ISO 27701
Nadat we allemaal met een enorme rotgang ons verwerkingsregister in de weken voor 25 mei 2018 op orde gingen makenen alle klanten gingen spammen met verwerkersovereenkomsten is de rust wedergekeerd. Maar niet voor lang! De ISO 27701 is onderweg.
Los van wat dure consultants, zoals ikzelf, roepen wat wel of niet goed was er tot op heden niet een certificatiemogelijkheid zoals Artikel 43 van de AVG roept. NEN is op dit moment bezig om proefaudits in te plannen voor de ISO27701. Gok dat alles eind dit jaar rond is.
Ik ben eigenlijk wel nieuwsgierig hoe dit eruit gaat zien, het is sowieso een aanvulling op de ISO 27001, die eerst behalen dus. De vraag is hoeveel extra zaken er nodig zijn als je een solide risico gebaseerde ISO 27001 ISMS hebt.
Eerst ISO 27001, daarna ISO 27701
Voor Managed Service Providers met geen of beperkte eigen software en/of Privacy gevoelige informatiestromen zie ik voor nu geen directe noodzaak om hier van in de stress te schieten, rustig beginnen om het ISO 27001 ISMS (Information Security Management System) te verrijken naar een gecombineerd systeem en de ISO 27701 PIMS (Privacy Information Management System) hierbij voegen.
Volledigheidshalve een kort overzicht gemaakt van eventuele relevante normen voor ICT dienstverleners. Google er maar op los of stel je vragen in de comments!
Met deze normen krijg je als MSP mee (misschien) te maken
Er zijn veel normen die je als MSP op dit moment als relevant kunt zien. Als we even normen opdreunen komen we bij het volgende lijstje:
| NTA | Normenkader die richting geeft voor eisen aan XLA |
| NEN 7510 | Informatiebeveiliging in de zorg en voor ICT dienstverleners die een koppelvlak hebben |
| ISO 27017 | Cloud Beveiliging |
| ISO 27018 | Privacy bescherming voor Cloud aanbieders die persoonsgegevens verwerken |
| ISO 27002 | Implementatierichtlijnen voor ISO 27001 |
| ISO 27701 | Internationale Privacy Standaard (Invulling AVG artikel 43) |
| NTA 7516 | Veilig e-mailen en digitaal ad hoc communicatie voor organisaties die gezondheidsinformatie uitwisselen |
| GDPR | Norm die regels voor verwerking van persoonsgegevens standaardiseert |
| ISO 9001 | Kwaliteit |
| ISO 14001 | Milieu |
| ARBO | Arbeidsomstandighedenwet |
| ISO 26000 | Maatschappelijk Verantwoord Ondernemen |
Schema relevante normen MSP
Cheats om ISO te behalen zonder stress
Mijn advies is om als Managed Service Provider te beginnen met de ISO 27001. Als je zeker weet dat je voor meerdere normen wilt certifceren is het slimmer om gelijk een gecombineerd managementsysteem te maken.
Grote(re) ambities? Combineer dan de ISO 9001, NEN 7510 en ISO 27001 in de eerste ronde. De volgende ronde ga je dan voor de ISO 27701, ISO 27017 en ISO 27018. Ook nog bezig met Maatschappelijk Verantwoord Ondernemen en milieu? Doe dan de ISO 14000 en ISO 26000 er ook bij.
Zorg voor f*cking goede begeleiding door iemand die de MSP sector ECHT snapt!
Een laatste tip die ik met veel aandacht en liefde deel: Zorg voor f*cking goede begeleiding door een Consultant die veel ervaring heeft in de ICT sector. Ik zie teveel implementaties stranden op integratie en onnodig complexe beleidsstukken met veel te veel eisen die niet relevant zijn. Doe het risk based!
Aan de gang met ISO?
We helpen superveel ICT dienstverleners met het behalen van ISO certificering op een pragmatische manier. Lijkt het jou wat om geholpen te worden door Jasper? Hij is Lead Auditor, is jarenlang eindverantwoordelijk geweest voor een ICT dienstverlener en daarnaast Autotask specialist.