Hoe we onze ISO 27701-audit aanpakten en voor de eerste keer slaagden

Hoe we onze ISO 27701-audit aanpakten en er voor het eerst in slaagden

Door Rebecca Harper • 28 februari 2023

Eind 2022 hebben we het proces doorlopen om tegelijkertijd de certificering te behalen voor ISO 27701, de gegevensprivacynorm en hercertificering voor ISO 27001 , de standaard voor informatiebeveiliging. Dit laatste certificaat bezitten wij al ruim tien jaar met succes. En we zijn nu blij om te kunnen mededelen dat we beide certificeringen met succes hebben behaald, zonder afwijkingen.

Waarom wilden we tegelijkertijd twee van de meest uitdagende standaarden leveren en bereiken? Wij horen je vragen! We hebben besloten om onze daad bij het woord te voegen en ons nieuwe platformaanbod, SPoT, te gebruiken. We hebben SPoT ontworpen om de implementatie van ISO 27001 en ISO 27701 gemakkelijk te maken door de naadloze combinatie van een Information Security Management System (ISMS) en Privacy Information Management System (PIMS) tot een 'Single Point of Truth', of kortweg SPoT. Meer informatie over SPoT vindt u in onze eerdere blog.

Tijdens de projectoplevering en audit hield ons team dagboeken bij over hun ervaringen en gedachten over het opzetten van het PIMS en het opnieuw certificeren van ons ISMS, dus besloten we deze ervaringen met u te delen. We hopen dat u het nuttig en inzichtelijk vindt, en als u vragen heeft, neem dan contact met ons op; we praten graag over alles wat met compliance te maken heeft.

Wat is ISO27701

Voordat we ingaan op de praktijkervaringen van het bouwen, voorbereiden en auditen van een ISMS en PIMS, is het het beste om de toon te zetten en uit te leggen wat ISO 27701 precies is.

ISO 27701 is een privacy-uitbreiding op de ISO 27001-standaard, een internationaal erkend raamwerk voor informatiebeveiligingsbeheer. De ISO 27701-standaard biedt richtlijnen en vereisten voor het implementeren en onderhouden van een Privacy Information Management System (PIMS) binnen een bestaand Information Security Management System (ISMS)-framework.

Waarom zouden organisaties ISO 27701 willen implementeren?

Hoewel het relatief nieuw is in de scene – het werd geïntroduceerd in augustus 2019 – heeft het wereldwijd een snelle stijging in populariteit gekend, waarbij veel organisaties ervoor kozen om de standaard te implementeren in plaats van geografisch regionale regelgeving zoals GDPR en POPIA die grotendeels kunnen worden ondergebracht binnen de ISO 27701-controles.

Simpel gezegd heeft het groeitempo van de digitale transformatie ertoe geleid dat meer gevoelige informatie online wordt opgeslagen en gedeeld dan ooit tevoren. Naarmate de hoeveelheid gegevens toeneemt, wordt het zowel een lucratief doelwit voor cybercriminelen als een belangrijke zorg voor consumenten en bedrijven om ervoor te zorgen dat deze gegevens veilig worden bewaard. In dezelfde adem zal de groei van mondiale regelgeving, zoals GDPR, CCPA en HIPAAbetekent dat organisaties ook een wettelijke verantwoordelijkheid hebben om de privégegevens van hun klanten te beschermen. Gezamenlijk is er een duidelijke beweging te zien in de richting van een compliance-landschap waarin informatiebeveiliging niet langer mogelijk is zonder gegevensprivacy.

De voordelen van de invoering van ISO 27701 reiken verder dan het helpen van organisaties bij het voldoen aan regelgeving en compliance-eisen. Deze omvatten het tonen van verantwoordelijkheid en transparantie jegens belanghebbenden, het verbeteren van het vertrouwen en de loyaliteit van klanten, het verminderen van het risico op privacyschendingen en de daarmee samenhangende kosten, en het vergroten van het concurrentievermogen op de wereldmarkt.

Hoe we ons effectief hebben voorbereid op onze ISO 27701-audit

Voorbereiding is, zoals bij elk project, van cruciaal belang. Het merendeel van wat u als organisatie in deze fase doet, heeft invloed op het succes van uw uiteindelijke certificeringsaudit. Sam Peters, onze DPO, wist dit, nadat hij ruim tien jaar audits voor ISO 27001 had voorbereid en uitgevoerd. Het gelijktijdig gaan voor een nieuwe norm, ISO 27701, en hercertificering voor ISO 27001 was echter nieuw terrein voor hem en de organisatie. , de auditor en de certificatie-instelling. Sam geeft eerlijk toe: 'Deze was zenuwslopend'.

Elke reis begint met een eerste stap

De eerste stap voor Sam was het eens worden over een tijdlijn voor het project en het budget. Voor ons was het een tijdslijn van zes maanden en een krappe ommekeer, maar dit zorgde er ook voor dat ons leiderschapsteam, dat het project in gang zette, vanaf het begin volledig betrokken was en het belang van de naleving van gegevensprivacy vanaf de top van het bedrijf verankerde. . Ook was het van oordeel dat de organisatie tijdens het project nog steeds 'business as usual' moest leveren. Het opzetten van een ISMS en PIMS hoeft geen fulltime baan te zijn, vooral niet als u over het juiste technologieplatform beschikt dat uw mensen en processen onderweg ondersteunt.

De ontdekkingsfase

De volgende stap voor ons was om de nieuwe controles voor ISO 27701 in ons bestaande ISMS te brengen. We zijn niet helemaal opnieuw begonnen, omdat we ons product gebruikten met alle kant-en-klare inhoud erin. Het was eenvoudig om die inhoud aan te passen aan de specifieke behoeften van onze organisatie. Een van de belangrijkste voordelen van het werken met het ISMS.online-platform is dat u met de tools die het platform biedt, u meteen een voorsprong geeft op het spel.

Vervolgens begonnen we gedetailleerde gesprekken met alle relevante teams binnen ons bedrijf, van HR, Financiën en Marketing tot Verkoop en Succes, om inzicht te krijgen in de gegevens die we hadden, hoe deze door het bedrijf gingen en de gebruikte systemen. Omdat we al een ISMS hadden, hadden we een activa-inventarisatie, wat een zeer nuttig hulpmiddel was om die gesprekken met elk team te starten. We waren ook al AVG-conform, dus we hadden een activiteit voltooid om een record van verwerkingsactiviteiten (ROPA) te creëren, wat ons opnieuw hielp bij het praten met alle teams binnen het bedrijf en voor ons duidelijk maakte dat onder ISO 27701 onze ROPA hebben meer details nodig dan we momenteel hadden, waardoor we een duidelijke werkstroom hebben waar we ons meteen op kunnen concentreren.

Dankzij de interne gesprekken konden we vrijwel onmiddellijk gebieden identificeren waar we verbeteringen konden aanbrengen en processen konden stroomlijnen en vereenvoudigen, zoals waar we gegevens opsloegen en de systemen die we gebruikten om toegang te krijgen tot die gegevens en deze te gebruiken. Dit heeft ons ook echt de extra voordelen duidelijk gemaakt van het gebruik van raamwerken zoals ISO 27701, omdat het proces resulteerde in het stroomlijnen van workflows, waardoor onze operationele efficiëntie nog verder werd verbeterd.

Het acroniem Bit

De bijgewerkte ROPA uit dit werkstuk stelde ons in staat om verder te gaan met de gegevensprivacy-impactbeoordelingen (DPIA), waar we deze afzetten tegen de processen die we hadden ingevoerd. Dit resulteerde in een aantal nuttige lessen over hoe we dit als organisatie hebben gedaan, aangezien dit niet iets is dat mensen vaak zullen doen. We realiseerden ons dat het essentieel voor succes was dat we hiervoor een sjabloonaanpak hadden, zodat iedereen die dit moest doen het sjabloon kon overnemen en een uitvoerbare en waardevolle DPIA kon leveren met beperkte ervaring. Dit zou ook democratiseren wie deze taken zou kunnen uitvoeren en de werklast voor onze bredere infosec-teamleden verminderen.

Voor Sam maakte dit proces ook duidelijk hoe belangrijk het is om zo vroeg mogelijk na te denken over privacy binnen een werk of project. Het is veel gemakkelijker om met privacy in gedachten te plannen dan achteraf terug te komen en iets te proberen te veranderen of te repareren terwijl de informatie misschien al in één systeem staat of als u misschien een contract met een leverancier heeft getekend.

Het idee van privacy by design is een integraal onderdeel van elke organisatie die een cultuur van privacy en naleving van de groeiende reeks privacywetgeving wil inbedden. Het maakt nu deel uit van de ISO 27001- en 27701-controles.

Power to the People

Het werk tot nu toe leidde ons op natuurlijke wijze naar de opleiding van het personeel. Het ISO 27701-framework is, net als het ISO 27001-framework, meer dan alleen het garanderen van technische bescherming. Het heeft tot doel een cultuur van privacy en veiligheid binnen een organisatie te verankeren. En inderdaad, als u het werk gaat doen om een PIMS te creëren, zou u een aanzienlijke truc missen om er niet voor te zorgen dat uw werknemers hun rol bij het leveren van effectieve gegevensprivacy begrijpen. Het is ook waarschijnlijk dat u niet slaagt voor een audit als de auditor een medewerker oproept om deel te nemen en deze niet met vertrouwen vragen kan beantwoorden over de processen die u met uw PIMS implementeert.

Voor Sam was het relevant maken van gegevensprivacy voor het personeel en hun taken een integraal onderdeel van het succes. Het was van essentieel belang om het personeel te laten zien hoe zij verantwoordelijk zijn voor en de gevolgen ondervinden van gegevensprivacy. Het contextualiseren van het beleid en de procedures van de organisatie voor het beheren van privacy-informatie en het handhaven van de vertrouwelijkheid en privacy binnen specifieke rollen was een werkstuk dat, hoewel tijdrovend, het begrip en de uitvoering binnen het hele bedrijf verbeterde. Deze activiteit breidde zich vervolgens uit naar extern onderwijs, het bijwerken van ons privacybeleid en het creëren van specifiek privacybeleid voor personeel en potentiële kandidaten tijdens de werving.

Vertel ons wat u echt denkt

De voorlaatste stap die we vóór de audit hebben gezet, was het uitvoeren van een interne audit van onze PIMS. Dit proces was essentieel om ervoor te zorgen dat het PIMS functioneerde zoals bedoeld, voldeed aan de eisen van de ISO 27701-norm en gebieden voor verdere verbeteringen identificeerde vóór de certificeringsaudit. Onze DPO, Sam, vroeg de interne auditor bijzonder streng tegen ons te zijn, en dat deed hij zeker. Dit was een kans van onschatbare waarde om eventuele problemen op te lossen, zodat we met vertrouwen de certificeringsaudit konden benaderen, wetende dat ons PIMS aan de strenge eisen voldeed en zou leveren waar de auditor naar op zoek was.

Ten slotte hebben we ter voorbereiding op de audit goed nagedacht over hoe we ons PIMS precies aan de auditor zouden presenteren en hoe we indien nodig andere mensen uit het bedrijf bij de audit zouden betrekken. Daarbij zorgden we ervoor dat kritische leden beschikbaar waren en informeerden we het bredere publiek. bedrijf over wat ze zouden verwachten te doen, zodat ze zich geïnformeerd en voorbereid voelden als er een beroep op hen zou worden gedaan.

Wat u kunt verwachten tijdens een ISO 27701-audit

Tijdens de audit zal de auditor enkele belangrijke onderdelen van uw PIMS willen beoordelen, zoals:

Het beleid, de procedures en processen van uw organisatie voor het beheer van persoonlijke gegevens
Evalueer uw privacyrisico's en passende controles om te beoordelen of uw controles effectief zijn in het beperken van de geïdentificeerde risico's.
Beoordeel uw privacy probleembehandeling. Is uw vermogen om privacy-incidenten op te sporen, te rapporteren, te onderzoeken en erop te reageren voldoende?
Onderzoek uw privacybeheer door derden om er zeker van te zijn dat er adequate controles zijn om de risico's van derden te beheersen
Check your privacy trainingsprogramma leidt uw personeel voldoende op over privacyzaken
Controleer de prestatiestatistieken van uw organisatie om te bevestigen of deze voldoen aan de privacydoelstellingen.

Naast deze consistente beoordelingsgebieden zijn er nog andere punten waarmee u rekening moet houden, zoals de manier waarop u met de auditor samenwerkt. Zij zijn er om naleving vast te stellen, en u bent er om hen te laten zien hoe u aan die eisen voldoet. Daarom zal het leiden van het gesprek en het begeleiden van hen door de belangrijkste gebieden nuttig zijn voor de auditor en hen in staat stellen de aanvullende routes en activiteiten te identificeren die zij willen beoordelen. Het moet een samenwerkingsproces zijn.

Waarom ISO 27701 nooit een afvinkproces mag zijn

Een deel van de ISMS.online ethos is dat eenvoudige, duurzame informatiebeveiliging en gegevensprivacy worden bereikt door middel van mensen, processen en technologie. Een uitsluitend op technologie gebaseerde aanpak zal nooit succesvol zijn.

Compliance alleen garandeert geen effectief privacybeheer. Een benadering die uitsluitend op technologie is gericht, richt zich op het voldoen aan de minimumvereisten van de standaard in plaats van op het effectief beheren van de risico's op het gebied van gegevensprivacy op de lange termijn. Dankzij uw mensen en processen kunt u, samen met een robuuste technologische opzet, een voorsprong nemen op de rest en de effectiviteit van uw gegevensprivacy aanzienlijk verbeteren ten opzichte van degenen die afhankelijk zijn van technologie voor een snelle maar tijdelijke oplossing.

Wat een ‘check-box’-aanpak zou kunnen worden genoemd, zal vaak:

Zorg voor een oppervlakkige risicobeoordeling, waarbij aanzienlijke privacyrisico's over het hoofd kunnen worden gezien
Negeer de zorgen over de privacy van de belangrijkste belanghebbenden
Geef generieke privacytrainingen die niet zijn afgestemd op de specifieke behoeften van de organisatie
Voer beperkte monitoring en beoordeling uit van privacycontroles, wat kan resulteren in onopgemerkte privacy-incidenten

Al deze zaken stellen organisaties bloot aan potentieel schadelijke inbreuken, financiële boetes en reputatieschade.

ISO 27701-routekaart – nu downloaden

We hebben een praktische routekaart van één pagina gemaakt, opgesplitst in vijf belangrijke aandachtsgebieden, voor het benaderen en bereiken van ISO 27701 in uw bedrijf. U hoeft geen formulier in te vullen. Download de pdf vandaag nog als eenvoudige start op weg naar effectievere gegevensprivacy.

Nu downloaden

Voor de eerste keer ons ISO 27701-nalevingsvoordeel benutten

Het behalen van de certificering volgens ISO 27701 en de hercertificering volgens ISO 27001 voor de eerste keer, zonder non-conformiteiten, was een belangrijk moment voor ons hier bij ISMS.online. We hadden niet alleen een primeur in de sector bereikt, maar we waren ook succesvol geweest met het gebruik van ons gloednieuwe platformaanbod, SPoT.

Maar het ging niet alleen om ons in dit proces. Het ging over ons ‘waarom’. Waarom doen we wat we doen? Eenvoudige, veilige en duurzame veiligheid moet voor iedereen mogelijk zijn. Daarom. Dus, wat is een betere manier om iedereen die een effectievere gegevensprivacy en informatiebeveiliging wil bereiken, te laten zien dat dit mogelijk is dan door actie te ondernemen? We hebben het proces meegemaakt en willen deze ervaringen, lessen en hulpmiddelen met anderen delen.

We zouden kunnen ingaan op de vele manieren waarop SPoT ons van alle materialen en hulpmiddelen heeft voorzien die we nodig hadden om succesvol te zijn, vanaf de voorsprong van 81%, de 'Assured Results Method', de catalogus met documentatie die kan worden overgenomen, aangepast of toegevoegd aan of onze virtuele coach die altijd beschikbaar is, maar in plaats daarvan nodigen we u uit om het zelf te ervaren en de voordelen uit de eerste hand te ervaren. Vraag vandaag nog een gesprek aan met een van onze experts.

Spreek met een expert

Rebecca Harper

Rebecca is het hoofd contentmarketing van ISMS.online. Met meer dan 12 jaar ervaring in de informatie- en cyberbeveiligingsindustrie, is Rebecca toegewijd aan het opleiden, vergroten van bewustzijn en het empoweren van bedrijven om doelstellingen op het gebied van compliance, informatie en cyberbeveiligingsbeheer te bereiken.