Case study

ISO 27001 GAP-analyse, hoe werkt dat nou?

Er is steeds meer bewustwording voor de (digitale) dreigingen die op de loer liggen. Zo ook bij een klant van ons die zich bevindt in de vitale sector. Lees verder voor de uitvoering van de GAP-analyse over wél 9 vitale bedrijfsonderdelen!

Label: Informatiebeveiliging
Technologie: ISO27001
Industrie: Vitale sector

De klant

Voor een klant van ons, groot nutsbedrijf in de vitale sector, werd er hulp gevraagd bij het uitvoeren van een interne audit en in een later stadium een bedrijfs-brede GAP-analyse. Het beveiligen van informatie is voor dit bedrijf dan ook van cruciaal belang. Het bedrijf is niet alleen groot, met meerdere vestigingen, maar ook complex en voortdurend in beweging.

De organisatie is opgedeeld in een aantal bedrijfsonderdelen en deze zijn momenteel drukdoende om Managementsystemen voor informatiebeveiliging in te richten en maatregelen te implementeren. Om dit in goede banen te leiden zijn per bedrijfsonderdeel een Security Coördinator en een Security Officer aangesteld.

Aangezien de organisatie al langer een relatie heeft met Avensus Security, is ons in de zomer van 2020 gevraagd om een interne audit uit te voeren bij een bedrijfsonderdeel. Dit bedrijfsonderdeel beschikt al enkele jaren over een ISO27001 certificaat en voert jaarlijks een interne audit uit.

Vervolgens hebben we eind 2020 een GAP-analyse uitgevoerd bij negen andere bedrijfsonderdelen. Uitgangspunt hierbij was om te beoordelen wat de status van de implementatie van de Managementsystemen voor informatiebeveiliging was.

GAP-analyse

Aan mij werd gevraagd om deze GAP-analyse uit te voeren. Dit was een ontzettend interessante opdracht, aangezien er sprake was van niet één, niet twee maar negen verschillende Managementsystemen voor informatiebeveiliging. Die ook nog eens raakvlakken hadden met elkaar.

De GAP-analyse bestond uit het beoordelen van uitgebreide sets aan documenten maar ook interviews met een groot aantal sleutelfunctionarissen binnen de organisatie. Dit waren voornamelijk Security Coördinatoren en Security Officers, maar ook product owners, applicatiebeheerders, communicatiespecialisten en vele anderen. Door de variatie in gesprekspartners kregen we een helder beeld van de status van de diverse Managementsystemen voor informatiebeveiliging.

Tijdens het uitvoeren van deze GAP-analyse werd duidelijk dat het volwassenheidsniveau van de diverse High Level Structures (het inrichten van een Plan – Do – Check – Act cyclus om als organisatie continu te verbeteren) per bedrijfsonderdeel verschilde. De klant heeft een methodiek toegepast om risico’s te inventariseren; echter door de waan van de dag is nog niet elk bedrijfsonderdeel erin geslaagd om deze routine te doorlopen. Alle bedrijfsonderdelen hebben een beleid opgesteld en zijn bezig dit te vervolmaken en te implementeren. Ook de andere aspecten en activiteiten welke horen bij een volledig ingericht managementsysteem, zoals ondersteuning, planning, uitvoering, evaluatie, leiderschap en verbetering hebben we in diverse stadia maar ook verschillende verschijningsvormen de revue zien passeren.

De opdracht

We zijn gestart met het uitvoeren van de GAP-analyse. Samen met mijn collega Menno Schaatsbergen hebben we een aantal weken lang met veel verschillende mensen gesproken en een enorme hoeveelheid documenten bestudeerd, maar we hebben ook inkijkjes in systemen gekregen. Kortom alles wat nodig was om een eenduidig beeld te krijgen. Het was een uitdaging om bij zo’n grote en complexe organisatie na te gaan wat er speelt en met welke ontwikkelingen rekening gehouden moest worden. Daarom is besloten om bij met name de grotere bedrijfsonderdelen te starten met een korte toelichting van de directie en daarna het inhoudelijke, meer operationele, gesprek met de Securitymedewerkers. Elk bedrijfsonderdeel werd als een aparte organisatie beschouwd.

Wat er nog te wachten staat

De verschillende bedrijfsonderdelen gaan onder andere naar aanleiding van de rapportages verder met de inrichting en de implementatie van de Managementsystemen voor Informatiebeveiliging. Per bedrijfsonderdeel is duidelijk in kaart gebracht waar de aandachtsgebieden liggen en wat er moet gebeuren voordat certificatie kan plaatsvinden.

Mogelijk worden we over een aantal maanden gevraagd om de interne audits voor de bedrijfsonderdelen uit te voeren. Daar kijk ik naar uit. Door het enthousiasme en de intrinsieke verbeterbehoefte van deze organisatie ben ik ervan overtuigd dat we dan kunnen vaststellen dat een enorme groei is doorgemaakt.

Avensus Informatiebeveiliging

De consultants van Avensus hebben jarenlange ervaring in het ondersteunen van verschillende organisaties en hun leveranciers op het gebied van Informatiebeveiliging.

Bij bijna alle klanten zetten we tijdens een implementatie traject aan de hand van de betreffende norm in gezamenlijkheid met de klant een managementsysteem op.

Door deze opgebouwde kennis en ervaring hebben de consultants ook zeer praktische suggesties t.a.v. de inrichting van de processen en vele voorbeelden van documenten die bij de implementatie gebruikt kunnen worden. Daarnaast is het merendeel van de consultants Lead Auditor en zijn zij goed op de hoogte van het verloop en de vereisten van een certificeringstraject.

Avensus heeft de kennisexperts in huis: implementatie specialisten, consultants, lead auditors en sparringpartners op het gebied van managementsystemen: ISO 27001, NEN 7510, ISO 9001 en andere normen.

Ben je benieuwd wat wij voor jou kunnen betekenen? Onze geregistreerde IT-auditors komen graag met je in contact. Bel +31 85-0200070 of stuur ons een e-mail op info@avensus.nl om vrijblijvend te praten over de mogelijkheden en oplossingen.

Meer weten?

Wij helpen je graag verder

+31 (0) 85 020070
Menu