De focus van XY Legal Solutions ligt op kansspelwetgeving, contractenrecht en ook privacywetgeving. Zo kwamen wij in november 2020 in contact met ontwikkelaar van online slots (kansspelen) Air Dice. Air Dice heeft het hoofdkantoor gevestigd in Finland, maar heeft ook lopende bedrijfstakken in Malta, België en Nederland (en daarnaast lopende operaties in het Verenigd Koninkrijk en Zuid-Afrika). Air Dice wilde zich graag gaan richten op de Nederlandse markt voor online kansspelen (waarbij een ISO 27001 certificaat een pré is) en ook op de Zwitserse markt, waarbij het certificaat in die context verplicht is.
Nadat wij Air Dice geholpen hadden met verschillende vragen over de Algemene Verordening Gegevensbescherming (AVG), werd ons gevraagd of wij ze ook konden helpen aan het ISO 27001 certificaat. Deze casus hebben we opgepakt. En na maandenlang bouwen aan het Information Security Management System (ISMS) van Air Dice, hebben we onze klant succesvol geholpen aan deze certificering!
De International Organization for Standardization (ISO) is een internationale, onafhankelijke, niet-overheidsorganisatie die verschillende normen opstelt. Als je als organisatie voldoet aan een bepaalde ISO norm, toon je compliance aan met betrekking tot die specifieke norm. De ISO 27001 is de norm die ziet op informatiebeveiliging. Deze norm is opgesteld om te voorzien in eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging (de Engels afkorting hierbij dus het ISMS).
Als je wilt voldoen aan de ISO 27001, dien je een ISMS op te zetten dat ‘compliant’ is aan de standaard. Hierbij is het goed om aan te stippen dat er een verschil bestaat tussen het werken volgens de ISO 27001 en ISO 27001 gecertificeerd zijn. In het laatste geval heeft een onafhankelijk certificeringsbureau beoordeeld of jouw ISMS voldoet aan de standaard. Volgens de ISO 27001 standaard zet je een ISMS op aan de hand van de volgende onderdelen:
In eerste instantie zorg je er dus voor dat je de context van de organisatie helder hebt. Wat zijn de precieze doelstellingen van de organisatie (met betrekking tot het ISMS)? Wie zijn belanghebbenden voor de organisatie en het ISMS? Welke externe en interne issues kunnen het ISMS beïnvloeden?
Vervolgens maak je inzichtelijk op welke wijze leiderschap, beleid, rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie onderdeel uitmaken van het ISMS. Het gaat om een managementsysteem voor informatiebeveiliging. Het management van een organisatie speelt hierin (over het algemeen)dan ook een essentiële rol.
Het onderdeel planning vraagt vaak veel van een organisatie. De organisatie dient bijvoorbeeld, op basis van de genoemde issues, eisen, risico’s en kansen vaststellen op welke wijze het ISMS doeltreffend kan werken. Hierbij dient een risicobeoordeling van informatiebeveiliging plaats te vinden. De organisatie stelt een methode vast om risicoanalyses uit te voeren, en voert deze ook uit. Risicoacceptatiecriteria, risiconiveaus, risico-eigenaren en meer dienen concreet gemaakt te worden. Vervolgens is het noodzakelijk om vast te stellen op welke wijze informatiebeveiligingsrisico’s behandeld worden. Aan ieder risico dient vervolgens een beheersmaatregel gekoppeld te worden (tenzij je als organisatie kunt uitleggen waarom een beheersmaatregel bij een bepaald risico niet nodig is). In lijn met informatiebeveiliginsdoelstellingen, wordt dan gekeken naar de Bijlage A Beheersmaatregelen. Verschillende beheersmaatregelen worden in deze bijlage geopperd; welke onderdeel uit (zouden) kunnen maken van jouw ISMS. Bijvoorbeeld:
En let op: deze lijst is niet per se limitatief. Heb je andere beheersmaatregelen getroffen? Dan dienen deze ook beschreven te worden. Per beheersmaatregel uit Bijlage A dien je helder uit te kunnen leggen waarom deze wel/niet is toegepast is. Een Statement of Applicability wordt hierbij opgesteld zodat partners/klanten/derden weten welke beheersmaatregelen jij hebt geïmplementeerd (volgens de ISO 27001).
Vervolgens ga je aan de slag met het hoofdstuk ondersteuning. Je legt uit hoe je de middelen voor onderhoud en implementatie van het ISMS geregeld hebt, hoe competentie van medewerkers en management in relatie tot het ISMS gegarandeerd kan worden, hoe je bewustzijn creëert, communiceert en je toont aan alles op een logische wijze te hebben gedocumenteerd. Let op: het ISMS is niet alleen een beschrijving van hetgeen je volgens de standaard dient te doen. Aan iedere beheersmaatregel die je implementeert hoort een geschreven beleidsstuk gekoppeld te zijn (tenzij je goed kunt uitleggen aan de auditor waarom geschreven beleid niet nodig is).
Uitvoering is vervolgens het onderdeel waarmee je bijvoorbeeld ingaat op operationele planning en beheersing. En: hoe zorg je ervoor dat je op regelmatige basis risicobeoordeling van informatiebeveiliging blijft uitvoeren? En hoe behandel je eventuele informatiebeveiligingsrisico’s?
Het hoofdstuk evaluatie van de prestaties vraagt vervolgens weer behoorlijk wat van de organisatie. Allereerst dien je alle beheersmaatregelen te monitoren, meten, analyseren en te evalueren. Ook hiervoor geldt dat je dit volgens een duidelijke, gedocumenteerde procedure moet gaan doen. Daarbij ben je verplicht interne audits te verrichten. Een intern auditprogramma (en een competente, zelfgekozen auditor) dienen alle onderdelen van het volledige ISMS te beoordelen. Je bent te allen tijde verplicht een interne audit te verrichten alvorens je jouw ISMS ter controle aanbiedt bij een certificeringsbureau. Ook verricht je met geplande tussenpozen directiebeoordelingen van het ISMS, die uiteraard ook gedocumenteerd moeten worden.
Het laatste onderdeel, verbetering, ziet op onder andere de plannen die je opgesteld hebt wanneer er sprake is van een afwijking aan het ISMS. Ook ga je hier in op de stappen die ondernomen worden op continue verbetering te kunnen garanderen.
Air Dice bestaat nu ruim 19 jaar en heeft in die periode regelmatig te maken gehad met verschillende eisen vanuit klanten op het gebied van informatiebeveiliging. Dit onderwerp was Air Dice aan het begin van het proces niet vreemd, maar een ISO 27001 conform ISMS bestond nog niet. XY Legal Solutions heeft daarbij allereerst de groepsstructuur duidelijk in kaart gebracht. Doordat Air Dice in meerdere landen gevestigd is, moest er ook extra goed gekeken worden naar de methode van het ISMS. Zo kennen verschillende jurisdicties bijvoorbeeld verschillende wetten die weer effect (kunnen) hebben op het ISMS van Air Dice.
In januari 2021 zijn we begonnen met het traject waarin wij samen met Air Dice een ISO 27001 conform ISMS hebben opgezet. We hebben alle bovenstaande stappen gevolgd en hebben daarbij ook veel ondersteuning geboden op het gebied van beleidsdocumenten. Verschillende beleidsdocumenten hebben wij opgesteld, of hebben wij in lijn gebracht met de eisen uit de ISO 27001. In juli 2021 zaten we in de afrondende fase, en heeft een medewerker bij Air Dice de interne audit verricht. Na deze interne audit hebben we het ISMS ter beoordeling aangeboden bij een certificeringsbureau…:
De ISO Audits zijn opgesplitst in een fase 1 audit en een fase 2 audit. Tijdens de fase 1 audit kijkt de auditor van het externe bureau of alle documentatie aanwezig is. Zo wordt bijvoorbeeld gekeken of de doelstellingen van het bedrijf helder omschreven zijn, of er heldere documentatie is voor de risicoanalyses (duidelijk gekoppeld aan de doelstellingen), of er een rapport van de interne auditor is en of er logs zijn van management reviews. De duur van de audit is afhankelijk van de omvang van de organisatie. Bij Air Dice duurde de fase 1 audit een dag. Een consultant van XY Legal Solutions heeft de volledige audit bijgewoond om Air Dice ondersteuning te bieden. Uiteindelijk is het (in vrijwel de meeste gevallen) het bedrijf zelf dat de documentatie presenteert.
Tijdens een fase 1 audit kan blijken dat een organisatie klaar is voor de fase 2 audit, deels klaar is; of nog helemaal niet. Bij deze case zijn we door de fase 1 audit gekomen en mochten we verder met de fase 2 audit. Bij de fase 2 audit, die een stuk langer duurt dan de fase 1 audit, wordt ingegaan op de inhoud van het ISMS. De fase 2 audit is over het algemeen vrij intensief: verschillende personen binnen de organisatie worden ‘ondervraagd’ door de auditor. Bij Air Dice zijn we eveneens succesvol door de fase 2 audit gekomen.
Het bouwen van een ISMS is een flinke onderneming. De volledige context van een organisatie dient uitgelicht te worden (in het geval van Air Dice een internationale context). Beleidsstukken dienen opgesteld te worden en alle stappen uit de ISO 27001 norm moeten gevolgd worden, op een manier die precies past bij de organisatie. Dit maandenlange traject heeft uiteindelijk geleid tot een prachtig resultaat: Met behulp van XY Legal Solutions heeft Air Dice het ISO 27001 certificaat in ontvangst mogen nemen.
Wil je ook aantonen dat je goed bezig bent met informatiebeveiliging, maar weet je niet waar je moet beginnen? De specialisten van XY Legal Solutions helpen je graag verder. Bel 030 – 227 03 86 of gebruik dit formulier.