http://www.bsigroup.nl/

Meer dan een handjevol bedrijven zul je niet treffen vrees ik. ISO 27001 certificering is niet zo populair. Ik vermoed dat bedrijven en instanties zich meer op de ISO 27002 richten dan op ISO 27001.
Daarnaast moet je je afvragen hoeveel waarde een dergelijk certificaat heeft in de praktijk. Voor een ICT dienstverlener lijkt me dit, als verkoop argument, wel enigszins belangrijk, maar voor niet dienstverleners? Zolang je maar in controle van je processen bent voldoe je ook wel aan de eisen vanuit de ISO 27001. Echter zegt dat nog niets over maatregelen die je daadwerkelijk genomen hebt.

Bedankt voor de verwijzing maar BSI is een certificerende instelling volgens mij houden zij geen register bij, mocht dit wel zou zijn zou je dan de link willen specificeren? Alvast bedankt .




Ik heb een aantal documenten met bedrijven, waaronder een aantal van het ECP, die hebben in 2008 nog een overzicht uitgebracht waarin 48 organisaties/deelorganisaties vernoemd waren. Omdat ik een geen overzicht van 2009 en/of 2010 kon vinden heb ik contact gezocht met ECP, deze wist mij te vermelden dat de overzichten niet meer door het ECP worden opgesteld. Wie dat wel doet wisten ze mij niet te vertellen.

Daarnaast kun je je op 27002 niet laten certificeren, 27001 is het managementsysteem dat gecertificeerd kan worden. Dit managementsysteem kan ondersteunt worden met maatregelen die benoemd zijn in de ISO27002.

De certificering opzicht zegt niet zo veel maar de "verklaring van toepasselijkheid" zegt iets over de onderdelen/processen van de organisatie die gecertificeerd zijn en welke maatregelen er zijn genomen. Op basis daarvan kun je de waarde van het certificaat bepalen, en omdat iedereen andere eisen stelt aan bijvoorbeeld een samenwerkende partij kan het certificaat voor iedereen andere waarde hebben.

Echter zie je wel dat er steeds meer gevraagd wordt om een 27001 certificaat bij een samenwerking tussen verschillende bedrijven. Tevens zie je in de zorg een verplichting van NEN 7510 (een feitelijke kopie van 27001 maar dan op de zorgt toegespitst.)

Leuk onderwerp.

Ik had in het verleden inderdaad gehoopt dat die certificeringen meer zouden doorzetten (verplichting vanuit regeringswegen enzo) want dat geeft een hoop werk voor consultants om bedrijven te helpen met het voorbereiden op een audit.

Je kan ook nog even kijken op: http://www.isoregister.nl/register.php

Additionele informatie voor de geïnteresseerden:
Het ISO 27001 certificaat toont aan dat je organisatie (het management) een werkend Information Security Management Systeem (ISMS) hanteert. Het blikveld van het certificaat kan daarbij heel klein zijn. Voorbeelden: IT Afdeling, organisatie onderdeel, gehele organisatie.

ISO 27002 bevat controls (beheers doelstellingen) die gebruikt kunnen worden voor risico's die je tijdens het doorlopen van je ISMS hebt gevonden. Hoe de organisatie vervolgens die controls heeft vorm gegeven en of ze die wel uitvoeren blijft dus de vraag.

Bij ISO 27001 certificering zal een auditor kijken naar de werking van het ISMS en globaal naar de geïmplementeerde controls.

Als je als klant de werking van de controls van je ICT dienstverlener wilt laten controleren kun je beter gebruik maken van een SAS70 type 2. Hier gaat een Auditor kijken naar de werking en bestaan van gespecificeerde controls. Deze zijn vaak weer gebaseerd op ISO 27002 of Cobit.

Als dienstverlener is het weer handig om een management cyclus te hebben om er voor te zorgen dat je controls nog efficiënt uitgevoerd worden en je makkelijk door de audit heen komt van de auditor. Waardoor je weer uitkomt bij een ISO 27001 (ISMS). Bijvoorbeeld: periodiek gaat kijken of je controls nog voldoen en welke actie er genomen moet worden om ze weer effectief te maken. ISO 27001 is dus een Plan, Do, Check, Act cyclus die de kwaliteit van je informatie security moet verbeteren.

ISO 27005 kun je gebruiken als Risico Management standaard die bij ISO 27001 verlangt word.

Lloyds of London ?

waarom klinkt dat zo als 127.0.0.1 xD

Volgens mij heeft KEMA dit.

http://www.kemaquality.com/nl/services/testing/services/QMS/QMS/ISO-27001.aspx

Helaas root, ook op deze pagina kan ik geen register vinden met gecertificeerde bedrijven...

1. http://www.isoregister.nl/search.php
2. Doorzoek het ISO register
3. Geadvanceerd zoeken
4. zoeken op norm; ISO 27001
5. Resultaat: 14 gecertificeerde bedrijven

1. http://www.isoregister.nl/search.php
2. Doorzoek het ISO register ; Geadvanceerd zoeken
3. Selecteer norm; ISO 27001
4. Resultaat: 14 gecertificeerde bedrijven

1. http://www.isoregister.nl/search.php
2. Doorzoek het ISO register ; Geadvanceerd zoeken
3. Selecteer norm; ISO 27001
4. Resultaat: 14 gecertificeerde bedrijven

http://www.iso27001security.com/html/27001.html voor wereldwijd aantal, (Handige site btw!)

Leuke website met een leuke naam die suggereert een register te zijn, echter klopt er niks van de gegevens die ze beheren. Ik zou daarom ook niet vertrouwen op deze website..

uit de laatste gegevens van het ECP (Juni 2009) zijn er in Nederland 48 bedrijven 27001 gecertificeerd ....

Je moet je sowieso afvragen wat de waarde is van een dergelijk register. Als de scope niet is wat jij er van verwacht dan heb je er weinig aan.

Het register opzicht heeft geen waarde, maar het kan een uitkomst zijn bij bijv. aanbesteding waarbij ISO27001 certificering een vereiste is. Daarnaast zijn er altijd verplichte onderdelen die je hoe dan ook ingevoerd moet hebben, hoe je scope er ook uit ziet.

Nee, dat klopt, maar er staat wel een verwijzing in de pagina naar een formulier waarmee je deze gegevens kunt opvragen.

Hoi Allemaal,
ISO2700x is wel degelijk van belang. Het geeft niet alleen een stature aan maar ook dat alle processen geborgd zijn en voldoen aan de strengste eisen die gesteld worden zoals global binnen NEN/ISO zijn afgesproken.

Met een ISO27001 (ETSI) certificaat kun je bewijzen dat je een gecontroleerde (secure) omgeving biedt aan je klanten. Voorbeeld hiervan is het controle orgaan GBO Overheid (pki voor de overheid) certificaat die alleen gehost en uitgegeven mag worden door een erkend 2700x (ETSI) gecertificeerd bedrijf.

Zelf ben ik verantwoordelijk binnen een grote ICT dienstverlener om mensen bewust te maken van de gevaren en verschillen binnen de (nieuwe) normeringen. Laten we vooral de certificering niet onderschatten (ondanks dat het gewoonn een verzameling afspraken van de internationale industrie is). Het gaat uiteindelijk om de bewijsbaarheid en ONWEERLEGBAARHEID van de processen, breaches en gevolgen. Als actief lid en Sponsor van OWASP steunen wij de erkenning van certificering binnen de ICT branche. Onze dienstverlening kent al genoeg snelle jongen en cowboy gedrag.
Als jullie meer info willen ?
Ik ben te bereiken onder vincent.turner@sogeti.nl

Beste Vincent, het iso27001 certificaat zegt weinig over de beveiliging van processen en/of informatie. Dit heb ik ook ondervonden bij de implementatie van ISO27001, het certificaat van ISO27001 geeft aan dat je een werkend management systeem hebt omtrent de beveiliging. Puntje-bij-paatlje hack je het bedrijf nog net zo makkelijk en loop je vaak net zo makkelijk met de informatie de deur uit. De echte beveiliging wordt bepaalde door de experts binnen het bedrijf, het management hiervan kan worden gecertificeerd middels een ISO27001 certificaat.

"ISO2700x is wel degelijk van belang. Het geeft niet alleen een stature aan maar ook dat alle processen geborgd zijn en voldoen aan de strengste eisen die gesteld worden zoals global binnen NEN/ISO zijn afgesproken."

Met andere woorden, indien je auto's maakt met vierkante wielen, dan is dat geen probleem, zolang het proces maar beschreven is, en de wielen altijd volgens dezelfde procedures worden gefabriceerd ?

Bespaar je de moeite om te zoeken naar een register waarin alle gecertificeerde bedrijven in staan. Dit bestaat niet of is nooit compleet. Wat er eventueel wel is, zijn eigen initiatieven van particulieren of organisaties. De geldigheid van een certificaat kun je wel altijd laten controleren door de organisatie die het certificaat heeft uitgegeven.
Ik ben zelf werkzaam als certificeerder en een aantal van mijn klanten willen om bepaalde redenen niet in zo'n register staan.

Ik kan me voorstellen dat een bedrijf, dat uitsluitend diensten verleent aan bijv. defensie, geen behoefte heeft aan opname in een publiek register. Echter, zou het in zo'n lijst opnemen van bedrijven die publieke diensten in aanbieden, niet juist een marketingvoordeel kunnen opleveren?

Of ziet het overgrote deel van de markt ISO27k als een papieren tijger en/of weet niet wat ISO27k inhoudt?

tsss.

Stel een URS op (als je niet weet wat dat is, waarom dan 27001 zoeken?) en stuur die als RFP naar een hele zwik bedrijven die werken in de markt waar je een verzoek aan hebt.
Stel dat ze 27001 moeten hebben,en wacht op wat er komt.

Klanten die 27001 eisen hebben over het algemeen ook wel budget om dit te betalen, en omdat 27001 vaak met 9001 gecombineerd wordt, heb je dikke kans dat alle houders contact met je opnemen.

Het beste register:

http://www.iso27001certificates.com/Register%20Search.htm

Probleem is dat er geen centraal register is. De certificeerders moeten meewerken en zij kunnen niet bepalen of hun klanten sowieso wel in dit registers willen staan. En de medewerking is niet verplicht.

Ik zit regelmatig met certificeerders in NL om de tafel. Het totale aantal gecertificeerde organisaties in NL ligt rond de 70.

Dit lijkt mij wel relevante informatie voor deze discussie:

http://www.iso.org/iso/home/standards/certification/iso-survey.htm

Gr Joost

Bedankt voor te toevoeging aan dit draadje, dit zijn inderdaad leuke cijfers!

Door de certificerings-gekte heb ik steeds meer de neiging om te eisen dat een bedrijf *niet* gecertificeerd is. Het geeft in elk geval aan dat ze hun tijd niet verdoen met papieren ongein (waar ik kan voor betalen) en het geeft qua kwaliteit ongeveer dezelfde garantie als een 'certificaat': geen.
Doe nou maar gewoon en zorg dat je je zaken voor elkaar hebt. Dan komen we vanzelf wel weer een keer van deze gekte af.

Voor ISO weet ik het niet.

Voor ISAE3402 is er bijvoorbeeld http://isae3402.nl/register .

Maar vergis je niet, die lijst is nooit compleet. Nadat je het als bedrijf hebt gehaald moet je jezelf volgens mij nog wel aanmelden (en daar zijn voor sommige mogelijkheden zelfs tarieven voor http://isae3402.nl/tarieven).
En dat zegt dat weer niets over of het een generieke certificering was en/of wellicht alleen voor 1 klant etc.etc.etc.etc.
Ook zegt dat niets over de gemaakte afspraken, wat was het normenkader, etc.

Halen is simpelweg wat anders dan het uitten. Dat laatste is reclame, 'kijk hoe goed wij spullen op orde hebben'.

Maar vanwaar de vraag voor een register daarvan? Als jij een leverancier moet zoeken voor iets kun je het gewoon vragen aan ze, toch? Neem aan dat je dan je eigen setje van eisen hebt, die je dan wilt vergelijken met de eisen die al getest zijn?

@Dinsdag 22:41: Verdiep je eerst in de materie zou ik zeggen. Een derde partij die daadwerkelijk kijkt of gemaakte afspraken ook echt worden nageleefd door intern te gaan kijken is heel wat anders dan iemand op blauwe ogen vertrouwen dat dat wel gebeurd. Wel zo fijn als het om echt belangrijke dingen gaat.

Certificering is mijns inziens window dressing of in ieder geval overrated. Zie het echec rond ISO9001. Ja, je hebt je processen gedocumenteerd, maar als je rommel produceert volgens een strikt process is de uitkomst nog steeds rommel, maar nu wel gecertificeerde rommel ;)

Bovendien, bij overheidsaanbestedingen mag je geen certificering eisen als je weet dat de meeste aanbieders dat niet hebben. Je mag wel kwaliteitseisen stellen die dan aangetoond moeten kunnen worden.

Frans.

Ik heb voor een semi-overheids bedrijf gewerkt en ISO27002 geimplementeerd. Vlak voordat ik vertrok ging men beginnen aan 27001. Het zegt inderdaad weinig op technisch niveau maar best practices en bevindingen werden wel tussen de diverse vestigingen gedeeld. Daardoor kwamen er soms wel goede ideeen naar boven om bepaalde kwetsbaarheden weg te nemen. Het technische deel blijft echter grotendeels afhankelijk van kennis en kunde van de (lokale) beheerders.

Ik ben het met je eens dat je bijv. met ISO9001 nog steeds betonnenzwemvesten kunt maken, echter zorgt ISO9001 er voor dat alle zwemvesten dezelfde afmeting hebben en dat ze allemaal volgens een vast proces in elkaar worden gezet waardoor je elke keer dezelfde kwaliteit kunt verwachten.

Ik heb echter een andere mening over windowdressing, door de periodieke audits wordt er gecontroleerd of men ook echt werkt zoals het hoort. Daarnaast moeten klachten en geconstateerde non-conformity aansturen op continue verbetering van het proces en daarmee in het product (in een nutshell). De scope van het certificaat bepaald de waarde van het certificaat net als bij ISO27001, het is daarom belangrijk om goed te kijken naar de scope waarop het certificaat is uitgereikt.

Nonsens. Je baseert je op de norm van ver geleden. Al sinds een decennium of meer is het verplicht om alle input van de klant (door klant tevredenheidsonderzoek te houden) mee te nemen. En hoewel mensen die gezwommen hebben met een betonnen zwemvest niet zullen klagen :-) zal er geen certificerende instantie zijn die een dergelijke organisatie een certificaat zal verstrekken, simpelweg omdat het KTO zal aangeven dat klanten niet echt tevreden zijn met hun zwemvest.

Deze urban legend over ISO9001 komt al vele jaren steeds weer terug maar is echt ludieke nonsens.

Dat ligt helemaal aan het idee achter de zwemvesten. Als dit betonnen zwemvest naar andere betonnen beelden word verkocht als decoratie lijkt me dit totaal geen nonsens en ligt het er maar net aan hoe strak je je oogkleppen hebt zitten. Je kunt niks over de kwaliteit en degelijkheid van een product zeggen als je niet weer waar deze voor bedoelt is.....

Als je zwemvesten maakt om levens te redden dan zal het zwemvest zeer waarschijnlijk niet meer van beton zijn door de klant-input