MSP Kennisbank

Checklist relevante ISO normen voor MSP’s

ISO 27701

Nadat we allemaal met een enorme rotgang ons verwerkingsregister in de weken voor 25 mei 2018 op orde gingen makenen alle klanten gingen spammen met verwerkersovereenkomsten is de rust wedergekeerd. Maar niet voor lang! De ISO 27701 is onderweg.

Los van wat dure consultants, zoals ikzelf, roepen wat wel of niet goed was er tot op heden niet een certificatiemogelijkheid zoals Artikel 43 van de AVG roept. NEN is op dit moment bezig om proefaudits in te plannen voor de ISO27701. Gok dat alles eind dit jaar rond is.

Ik ben eigenlijk wel nieuwsgierig hoe dit eruit gaat zien, het is sowieso een aanvulling op de ISO 27001, die eerst behalen dus. De vraag is hoeveel extra zaken er nodig zijn als je een solide risico gebaseerde ISO 27001 ISMS hebt.

Eerst ISO 27001, daarna ISO 27701

Voor Managed Service Providers met geen of beperkte eigen software en/of Privacy gevoelige informatiestromen zie ik voor nu geen directe noodzaak om hier van in de stress te schieten, rustig beginnen om het ISO 27001 ISMS (Information Security Management System) te verrijken naar een gecombineerd systeem en de ISO 27701 PIMS (Privacy Information Management System) hierbij voegen.

Volledigheidshalve een kort overzicht gemaakt van eventuele relevante normen voor ICT dienstverleners. Google er maar op los of stel je vragen in de comments!

Met deze normen krijg je als MSP mee (misschien) te maken

Er zijn veel normen die je als MSP op dit moment als relevant kunt zien. Als we even normen opdreunen komen we bij het volgende lijstje:

NTANormenkader die richting geeft voor eisen aan XLA
NEN 7510Informatiebeveiliging in de zorg en voor ICT dienstverleners die een koppelvlak hebben
ISO 27017Cloud Beveiliging
ISO 27018Privacy bescherming voor Cloud aanbieders die persoonsgegevens verwerken
ISO 27002Implementatierichtlijnen voor ISO 27001
ISO 27701Internationale Privacy Standaard (Invulling AVG artikel 43)
NTA 7516Veilig e-mailen en digitaal ad hoc communicatie voor organisaties die gezondheidsinformatie uitwisselen
GDPRNorm die regels voor verwerking van persoonsgegevens standaardiseert
ISO 9001Kwaliteit
ISO 14001Milieu
ARBOArbeidsomstandighedenwet
ISO 26000Maatschappelijk Verantwoord Ondernemen

Schema relevante normen MSP

Cheats om ISO te behalen zonder stress

Mijn advies is om als Managed Service Provider te beginnen met de ISO 27001. Als je zeker weet dat je voor meerdere normen wilt certifceren is het slimmer om gelijk een gecombineerd managementsysteem te maken.

Grote(re) ambities? Combineer dan de ISO 9001, NEN 7510 en ISO 27001 in de eerste ronde. De volgende ronde ga je dan voor de ISO 27701, ISO 27017 en ISO 27018. Ook nog bezig met Maatschappelijk Verantwoord Ondernemen en milieu? Doe dan de ISO 14000 en ISO 26000 er ook bij.

Zorg voor f*cking goede begeleiding door iemand die de MSP sector ECHT snapt!

Een laatste tip die ik met veel aandacht en liefde deel: Zorg voor f*cking goede begeleiding door een Consultant die veel ervaring heeft in de ICT sector. Ik zie teveel implementaties stranden op integratie en onnodig complexe beleidsstukken met veel te veel eisen die niet relevant zijn. Doe het risk based!

Ik zoek een ambitieuze partij

Heb het nog nooit gedaan maar heb je nog geen certificering maar durf jij 7! certifcaten ineens te behalen? Dan gaan we samen de uitdaging aan en gaan jou certificeren voor ISO 9001, ISO 27001, NEN 7510, ISO 27701, ISO 27017, ISO 26000 en ISO 27018.