie IS 9.1.6);
-
b) de gedane waarnemingen, zowel positieve (bijv. kenmerken die het waard zijn benoemd te worden) als negatieve (bijv. potentiële non-conformiteiten);
-
c) details van geïdentificeerde non-conformiteiten, onderbouwd door objectieve bewijzen en een verwijzing van deze non-conformiteiten naar de eisen van NEN 7510 of andere voor de certificatie vereiste documenten;
-
d) opmerkingen op de conformiteit van het ISMS van de organisatie van de klant met de certificatie-eisen met een duidelijke verklaring van non-conformiteit, een verwijzing naar de versie van de Verklaring van Toepasselijkheid, en, indien van toepassing, een vergelijking met de resultaten van eerdere certificatieaudits bij de organisatie van de klant.
-
— de mate van betrouwbaarheid die geldt voor de interne ISMS-audits en managementbeoordelingen;
-
— de belangrijkste waarnemingen, zowel positieve als negatieve, betreffende de implementatie en doeltreffendheid van het ISMS;
-
— de aanbeveling van het auditteam of het ISMS van de organisatie van de klant gecertificeerd behoort te worden of niet, met argumentatie die deze aanbeveling onderbouwt.
9.2 Initiële audit en certificatie
9.2.1 Algemeen
9.2.2 IS
9.2.1 Competentie van het auditteam
9.2.2.1 Algemeen
-
a) Op elk van de volgende gebieden moet ten minste één lid van het auditteam voldoen aan de criteria van de certificatie-instelling, om binnen het team verantwoordelijkheid op zich te nemen op het gebied van
-
1) het managen van het team;
-
2) managementsystemen en -processen die van toepassing zijn op ISMS;
-
3) kennis van de wet- en regelgevende bepalingen op het voorliggende informatiebeveiligingsterrein;
-
4) het indentificeren van informatiebeveiligingsgerelateerde bedreigingen en trends in gebeurtenissen;
-
5) het identificeren van de kwetsbare punten van de organisatie van de klant en inzicht in de waarschijnlijkheid van het voorkomen, de impact, het mitigeren en het beheersen ervan;
-
6) kennis van ISMS-beheersmaatregelen en de implementatie ervan;
-
7) kennis van het beoordelen van de doeltreffendheid van het ISMS en het meten van de beheersmaatregelen;
-
8) gerelateerde en/of relevante ISMS-standaarden, best practices, veiligheidsbeleid en procedures;
-
9) kennis van methoden om incidenten te behandelen, en bedrijfscontinuïteit;
-
10) kennis van materieel en immaterieel informatiemiddelen en impactanalyse;
-
11) kennis van de actuele technologie waar beveiliging relevant of een probleem zou kunnen zijn;
-
12) kennis van risicomanagementprocessen en -methoden.
-
-
b) Het auditteam moet competent zijn om aanwijzingen over veiligheidsincidenten in het ISMS van de organisatie van de klant op te sporen teruggaand tot de typische elementen van het ISMS.
-
c) Het auditteam moet beschikken over passende werkervaring en ervaring in de praktische toepassing van de bovengenoemde punten (dit betekent niet dat een auditor moet beschikken over de algehele ervaring op alle terreinen van informatiebeveiliging, maar dat het auditteam als geheel moet beschikken over voldoende kennis en ervaring die de reikwijdte van het voorliggende ISMS bestrijkt).
9.2.2.2 Aantonen van competentie door auditor
-
a) erkende ISMS-specifieke kwalificaties;
-
b) registratie als auditor;
-
c) erkende ISMS-opleidingen;
-
d) actuele documenten over continue beroepsontwikkeling;
-
e) praktisch bewijs door getuigende auditoren tijdens het ISMS-auditproces aan de hand van bij klanten bestaande systemen.
9.2.3 Algemene voorbereidingen voor de initiële audit
-
a) algemene informatie betreffende het ISMS en de activiteiten die het bestrijkt;
-
b) een exemplaar van de in 4.3.1 van NEN 7510 vereiste ISMS-documentatie en indien vereist, eraan gerelateerde documentatie.
9.2.4 Initiële certificatieaudit
9.2.4.1 IS Fase 1-audit
9.2.4.2 IS Fase 2-audit
-
a) bevestigen dat de organisatie van de klant zich houdt aan haar eigen beleid, doelstellingen en procedures;
-
b) bevestigen dat het ISMS in overeenstemming is met alle eisen van NEN 7510 en de beleidsdoelstellingen van de klant haalt.
OPMERKING Paragraaf 4.3g van bijlage G geeft daarin aan hoe om te gaan met de beheersmaatregelen in hoofdstuk 5-15 van NEN 7510.
-
a) de beoordeling van beveiligingsgerelateerde risico's, en dat deze beoordelingen vergelijkbare en reproduceerbare resultaten opleveren;
-
b) de eisen zoals vermeld in bijlage G - Interpretatie van hoofdstuk 4 uit NEN 7510;
-
c) de selectie van beheersdoelstellingen en -maatregelen gebaseerd op de risicobeoordeling van risicobehandelingsprocessen;
-
d) beoordeling van de doeltreffendheid van het ISMS, metingen van de doeltreffendheid van de beheersmaatregelen, rapportage en beoordeling van de informatiebeveiliging ten opzichte van de ISMS-doelstellingen;
-
e) interne ISMS-audits en directiebeoordelingen;
-
f) verantwoordelijkheid van het management voor het informatiebeveiligingsbeleid;
-
g) overeenstemming tussen de gekozen en geïmplementeerde beheersmaatregelen, de Verklaring van Toepasselijkheid, en de resultaten van de risicobeoordeling, het risicobehandelingsproces en het beleid en de doelstellingen van het ISMS;
-
h) implementatie van beheersmaatregelen (zie bijlage D), rekening houdend met de metingen van de doeltreffendheid van beheersmaatregelen (zie d) om vast te stellen of beheersmaatregelen zijn geïmplementeerd en doeltreffend zijn om de verklaarde doelstellingen te halen;
-
i) programma's, processen, procedures, registraties, interne audits en beoordelingen van de doeltreffendheid van het ISMS om te waarborgen dat deze traceerbaar zijn tot managementbesluiten en ISMS-beleid en -doelstellingen.
9.2.4.3 IS Specifieke elementen van de ISMS-audit
9.2.4.3.1 Algemeen
-
a) eisen dat de klant aantoont dat de analyse van beveiligingsgerelateerde bedreigingen relevant is en adequaat voor het functioneren van de organisatie van de klant;
OPMERKING De klant is verantwoordelijk voor het definiëren van de criteria op basis waarvan informatiebeveiligingsgerelateerde risico's van de organisatie van de klant worden geïdentificeerd als significant, en om procedure(s) te ontwikkelen om dit te doen.
-
b) vaststellen of de procedures van de organisatie van de klant voor het identificeren, onderzoeken en evalueren van informatiebeveiligingsgerelateerde bedreigingen voor bedrijfsmiddelen, kwetsbare punten en impact, en de resultaten van het toepassen hiervan, consistent zijn met het beleid, de doelstellingen en taakstellingen van de organisatie van de klant.
9.2.4.3.2 Naleving van wet- en regelgeving
9.2.4.3.3 Integratie van ISMS-documentatie met documentatie voor andere managementsystemen
9.2.4.3.4 Managementsysteemaudits combineren
OPMERKING De gecombineerde audit wordt uitgevoerd conform de IAF MD11:2013 Mandatory Document for the application of ISO/IEC 17021 for audits of integrated management systems. Vanwege het afbreukrisico, de focus en de vereiste diepgang is bij de toepassing
van een gecombineerde audit te allen tijde het ISMS het uitgangspunt. Reductie van
de audittijd vindt conform IAF MD 11:2013 plaats nadat de audittijd voor ISMS (audittijd = A)
en KMS (audittijd = B) elk afzonderlijk zijn berekend en bij elkaar zijn opgeteld
(
). De reductie mag maximaal 20 % van de totaal berekende tijd voor beide audits (C)
bedragen mits aan de voorwaarden uit IAF MD 11:2013 is voldaan.
9.2.5 Informatie betreffende het verlenen van initiële certificatie
9.2.6 Certificatiebeslissing
9.3 Controleactiviteiten
9.3.1 Algemeen
9.3.2 Controleaudits
-
a) de elementen van systeemonderhoud, zijnde interne ISMS-audit, managementbeoordeling en corrigerende maatregelen;
-
b) communicatie van externe partijen zoals vereist door NEN 7510 en overige voor certificatie vereiste documentatie;
-
c) wijzigingen in het gedocumenteerde systeem;
-
d) aan verandering onderhevige gebieden;
-
e) de uit NEN 7510 geselecteerde elementen;
-
f) overige geselecteerde gebieden voor zover van toepassing.
-
a) de doeltreffendheid van het ISMS met betrekking tot het halen van de doelstellingen van het informatiebeveiligingsbeleid van de klant;
-
b) het functioneren van procedures voor de periodieke evaluatie en beoordeling van de naleving van relevante wet- en regelgeving op het gebied van informatiebeveiliging;
-
c) ondernomen actie op non-conformiteiten die tijdens de meest recente audit zijn vastgesteld.
-
a) De certificatie-instelling moet haar controleauditprogramma kunnen aanpassen aan de informatiebeveiligingsthema's die zijn gerelateerd aan de bedreigingen voor bedrijfsmiddelen, kwetsbare punten en impact op de organisatie van de klant en dit programma kunnen rechtvaardigen.
-
b) Het controleauditprogramma van de certificatie-instelling moet worden vastgesteld door de certificatie-instelling. De specifieke data waarop de bezoeken plaatsvinden mogen met de gecertificeerde klant worden overeengekomen.
-
c) Controleaudits mogen worden gecombineerd met audits van andere managementsystemen. De rapportage moet duidelijk de aspecten aanduiden die relevant zijn voor elk managementsysteem.
-
d) De certificatie-instelling moet controleren of het certificaat juist wordt gebruikt.
9.4 Hercertificatie
9.4.1 Algemeen
9.4.2 Hercertificatieaudits
9.5 Speciale audits
9.5.1 Algemeen
9.5.2 IS 9.5 Speciale gevallen
9.6 Schorsing, intrekking of beperking van het toepassingsgebied van de certificatie
9.7 Beroep
9.8 Klachten
9.8.1 Algemeen
9.8.2 Klachten
-
a) ter kennisgeving aan de aangewezen autoriteiten indien vereist door de regelgeving;
-
b) om de conformiteit te herstellen;
-
c) om herhaling te voorkomen;
-
d) om negatieve veiligheidsincidenten en de impact ervan te evalueren en te verminderen;
-
e) die voldoende interactie waarborgen met andere onderdelen van het ISMS;
-
f) om de doeltreffendheid van de genomen herstel/corrigerende maatregelen te beoordelen;
-
g) de certificatie-instelling moet eisen van elke klant wiens ISMS is gecertificeerd om, desgevraagd, de registraties van alle klachten en de in overeenstemming met de eisen van NEN 7510 genomen corrigerende maatregelen aan de certificatie-instelling beschikbaar te stellen.