Door Erik van Straten: Door Anoniem: Mijn ervaring met ISO27001-auditoren is erg goed. Geen 'vinkjes-controleur' maar goed een inhoudelijk gesprek aangaan met verschillende betrokkenen in de organisatie.
Als
de auditor nog
inhoudelijke gesprekken moet voeren (in plaats van vaststellen of er een fatsoenlijk ISMS is opgetuigd dat structureel wordt onderhouden en verbeterd, en security van hoog tot laag serieus wordt genomen), klinkt dat als een organisatie die in de eerste plaats zo'n certificaat wilde hebben. Vaak gaat het dan om een audit zoals hier afgebeeld:
https://infosec.exchange/@omeraltundal/109675049183412204.
Maar sowieso is mijn ervaring met ISO2700x dat er meestal twee gescheiden werelden met weinig bruggen ontstaan, vooral zolang er leidinggevenden rondlopen die denken dat anderen het maar moeten oplossen. En ICT-techneuten het allemaal veel te abstract vinden - waarmee zij zeker een punt hebben, vooral als mensen met benen in (verstand van) beide werelden ontbreken. En, indien die mensen niet ontbreken, zij in de gelegenheid worden gesteld om de ontbrekende bruggen te bouwen en daarbij worden ondersteund in plaats van genegeerd of zelfs tegengewerkt ("wij doen dit al jaren zo en het ging altijd goed, bovendien hebben we er geen tijd voor. Richt het maar in, maar val ons er niet mee lastig").
Ik denk dat de effectieve mate van beveiliging middels een ISO 27001 certificering, in (mogelijk zeer) veel gevallen, enorm wordt overschat.
Ik denk dat dit echt afhankelijk van de organisatie is. Als men voor het papiertje gaat en de auditor gaat hier in mee, ben ik het met je eens, Hetzelfde geldt voor het opvragen van het certificaat. Als je alleen het certificaat opvraagt zonder SoA en inhoudelijk gesprek met (C)ISO, heb je als afnemende partij nog steeds niets.
Gaat natuurlijk veel verder, lees maar eens een audit rapport: Als eerste neemt de auditor geen enkele verantwoordelijkheid. Ten tweede is de scope van de audit vaak (te) beperkt. 3) Als de intent er van de audited partij er niet is, klopt je plaatje precies.